0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

分解漏洞扫描,什么是漏洞扫描?

IT科技苏辞 来源: IT科技苏辞 作者: IT科技苏辞 2022-10-12 16:38 次阅读

5W2H分解漏洞扫描 - WHAT

WHAT什么是漏洞扫描?

首先什么是漏洞?

国内外各种规范和标准中关于漏洞(也称脆弱性,英文对应Vulnerability)的定义很多,摘录如下:互联网工程任务组RFC4949[1]: 系统设计、部署、运营和管理中,可被利用于违反系统安全策略的缺陷或弱点。

中国国家标准 信息安全技术-网络安全漏洞标识与描述规范 GB/T 28458-2020[2]:网络安全漏洞是网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可能被利用的缺陷或薄弱点。

中国国家标准 信息安全技术-术语 GB/T 25069-2010[3]:脆弱性(Vulnerability)是资产中能被威胁所利用的弱点。

国家标准与技术研究所NIST[4]:信息系统、系统安全规程、内部控制或实施中可能被威胁源利用或触发的弱点。

国际标准化组织-信息安全管理体系 ISO27000[5]:资产或控制中可能被一个或多个威胁利用的弱点。

国际标准化组织-漏洞披露 ISO29147[6]:违反默示或明示安全策略的产品或服务的功能性行为。

维基百科[7]:计算机安全中,漏洞是威胁可以利用的弱点,例如攻击者可利用漏洞在计算机系统内跨越权限边界。

百度百科[8]:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,可以使攻击者能够在未授权的情况下访问或破坏系统。

从各种定义中可以得到漏洞的一系列共性描述:系统的缺陷/弱点、可能被利用于违反安全策略、可能导致系统的安全性被破坏。漏洞会涉及管理、物理、技术多种类型,我们说的漏洞一般默认是指技术型的漏洞。

pYYBAGNGfMGAcpoVAABgIKms0Hg302.png

如何描述具体漏洞?

针对已公开披露的漏洞

通常以CVE编号进行描述。为了达成交流共识,更好的识别、定义和修复已知漏洞,由MITRE公司发起的公共漏洞枚举CVE项目[9],可以为每个典型的软硬件产品/公共组件的已知漏洞分配一个唯一的CVE编号,这一做法得到全球主流IT厂商/组织的支持(截止目前全球范围内已有近200个CVE编号授权机构[10]),CVE已成为产业界的国际事实标准。

需补充的是,国家漏洞库NVD[11]全面兼容了CVE并提供了若干增强信息:如漏洞的分类、影响等级、受影响的供应商产品版本列表等。CVE存在的价值在于支撑公共安全预警和协同修复,它一般不含漏洞利用信息。通俗一点的描述就是:通知!XX供应商的XX产品的XX版本上有XX已知漏洞,影响评分XX分,如果您使用了受影响的产品版本,请尽快修复!修复版本为XX!也正是基于这种正向的预警的属性,CVE漏洞基本都已有较成熟的修复或缓解方案,以帮助受影响的用户减少不必要的伤害。

此外中国国家信息安全漏洞库CNNVD[12]也兼容CVE,但它使用的是CNNVD编号,精确到年月。例如:CNNVD编号CNNVD-202110-1568映射到CVE编号CVE-2021-22965,它们描述的是同一个漏洞 。

已公开披露的漏洞只是冰山一角,其主要涉及面向个人或企业的公共的商用软硬件产品或开源软件/组件。由于软硬件的使用场景不同,有些已知漏洞只会受限披露甚至不会被披露。而由于软硬件系统的复杂性与多样性,未知的漏洞则会更多。业界安全研究人员、软件厂商的测试部门每天都在持续不断的发现着新漏洞,正如体检中心每天都会发现新病人。

针对未公开披露的漏洞

通常会采用类型描述,而不会分配具体的CVE编号。MITRE公司的安全研究人员分析了大量已公开披露的CVE漏洞,抽象化并提取了公共缺陷枚举CWE[13]用来对此类型的漏洞进行描述。当前CWE项目中的缺陷已有超过900个小类,其中与软件开发相关的有400多个小类,40个大类。缺陷是漏洞的根因,因此每一个CVE编号都可以映射到一个或多个CWE编号。其他典型的可用作类型描述的还有针对Web应用系统的OWASP Top 10[14]。

