自动化漏洞扫描工具使用指南

作为企业的IT安全管理员，您的重要任务之一，一定离不开全面的漏洞管理。即，全方位地评估、报告和缓解企业内部技术栈中，存在的各项安全弱点和网络威胁。而面对此类繁杂复杂的工作时，我们往往需要借助自动化的漏洞扫描程序，来更加高效地识别出潜在的弱点，并实现对于漏洞的基础性管理。

从原理上说，漏洞扫描应用会帮助团队，优先创建已连接到企业内网中所有系统和设备的清单，然后它会记录操作系统、目标软件、以及与各种在册部件的详细信息，最后逐一实施安全管理。

下面，我们将深入探讨企业为何采用自动化漏洞扫描，可采用的各种扫描机制，以及一些时下流行的自动化漏洞扫描工具。

一、自动化漏洞扫描的基本原理

前文提到了漏洞扫描工具可以识别网络内的各种资产，其中包括：服务器、笔记本电脑、防火墙、打印机、以及应用容器等，并不断收集它们的具体运作细节。同时，此类扫描工具具有审计、日志记录、威胁建模、报告和修复等组合性功能，并在此基础上，允许企业在任何给定的时间内，去评估自身的安全态势。

除了时常被作为企业网络安全的优秀实践，各国政府的法规和行业标准也通常会要求企业，通过漏洞扫描工具来确保数据得到安全的保护。尽管不同行业的具体实现用例可能有所不同，但采用自动化的漏洞扫描方式，一般可以为企业带来如下好处：

1.主动安全

鉴于黑客通常会将应用服务的漏洞，作为入侵系统的入口，自动化漏洞扫描工具能够让安全团队，抢在各种漏洞被利用，进而危害到企业现有资产之前，予以报告并修复。

2.风险评估

定期执行漏洞扫描，会使得IT和安全团队能够掌握，针对当前系统已实施的安全控制的有效性。而且，在安全专家完成了某个错误和漏洞的修复之后，还可通过再次执行扫描的方式，评估整体的改进效果。

3.降低成本和开发时间

显然，自动化扫描可以通过无缝地执行测试，省去了各种既耗时、又耗力的人工操作。此外，漏洞扫描工具还能够缩短修复漏洞的开发周期、以及高昂的成本。

4.合规

业界的各种合规性法律往往会要求企业，遵循适当的技术和安全措施，以妥善处理持有的数据。此类合规标准包括我们耳熟能详的：通用数据保护条例(GDPR)、健康信息隐私和责任法案(HIPAA)、以及支付卡行业数据安全标准(PCI-DSS)等。

二、漏洞管理的流程

为了最小化攻击的潜在威胁，我们可以通过如下流程，来实施针对漏洞的检测与管理：

1.漏洞识别

企业可以使用各种依赖于最新漏洞数据库、以及威胁情报技术的工具，来识别系统组件上的漏洞，进而创建待修复的组件清单。漏洞扫描工具可以凭借着实时、完整的监控特性，在威胁发起攻击之时，立即识别出来。

2.风险评估

一旦漏洞被识别，我们就需要通过评级系统，根据它们的时效特征、以及固有危害性，来评估其影响性，进而对它们进行优先级的权重评定。据此，管理团队便可根据风险的严重性，确定待实施补丁的优先级，进而实施有效的修复。

3.修复

根据漏洞的优先级，安全专家开始计划并筹备通过加强监控，限制对高风险子系统的访问等修复措施，从而在应用的补丁被发布之前，从系统与组件级别，阻止可能的攻击。

4.报告

我们通过记录和报告已处置的漏洞，以及针对应用的补救措施，以展示企业对于安全态势的认知与掌控。同时，各种合规性要求，也需要通过报告，来为企业的问责制进行背书。

三、自动化漏洞扫描的类型

1.内部漏洞扫描

内部扫描机制主要针对的是企业的内部网络。扫描工具会识别出系统内部的各种攻击向量(attack vectors)，其中就包括了由恶意员工所带来的弱点与威胁。

2.外部漏洞扫描

外部扫描机制主要针对的是暴露于外部网络(如，互联网)的IT系统，包括：面向外部的应用程序、网络、服务、端口、以及网站等。此类扫描工具会关注于对于客户和其他外部用户在访问目标系统时，可能产生的漏洞与威胁。

3.认证成功与否的扫描

针对认证成功(即，持有信任凭据)的扫描，主要着眼于企业的IT系统内部，检查那些已登录进来的受信任用户，在安全环境中的行为表现。针对认证失败(即，无凭据或凭据有错)的扫描，虽然无法介入系统的可信访问，但是可以从外部攻击者的角度，提供有价值的安全洞见。

4.自动化漏洞扫描工具的选择

目前，在安全测试的市场，有着许多类型的漏洞扫描工具。下面，我们来讨论在工具选择的过程中，有哪些需要考虑的因素和注意的事项。

5.漏洞扫描的覆盖率

通常，虽然各家漏洞扫描工具都具备了基本的漏洞识别能力，但是，我们还是希望待选工具能够降低设置安全监控的成本和复杂性。这不但可以保证具有广泛的扫描覆盖率，而且避免了安全团队针对某些安全盲区，而实施的额外集成。

