漏洞掃描器是一種硬件設備或計算機程序,用于評估和發現計算機、網絡或應用程序的已知弱點,以及識別和檢測防火墻、路由器、網絡服務器、應用服務器等中由于錯誤配置或有缺陷的程序所產生的漏洞。現代漏洞掃描器可以進行認證和非認證掃描,并且通常作為SaaS(軟件即服務)提供,可以通過互聯網訪問。漏洞掃描器還可以掃描電腦上已安裝的軟件、開放的端口、證書和其他主機信息,并給出漏洞報告以及有關操作系統和已安裝軟件的詳細信息。連續漏洞掃描被認為是有效的網絡安全防御的關鍵控制之一。
功能和服務
傳統的漏洞掃描器是在硬件內部設定好了自動檢測遠程或本地主機安全性弱點的程序。但基于Saas云服務架構的QualysGuard提供的漏洞掃描器則僅僅是一個用戶搜集各類系統情況數據的工具,以用于和Qualys終端SOC中的漏洞數據進行比對,以確認系統狀況。
通過使用漏洞掃描器,系統管理員能夠發現所維護的Web服務器的各種TCP端口的分配、提供的服務、Web服務軟件版本和這些服務及軟件呈現在Internet上的安全漏洞。從而在計算機網絡系統安全保衛戰中做到"有的放矢",及時修補漏洞,構筑堅固的安全長城。
按常規標準,傳統的漏洞掃描器可以分為兩種類型:主機漏洞掃描器(Host Scanner)和網絡漏洞掃描器(Network Scanner)。主機漏洞掃描器是用于在系統本地運行檢測系統漏洞程序的,如COPS、tripewire、tiger等自由軟件。網絡漏洞掃描器是指對企業網絡架構系統或者網站進行掃描的硬件設備。而Qualys的掃描器基于它的運作模式,可以同時勝任對主機、企業網絡系統及網站應用的掃描。
現代漏洞掃描器的功能不僅限于傳統的硬件和軟件漏洞檢測,它們還具備定制漏洞報告的能力,以及可查詢作為其工作流程的已安裝軟件、開放端口、證書和其他主機信息。經過身份驗證的掃描允許掃描器直接使用遠程管理協議(如安全外殼協議(SSH)或遠程桌面協議(RDP))訪問基于網絡的資產,并使用提供的系統憑據進行身份驗證。這使得漏洞掃描器能夠訪問低級數據,如主機操作系統的特定服務和配置詳細信息,從而提供有關操作系統和已安裝軟件的詳細和準確信息,包括配置問題和缺失的安全補丁。
未經身份驗證的掃描是一種可能導致大量誤報的方法,并且無法提供有關資產操作系統和已安裝軟件的詳細信息。這種方法通常由威脅行為者或安全分析人員用于確定外部可訪問資產的安全狀況。此外,漏洞掃描器應該能夠檢測開源依賴項中的風險,但由于開發人員可能會重新打包開源軟件,相同的代碼可能出現在不同的依賴項中,這可能影響掃描器檢測到易受攻擊的開源軟件的性能和能力。
CIS(Center for Internet Security)有效網絡防御的關鍵安全控制將持續漏洞掃描指定為有效網絡防御的關鍵控制。服務器日志的一部分顯示了掃描器嘗試查找管理頁面的嘗試,這些嘗試通常會被記錄為404錯誤,因為它們試圖訪問不存在的頁面。這些日志條目可以幫助系統管理員識別潛在的掃描活動,從而采取相應的安全措施。
參考資料 >