比较典型的是基于具体业务的应用程序的漏洞似乎永远不会被主动公开披露,只会悄悄被修复。这是为了避免企业商业形象受损,另外也因为业务应用一般不是标准产品,具有独特性,不涉及协同修复的属性(即便涉及,也在小范围内)。除非漏洞已被利用,造成了公共损失,不得不进行披露,否则知道这种负面信息的人越少越好是共识。

poYBAGNGfM-AOM5oAACRn-LcWLQ594.png

最后回到什么是漏洞扫描?

大部分业界规范或标准中用到的相关概念是漏洞评估,并直接将漏洞扫描作为一种选择和要求。

以国际标准ISO/IEC 27005[15]信息安全风险管理为例,在其附录D2中给出相关描述:评估技术型漏洞的方法有哪些?给出的第一个建议就是“使用自动化漏洞扫描工具”,另外三条建议分别是: 安全测试评估、渗透测试、代码审计。

在中国国标GB/T 28449的”附录E等保测评方式及工作任务“的“E.4测试”部分中则明确指出:需要对服务器、数据库管理系统、网络设备、安全设备、应用系统等进行漏洞扫描。此外还需要对应用系统完整性、保密性进行协议分析;对系统进行内部和外部的渗透攻击等等。

而在金融行业支付卡数据安全标准PCI DSS[16]针对漏洞扫描给出了两个较为明确可操作的定义,如下面2图。

对应用程序漏洞的安全评估

pYYBAGNGfN6Acs8fAAKphZbwH3Y880.png

对系统从外部及内部的漏洞扫描

pYYBAGNGfOeAD-efAAIkrd5CmYk020.png

因此笔者认为漏洞扫描指的就是通过工具去扫描远端或本地运行的系统的行为,以期达到快速识别系统中已知或未知漏洞的目的。它的关键是对漏洞的识别进行工具化,降低识别漏洞的人工参与和技术门槛。漏洞扫描是漏洞评估的一种方法。漏洞扫描通常是渗透测试过程中的一个前置步骤。

与漏洞扫描相关的工具通常有哪些呢?

知名信息技术咨询公司Gartner的定义中,按扫描结果类别的不同可以大致分为AST(Application Security Testing)应用安全测试类工具、SCA(Software Composition Analysis)软件成分分析类工具、VA(Vulnerability Assessment)漏洞评估工具, AST工具用于测试发现应用程序未知的安全缺陷,SCA工具用于发现静态软件中引用的开源组件的已知漏洞,VA工具则通常用于发现动态运行的系统中是否存在已知的漏洞。

按扫描对象状态的不同又可以划分为静态工具和动态工具,静态工具扫描源代码或二进制包,动态工具扫描运行的系统。静态工具包括静态Static-AST工具(SAST), 源码SCA工具, 二进制SCA工具。 动态工具包括 交互式Interactive-AST工具(IAST)、动态Dynamic-AST工具(DAST)、模糊测试(Fuzzing)工具、漏洞评估(Vulnerability Assessment)工具。 在这其中,受到资源可获得性的限制,在系统上线以后经常会被用到的漏洞扫描工具主要是: DAST工具和VA工具, 而这也正是PCI DSS实践指南中列出的。

pYYBAGNGfPGATJDDAADWx4nSuVg148.png

WHY为什么做漏洞扫描?

漏洞扫描能发现漏洞,扫描的结果能用来支撑漏洞评估、漏洞修补、风险评估相关工作,以降低系统安全性的风险。还有其他目的吗? 且听下回分解。

审核编辑 黄昊宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 信息安全
    +关注

    关注

    5

    文章

    656

    浏览量

    38899
  • IT
    IT
    +关注

    关注

    2

    文章

    863

    浏览量

    63507
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15369
收藏 人收藏

    评论

    相关推荐

    常见的漏洞分享

    #SPF邮件伪造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 发现spf最后面跟着~all,代表有
    的头像 发表于 11-21 15:39 101次阅读
    常见的<b class='flag-5'>漏洞</b>分享