6.Web技术栈的覆盖

大多数漏洞扫描程序一旦被启动，就会去爬取整个Web应用，以获悉完整的系统架构、及其安全态势。但是，该目标往往需要建立在识别Web应用的每个表单、页面、以及组件元素的基础上。作为一款恰当的漏洞扫描工具，应当具有横跨多个开发栈、框架、以及部署环境的识别能力，才能有效地管理漏洞。

7.易用性

作为一个复杂而全面的扫描过程，漏洞管理工具显然需要对企业的网络、设备和服务具有深入的洞察。但是，我们无法保证企业中的每一位安全运维人员，都具备足够的基础知识，并能够对漏洞扫描进行执行与判断。因此，漏洞扫描工具应当事先抽象、并简化所有涉及到采集、识别和检测威胁的人工作业，以便让运维团队更加专注于某些特殊的异常活动。

8.速度和扫描质量

鉴于安全威胁的突发性和易于蔓延的特点，漏洞扫描工具应当能够在短时间内，根据各个应用程序与网络资源的运行状态，持续识别并刷新已发现的漏洞清单。同时，该工具应当能够最大限度地减少误报，以确保漏洞扫描报告的质量。

9.合规

某些高要求的行业(如，医疗保健、金融和国防)通常需要出具更深层次的漏洞评估与报告，以满足监管配置的合规性。对此，它们往往需要根据HIPAA、GDFR和ISO等监管机构所倡导的安全实施标准，来选择扫描工具。

10.修复建议

对于一些已经全面实现运维自动化的企业而言，它们往往希望扫描工具能够提供针对常见漏洞的自动化修复方案，以及针对更为复杂漏洞的合理化措施。这对于那些跨职能的团队而言，是非常实用的。毕竟，安全是整个企业的共同责任。

四、自动化漏洞扫描工具的类型

我们可以根据操作模式和运行环境，将自动化漏洞扫描工具归纳为如下类型：

1.基于网络的扫描

基于网络的漏洞扫描工具可被用于发现，那些连接着企业内、外部网络设备上的安全态势。其目标是使得安全团队能够识别出，可能存在于网络边界处的受攻击面。

2.基于主机的扫描

基于主机的漏洞扫描工具能够协助安全团队，识别出内网中各类主机(包括，工作站、服务器、以及笔记本电脑等)上，可能会被“爬取”的系统类型、补丁历史记录、配置信息、以及攻击者未经身份认证而进入系统的可能性与破坏程度。

3.无线扫描

通过对企业无线网络的扫描，检测可能受到恶意攻击的接入点，以及验证WiFi网络的安全态势。

五、应用程序漏洞扫描工具

此类扫描程序包括：动态应用程序安全测试(Dynamic Application Security Tests，DAST)、交互式应用程序安全测试(Interactive Application Security Tests，IAST)、静态应用程序安全测试(Static Application Security Tests，SAST)、以及运行时应用程序自我保护(Runtime Application Self-Protection，RASP)等类型的工具。

1.数据库扫描工具

大多数Web应用都会依赖数据库来存储关键信息。而针对数据库的扫描工具，能够识别诸如：SQL注入攻击等，典型的数据库管理系统(DBMS)中的漏洞。

2.流行自动化漏洞扫描工具列表

Crashtest Security Suite

这是一款端到端的、能够与Web应用、Javascript、API测试平台，无缝融合的DevSecOps类工具链。在保证更安全的发布和部署的同时，Crashtest Security通过参照OWASP Top 10的基准，实现了较低的误报率(包括false positive和false negative)。同时，它能够提供各种用户友好的格式输出、准确的报告、以及切实可行的修复建议。

Netsparker

该平台通过包含可用于漏洞评估的多种集成与安全方案，实现了自主、快速地检测和描述漏洞，并及时提供包含修复意见的报告。

Acunetix

该Web应用安全扫描工具同时提供付费和开源两个版，可以扫描高达6500种漏洞。Acunetix能够通过对大规模的网络和应用执行自动化扫描，为运维团队提供深入的洞见。

Metasploit

开源的Metasploit框架，通过进行渗透测试和入侵检测，以发现整个基础架构中的系统级漏洞，进而提高企业的安全态势。同时，Metasploit也可以通过定制，来满足各种Web应用的特定安全需求。

Nmap

作为另一种开源式漏洞扫描工具，Nmap可被用于发现操作系统和网络主机中的各种漏洞。

IBM Security QRadar

这是一个功能丰富的安全情报平台，可以让运维团队快速地识别、分析和修复各种潜在的威胁。该平台的人工智能技术，可被用来检测可能出现的新型威胁和模型事件，并及时提供修复建议。

Nessus Professional

Nessus是全面的漏洞评估和配置管理平台。通过扫描各类漏洞，它能够主动地保护目标网络，免受各类攻击。

Burp Suite

Burp Suite是由PortSwigger开发的一款Web应用安全测试方案，可以协助企业通过自动化扫描的方式，对抗各种零日威胁(zero-day threats)。同时，该套件也可以通过渗透测试功能，来识别各种SQLi攻击对于Web服务器的影响。

六、小结

总的说来，自动化漏洞扫描工具包括了各种可定制的高级测试案例，可用于扫描应用环境中的各种潜在漏洞，并通过详细报告的形式，提出相应的修复建议。其自动化特性，也消除了运维人员各项繁琐的手动工作。因此，我们可以通过适当选择工具，来为企业构建良好的安全态势。