扫描和识别安全风险是任何公司安全工作不可或缺的组成部分。但是,在确定公司面临的风险之前,您需要确定公司使用的技术和服务。获得资产或服务清单后,安全团队就可以确定需要扫描或进行渗透测试的内容。
首先,考虑一些基本问题:
- 公司是否运行在公共云环境中(例如 AWS、GCP)?
- 我们使用哪些供应商或开源产品和软件?
- 我们使用什么操作系统?
回答完这些问题(还可以有更多问题!)后,就可以为工作选择适合的工具了!
漏洞扫描
漏洞扫描器是一种可通过自动扫描来帮助识别组件(如应用程序、基础设施和网络)漏洞的工具。扫描器会对每项资产进行扫描,以寻找任何可能的漏洞,例如使用具有关联 CVE 的组件,意外暴漏在互联网上或使用默认凭据的文件。有些扫描器允许用户配置一组规则,以便设置扫描的边界和执行的扫描类型。
主要的扫描方法有两种:有凭据扫描和无凭据扫描。
有凭据扫描是指对整个环境进行全面的扫描。这种方法可通过在资产上安装的服务帐户或代理为扫描工具授予特殊的访问权限,以查找环境中的漏洞。通过对资产进行彻底的检查,有凭据扫描可以发现薄弱的配置和漏洞。
另一种方法——无凭据扫描无需任何凭据即可访问被扫描的资产。与有凭据扫描相比,无凭据扫描提供的结果不太详细,因为扫描器不会对环境进行全面的扫描。渗透测试人员、研究人员和攻击者通常会利用这些扫描来了解资产带来的外部风险。
使用有凭据扫描和无凭据扫描,组织可以对环境进行重要的漏洞分析,以便做出明智的决定,来增强安全措施。
漏洞扫描的结果可以提供有用的信息,并提供系统的总体安全态势,而渗透测试则可以对环境中出现的安全风险进行彻底分析。
渗透测试
在环境中识别漏洞的另一种有效方法是执行渗透测试。在此过程中,安全工程师会对系统执行攻击,以发现漏洞和潜在的渗透情况。为创建真实的网络攻击场景,渗透测试人员甚至会模拟真实攻击者使用的手段、技术和程序 (TTP)。
公司经常会聘请外部人员进行渗透测试,因为由不熟悉环境的人员进行渗透测试才能获得最有价值的结果。
这就是所谓的外部渗透测试。但是,现在有更多的公司有自己的攻击性安全团队来进行内部渗透测试。内部和外部渗透测试都非常有用,因为这些方法涉及的两个用例分别覆盖了网络内部和外部的攻击者。
渗透测试由 7 个主要步骤组成:
- 测试前沟通
- 侦察或开源情报 (OSINT) 收集
- 扫描或发现
- 漏洞评估(获取访问权限)
- 渗透(维持访问)
- 渗透后处理、报告和风险分析
- 修复
测试完成后,将生成一份报告,其中包括已发现的所有漏洞,以及它们的风险评估和修复细节。它可以帮助组织解决问题并增强环境中的安全性。
对发现的问题进行优先级划分
通过自动扫描和渗透测试确定环境中存在的漏洞后,下一步就是修复漏洞,以降低公司的总体风险状况。您可能会想“我的报告上有成千上万的漏洞,我该怎样划分它们的优先级呢?” 好消息是,你不必这样做!虽然我们可以专注于通过工具发现的漏洞严重程度,但根据漏洞对业务的影响来确定优先级却更有效。这就需要确定哪些服务、环境和产品对业务最为重要:服务或产品是面向客户的吗?它是否包含客户数据?如果出现宕机的情况,会不会造成重大的收入损失?
通过综合考虑业务影响和漏洞的严重程度,我们可以创建一个漏洞优先级列表,以便从最关键的漏洞和服务开始修复,进而将列表上的漏洞逐渐减少!