    大幅扫描扫描地图怎么操作

    1. 准备扫描仪和地图 在开始扫描之前,确保您的大幅扫描仪已经安装并正确配置。您可能需要安装特定的驱动程序或软件,以便扫描仪能够与您的计算机通信。 检查
    的头像 发表于 10-14 15:47 581次阅读

    漏洞扫描一般采用的技术是什么

    漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序中的安全漏洞。以下是一些常见的漏洞扫描技术: 自动化
    的头像 发表于 09-25 10:27 358次阅读

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。
    的头像 发表于 09-25 10:25 402次阅读

    “新一代”漏洞扫描管理系统:攻防演练不可或缺

    一直以来,网络安全攻防演练中的红蓝对抗、漏洞扫描等成为热点中的热点。在步步陷阱、危机重重的网络对抗环境里,隐藏着高手如云的“暗势力”,政府企事业单位护网期间如何轻松应对成为棘手难题。 日前,国内专注
    的头像 发表于 09-18 17:21 326次阅读

    《七剑下天山》之“七剑利刃”:“新一代”漏洞扫描管理系统

    日前,国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安自主研发推出“新一代”漏洞扫描管理系统:国联统一系统脆弱性管理平台
    的头像 发表于 09-09 11:23 365次阅读

    内核程序漏洞介绍

    电子发烧友网站提供《内核程序漏洞介绍.pdf》资料免费下载
    发表于 08-12 09:38 0次下载

    艾体宝干货 网络安全第一步!扫描主机漏洞

    想要保护网络安全?了解漏洞扫描的重要性是关键一步。本期我们将介绍使用ntopng漏洞扫描的实施方法,帮助您建立更加安全的网络环境。 ntopng简介: ntopng 是用于监控计算机网
    的头像 发表于 07-16 13:36 266次阅读
    艾体宝干货  网络安全第一步!<b class='flag-5'>扫描</b>主机<b class='flag-5'>漏洞</b>!

    微软五月补丁修复61个安全漏洞,含3个零日漏洞

    值得注意的是,此次修复并不包含5月2日修复的2个微软Edge漏洞以及5月10日修复的4个漏洞。此外,本月的“补丁星期二”活动还修复了3个零日漏洞,其中2个已被证实被黑客利用进行攻击,另一个则是公开披露的。
    的头像 发表于 05-15 14:45 690次阅读

    “新一代”漏洞扫描管理系统:脆弱性管理平台提高自身健壮性

    。 正是如此,国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安研究团队推出“新一代”漏洞扫描管理系统:国联统一系统脆弱性管理平台。 国联统一系
    的头像 发表于 04-16 11:16 313次阅读

    LG智能电视被曝存四安全漏洞,影响超9万台设备

    漏洞利用了3000/3001端口上运行的服务,主要为智能手机提供PIN接入功能。Bitdefender指出,虽然这些漏洞应仅限局域网使用,但Shodan扫描显示,约有91000台潜在易受攻击的LG设备。
    的头像 发表于 04-10 14:12 572次阅读

    “新一代”漏洞扫描管理系统:网络安全风险管理利器

    专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安研究团队推出“新一代”漏洞扫描管理系统:国联统一系统脆弱性管理平台。 国联统一系统脆弱性
    的头像 发表于 04-07 17:30 468次阅读

    GitHub推出新功能:智能扫描代码潜在漏洞

    “代码扫描”功能还能预防新手引入新的问题,并支持在设定的日期和时间进行扫描,或者让特定事件(如推送到仓库中)触发扫描。若AI判定代码内可能存在隐患,GitHub将在仓库中发出预警,待用户修正引发求救信号的部分后,再撤销警告。
    的头像 发表于 03-21 14:55 698次阅读

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,iPhone 12和M2 MacBook Air等设备也受到了这一
    的头像 发表于 01-18 14:26 677次阅读

    POC管理和漏洞扫描小工具

    本工具是采用javafx编写,使用sqllite进行poc储存的poc管理和漏洞扫描集成化工具。主要功能是poc管理,并且采用多线程进行漏洞扫描
    的头像 发表于 01-09 11:01 834次阅读
    POC管理和<b class='flag-5'>漏洞</b><b class='flag-5'>扫描</b>小工具