漏洞是最為常見的黑客攻擊手段之一,也是目前企業最基礎最重要的防御目標。
在網絡安全發展過程中,漏洞掃描器也曾風光無限。而今,在國家網絡安全攻防演練、監管機構關注升級的背景下,隨企業日漸復雜而龐大的信息化業務而釋放出的新場景和新需求,都為漏洞掃描器在下一個十年的發展帶來了變量。
漏洞掃描技術的發展與迭代
開源漏洞評估工具的出現,迄今已經有近二十年時間,在2002年,Nessus收回了版權并封閉了源代碼,商業化掃描器逐漸進入人們的視野。在過去的十年中,漏洞掃描技術的發展也隨著IT環境、業務的變化而不斷變化,對于漏洞掃描的目標、場景甚至對象都產生了變化。
目標:由等保合規到實戰攻防
2007年6月,《信息安全等級保護管理法》的出臺,造就了漏洞掃描系統市場的火爆,以滿足等保合規需求的漏洞掃描器接踵而生。近幾年開始,在國內網絡安全攻防演練、監管機構關注度提升等背景下,催生了新的技術需求與目標:
l 更關注漏洞掃描結果的真實性和有效性。X-Force的研究表明,黑客真實利用的漏洞與新增漏洞相比平均不到5%
圖1 新增漏洞趨勢
圖2 漏洞利用趨勢
在實戰中,攻擊者往往會針對危害性大、影響面廣、可利用性高的漏洞構造攻擊。那么在響應時間有限的情況下,提高漏洞掃描結果“信噪比”,避免浪費大量時間和精力來進行無效的驗證和過濾,才能先于攻擊者排查并處置自身存在的可利用漏洞。
l 更關注漏洞掃描器的1day漏洞應急能力——在漏洞層出不窮的今天,快速檢出公網爆出的漏洞以及監管單位通報的漏洞也是我國漏洞管理的另一強需求。在國家對網絡安全的日益重視的當下,基于廠商漏洞庫數據包進行不定期離線更新的技術方式已然不夠,應對面向CVE、CNVD甚至其他公網漏洞情報的準實時插件更新及基于云的自主更新。
場景:由工具到DevSecOps
隨著對信息安全的重視,安全業務的參與感也更重。以往安全防御是特定團隊的責任,在開發的最后階段甚至上線后才會介入,而隨著敏捷開發和DevSecOps的出現,安全防護開始貫穿業務應用的整個生命周期,安全管理工作也不再獨立,各個產品要相互依托并融合多個開發場景。在“安全左移”的背景下,漏洞掃描被嵌入了CI/CD流程,基于流量、消息隊列的被動信息收集允許將業務功能測試與安全測試結合,而IAST、DAST、SAST等不同的技術也被同時應用在了業務應用安全測試的多個階段中。漏洞掃描不再是單一的測試工具,而是與流程中的多個關鍵階段緊密結合,與包括WAF、IPS、HIDS、SOC等安全設備聯動,產生1+1>2的效果。
對象:由簡單對象到多元化
云原生、工業物聯網等技術的普遍應用,使得掃描器不再單一的以服務掃描和web掃描為核心,而是需要囊括多種檢測對象,如iot 容器,移動安全等新業務場景。不僅如此,不單單是漏洞檢測,弱口令檢測、敏感信息檢測、不安全配置核查、供應鏈安全甚至云架構安全性的驗證也成為下一代掃描器不得不考慮的技術點。
漏洞掃描器的十年之變
需求與市場在變化,技術也隨之提供支持。事實上,漏洞掃描器在信息收集、漏洞檢測甚至核心思想上都悄然發生著變化,而仔細梳理這些變化,也可以看出漏洞掃描器的一些技術迭代。
探測之變
過去的資產探測主要靠進行tcp發包探測目標的存活性以及端口開放情況,當前信息化推進迅速,對于指定目標進行探測很難做到資產的全面探測,在這種場景下基于業務流量的被動資產探測則做了很好的補充;面對海量IT資產、安全防御策略等現實情況,arp、無狀態掃描、隨機地址掃描、802.1q協議等技術的引用也促進了探測技術的前進;在子域名方面除了傳統的字典爆破機制,也增加了DNS歷史數據查詢、網頁域名遞歸抓取、內網DNS服務聯動查詢等方式。
