博客主机
A-A+

安全扫描自动化检测平台建设(Web黑盒下)

2017年12月12日 文章转载 暂无评论 阅读 429 views 次
博客主机

注:本文为“小米安全中心”原创,转载请联系“小米安全中心”

上期回顾:安全扫描自动化检测平台建设(Web黑盒中)

扫描云平台架构设计

随着互联网业务的高速发展,企业业务的快速扩张,传统的安全扫描器已经远远不能跟上企业的脚步,一方面是使用门槛和成本较高,需要专业的安全人员才能使用并发现安全问题,另一方面,传统的以产品为主的交付方式对于互联网企业使用上也存在滞后性,漏洞爆发以后,互联网企业往往是第一波被攻击的对象,漏洞难以及时发现。

针对以上的安全扫描痛点和互联网业务的特点,现在主要以插件式的扫描器为主流平台,并以SaaS的形式输出安全能力。

功能 插件式扫描器 原有检测产品
检测范围 覆盖全部企业域名/IP 爬虫获取/手动加入
支持漏洞范围 自主添加符合自己企业的漏洞检测插件 不定期更新
数据源支持 自主添加数据源 爬虫
漏洞检测库 自主添加,自主编写 大量无用漏洞,更新滞后
指纹识别 根据企业情况,准确识别
资产管理 配合指纹识别,智能获取资产信息,并可以进行分析与管理
扫描策略 周期扫描,全量扫描,增量扫描 人工启动
产品更新 根据漏洞情况随时更新 不定时/不更新

插件式扫描平台与原有检测产品的对比

SaaS云平台架构设计

安全云平台架构设计

安全扫描场景和安全能力输出

1.应急扫描:紧急任务,0day漏洞,安全事件,安全制度,

2.全量扫描:周期性的对全网安全资产进行全插件扫描

3.增量扫描:每天对新上线的Web/服务器和存在服务变更的资产进行扫描

4.上线前的安全测试:尚未上线的项目,由QA/RD,使用Web界面进行自行的安全测试,减少安全工程师的基础工作量。

5.安全自测:产品线对已上线产品测试安全性。

平台基于Docker集群管理,支持平滑扩展和弹性伸缩,以应对业务的持续增长和突发漏洞的全量扫描。

基于流量分析的被动扫描

被动式扫描是完全靠旁路流量分析,并不会发出任何请求的离线安全扫描方式,可以发现网络拓扑,网络服务,网络流量和漏洞,实际使用中,被动扫描是安全分析中重要的一环。最有名的被动式扫描产品当属出品Nessus扫描器的Tenable公司的Passive Vulnerability Scanner (PVS)

PVS介绍

由于PVS的售价非常昂贵,所以国内非常少有公司购买使用(注1)。PVS适用于监控小型网络或者大型网络的特定网段,并且需要搭配主动式扫描器使用。

PVS数据监控页面

PVS漏洞列表页面

从实际使用效果来看,PVS发现的数据仅可以对主动式扫描器作为补充,还远远不能独挡一面,对于甲方来说,并不会关心我们的内部浏览器的使用分布,我们都装了哪些系统等等信息,而PVS发现的漏洞,对于我们而言也是无甚意义。

PVS移动资产管理

PVS可以从流量中发现资产和服务,实际由于网段的限制,效果有限。移动资产的效果就更鸡肋了,大量员工的移动设备,假如我们被一个恶意的设备接入,在这里也根本看不到,何谈分析?

对于我们来说,更关心的是被动式扫描的网络流量分析能力,更多的是他对于新增资产,服务变更等近乎实时的发现能力,并且被动式扫描并不会对服务器造成任何压力或者数据破坏,是主动式扫描器完美的补充。

注1:由于并未购买PVS,文中所有图是PVS的试用版

原文链接:https://sec.xiaomi.com/article/11

标签:
博客主机

给我留言