安全扫描自动化检测平台建设(Web黑盒下)

2019-04-04 约 1382 字 预计阅读 3 分钟

声明:本文 【安全扫描自动化检测平台建设(Web黑盒下)】 由作者 笑然 于 2016-10-27 12:57:00 首发 先知社区 曾经 浏览数 2549 次

感谢 笑然 的辛苦付出!

注:本文为“小米安全中心”原创,转载请联系“小米安全中心”:https://sec.xiaomi.com/

扫描云平台架构设计

随着互联网业务的高速发展,企业业务的快速扩张,传统的安全扫描器已经远远不能跟上企业的脚步,一方面是使用门槛和成本较高,需要专业的安全人员才能使用并发现安全问题,另一方面,传统的以产品为主的交付方式对于互联网企业使用上也存在滞后性,漏洞爆发以后,互联网企业往往是第一波被攻击的对象,漏洞难以及时发现。

针对以上的安全扫描痛点和互联网业务的特点,现在主要以插件式的扫描器为主流平台,并以SaaS的形式输出安全能力。

功能 插件式扫描器 原有检测产品
检测范围 覆盖全部企业域名/IP 爬虫获取/手动加入
支持漏洞范围 自主添加符合自己企业的漏洞检测插件 不定期更新
数据源支持 自主添加数据源 爬虫
漏洞检测库 自主添加,自主编写 大量无用漏洞,更新滞后
指纹识别 根据企业情况,准确识别
资产管理 配合指纹识别,智能获取资产信息,并可以进行分析与管理
扫描策略 周期扫描,全量扫描,增量扫描 人工启动
产品更新 根据漏洞情况随时更新 不定时/不更新

插件式扫描平台与原有检测产品的对比

SaaS云平台架构设计

安全云平台架构设计

安全扫描场景和安全能力输出

1.应急扫描:紧急任务,0day漏洞,安全事件,安全制度,

2.全量扫描:周期性的对全网安全资产进行全插件扫描

3.增量扫描:每天对新上线的Web/服务器和存在服务变更的资产进行扫描

4.上线前的安全测试:尚未上线的项目,由QA/RD,使用Web界面进行自行的安全测试,减少安全工程师的基础工作量。

5.安全自测:产品线对已上线产品测试安全性。

平台基于Docker集群管理,支持平滑扩展和弹性伸缩,以应对业务的持续增长和突发漏洞的全量扫描。

基于流量分析的被动扫描

被动式扫描是完全靠旁路流量分析,并不会发出任何请求的离线安全扫描方式,可以发现网络拓扑,网络服务,网络流量和漏洞,实际使用中,被动扫描是安全分析中重要的一环。最有名的被动式扫描产品当属出品Nessus扫描器的Tenable公司的Passive Vulnerability Scanner (PVS)

PVS介绍

由于PVS的售价非常昂贵,所以国内非常少有公司购买使用(注1)。PVS适用于监控小型网络或者大型网络的特定网段,并且需要搭配主动式扫描器使用。

PVS数据监控页面

PVS漏洞列表页面

从实际使用效果来看,PVS发现的数据仅可以对主动式扫描器作为补充,还远远不能独挡一面,对于甲方来说,并不会关心我们的内部浏览器的使用分布,我们都装了哪些系统等等信息,而PVS发现的漏洞,对于我们而言也是无甚意义。

PVS移动资产管理

PVS可以从流量中发现资产和服务,实际由于网段的限制,效果有限。移动资产的效果就更鸡肋了,大量员工的移动设备,假如我们被一个恶意的设备接入,在这里也根本看不到,何谈分析?

对于我们来说,更关心的是被动式扫描的网络流量分析能力,更多的是他对于新增资产,服务变更等近乎实时的发现能力,并且被动式扫描并不会对服务器造成任何压力或者数据破坏,是主动式扫描器完美的补充。

注1:由于并未购买PVS,文中所有图是PVS的试用版

关键词:[‘技术文章’, ‘企业安全’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now