爬蟲之變
web2.0時代,前端框架的使用越來越多,網頁內容對爬蟲越來越不友好。不考慮服務端渲染,Vue等單頁應用框架讓靜態爬蟲徹底失效,傳統靜態爬蟲無法適配JavaScript的解析,這直接導致了在進行web掃描時,無法對完整的DOM樹進行捕獲,可能遺漏資產的風險面和部分安全測試用例。另一方面,當前web交互日漸復雜和頻繁,對于大量表單登錄、彈窗跳轉等交互場景,靜態爬蟲難以自動處理,獲取更深層的URL。另外由于頁面反爬技術的流行,技術上需要融入了高仿真實時渲染 DOM 遍歷算法以及交互行為分析和偽裝能力。
檢測之變
漏洞的檢測技術在實戰性的推動下,由檢測特征到漏洞庫匹配的模式逐漸向PoC驗證檢測的模式進行轉變,通過構造真實且可控的payload請求,對目前進行無害化漏洞驗證,不僅兼容度更高,還具備漏洞誤報率低、發包量少、檢測速度快等特點,甚至還能對部分防御規則進行繞過。
思想之變
首先,對于漏洞的理解產生了較大變化,漏洞不僅僅是CVE、CNVD、CNNVD等包含編號的漏洞;漏洞檢測更加全面,包含危害面、傳播度、威脅程度等多緯度的攻擊向量。不僅如此,越來越多的掃描器也朝著半自動化,甚至全自動的攻擊模擬演變,未來普通安服能力可能會直接被一個智能掃描器所取代,而背后的紅隊及安全研究能力則是這類產品能力的拔高和天花板。
靈鑒的精準出擊
靈鑒(Ai·Scan)弱點識別與檢測系統是企業級輕量漏洞發現與檢測工具。靈鑒致力于幫助用戶輕松構建實戰化防御能力,讓安全弱點無所遁形,它將技術創新的價值最大化呈現與釋放:
1.知識圖譜賦能指紋探測
靈鑒基于知識圖譜化的指紋經驗庫和17000+的檢測規則,對目標指紋信息進行準確的分析識別,對比傳統技術的在識別準確率上提升40%。
2.無時差的掃描與響應
靈鑒采用流式數據輸出模式,實現了零時差快速響應,解決了傳統漏掃工具在掃描完成之前無法獲取結果的弊端。將漏洞在發現的第一時間報送給用戶,以便快速對漏洞進行處置,縮短風險的暴露時間。
3.接近0誤報的無害PoC漏洞檢測
靈鑒基于PoC原理+自驗證檢測方式,采用智能化掃描插件,每個插件都來源于靈鑒安全實驗室實戰研究,能夠根據掃描過程調整驗證算法,全方位多維度的探測目標風險點。
靈鑒安全實驗室研究團隊時刻關注最新漏洞動態,將實時更新漏洞插件,隨時保障用戶對資產脆弱性的準確評估。漏洞經過真實驗證,確保漏洞的真實有效,避免海量誤報影響業務判斷,讓安全人員擺脫漏報、誤報困擾,節省安全資源。
4.擁有豐富的漏洞庫和詳情的POC檢測能力
內部運營覆蓋了全球數十個漏洞庫及相關漏洞事件情報的數據源,并長期投入漏洞研究與攻防分析,靈鑒的PoC不僅覆蓋了CVE、CNVD等收錄的漏洞,還包括一些未獲得編號的高質量攻防漏洞、國外小范圍應用但國內未通報的1day漏洞和部分未公布漏洞詳情利用細節的漏洞,切實幫助企業先于攻擊者發現內部所有可能暴露的攻擊面,提升了檢測的準確性。
靈鑒從攻防實戰角度對漏洞進行發現和驗證,深度貫徹“以攻促防”理念,基于微服務架構、AI智能指紋探測、原理PoC驗證等多種技術,針對企業在1day漏洞應急、攻防演練、高質量漏洞挖掘等實戰化場景,提供卓越的漏洞發現能力。
