上期回顾: 安全扫描自动化检测平台建设(Web黑盒中)
扫描云平台架构设计
随着互联网业务的高速发展,企业业务的快速扩张,传统的安全扫描器已经远远不能跟上企业的脚步,一方面是使用门槛和成本较高,需要专业的安全人员才能使用并发现安全问题,另一方面,传统的以产品为主的交付方式对于互联网企业使用上也存在滞后性,漏洞爆发以后,互联网企业往往是第一波被攻击的对象,漏洞难以及时发现。
针对以上的安全扫描痛点和互联网业务的特点,现在主要以插件式的扫描器为主流平台,并以SaaS的形式输出安全能力。
功能
插件式扫描器
原有检测产品
检测范围
覆盖全部企业域名 /IP
爬虫获取 / 手动加入
支持漏洞范围
自主添加符合自己企业的漏洞检测插件
不定期更新
数据源支持
自主添加数据源
爬虫
漏洞检测库
自主添加,自主编写
大量无用漏洞,更新滞后
指纹识别
根据企业情况,准确识别
无
资产管理
配合指纹识别,智能获取资产信息,并可以进行分析与管理
无
扫描策略
周期扫描,全量扫描,增量扫描
人工启动
产品更新
根据漏洞情况随时更新
不定时 / 不更新
插件式扫描平台与原有检测产品的对比
SaaS 云平台架构设计
安全云平台架构设计
安全扫描场景和安全能力输出1.应急扫描:紧急任务,0day漏洞,安全事件,安全制度,
2.全量扫描:周期性的对全网安全资产进行全插件扫描
3.增量扫描:每天对新上线的Web/服务器和存在服务变更的资产进行扫描
4.上线前的安全测试:尚未上线的项目,由QA/RD,使用Web界面进行自行的安全测试,减少安全工程师的基础工作量。
5.安全自测:产品线对已上线产品测试安全性。
平台基于Docker集群管理,支持平滑扩展和弹性伸缩,以应对业务的持续增长和突发漏洞的全量扫描。
基于流量分析的被动扫描被动式扫描是完全靠旁路流量分析,并不会发出任何请求的离线安全扫描方式,可以发现网络拓扑,网络服务,网络流量和漏洞,实际使用中,被动扫描是安全分析中重要的一环。最有名的被动式扫描产品当属出品Nessus扫描器的Tenable公司的Passive Vulnerability Scanner (PVS)
PVS介绍由于PVS的售价非常昂贵,所以国内非常少有公司购买使用(注1)。PVS适用于监控小型网络或者大型网络的特定网段,并且需要搭配主动式扫描器使用。
PVS数据监控页面
PVS漏洞列表页面
从实际使用效果来看,PVS发现的数据仅可以对主动式扫描器作为补充,还远远不能独挡一面,对于甲方来说,并不会关心我们的内部浏览器的使用分布,我们都装了哪些系统等等信息,而PVS发现的漏洞,对于我们而言也是无甚意义。
PVS移动资产管理
PVS 可以从流量中发现资产和服务,实际由于网段的限制,效果有限。移动资产的效果就更鸡肋了,大量员工的移动设备,假如我们被一个恶意的设备接入,在这里也根本看不到,何谈分析?
对于我们来说,更关心的是被动式扫描的网络流量分析能力,更多的是他对于新增资产,服务变更等近乎实时的发现能力,并且被动式扫描并不会对服务器造成任何压力或者数据破坏,是主动式扫描器完美的补充。
注1: 由于并未购买PVS,文中所有图是PVS的试用版
往期回顾:利用恶意软件检测服务向服务提供商植入恶意软件(一)
利用恶意软件检测服务向服务提供商植入恶意软件(二)
中、小企业如何自建免费的云WAF
自动化web安全测试
证书检测二三事
基于burp插件的安全测试
浅谈php安全开发
HTTPS原理科普
安全扫描自动化检测平台建设(Web黑盒上)
安全扫描自动化检测平台建设(Web黑盒中)
注:本文为“小米安全中心”原创,转载请联系“小米安全中心” 问题服务器被入侵以后,需要你到已经断网的服务器收集信息,而收集信息最重要的就是日志了,那么,取证的话,你是如何收集日志信息的?
参与详情参与方式:点击下方“写留言”,回答上面的问题
参与时间:截止至10月23日18:00
获奖方式在精选留言中,选出 作者满意的留言 送出精美礼品
(在众多留言中,择优选择部分留言移为精选留言,展示出来。所有的幸运小伙伴,都会是作者亲自选出哦~如果留言质量不高的话,我们会把礼物留到下一次做活动哦~)
