什么是漏洞扫描?
探索利用 IBM QRadar SIEM 搜寻威胁的方法
显示不同办公室人员的等轴测图,全部使用 IBM Security

发布日期:2023 年 12 月 15 日
撰稿人:Matt Kosinski、Amber Forrest

什么是漏洞扫描?

漏洞扫描也称为“漏洞评估”,是评估网络或 IT 资产是否存在安全漏洞(外部或内部威胁行为者可利用的缺陷或弱点)的过程。漏洞扫描是更广泛的漏洞管理生命周期的第一阶段。

在当今的大多数组织中,漏洞扫描是完全自动化的。这些工作由专门的漏洞扫描工具来完成,这些工具会发现并标记漏洞,供安全团队审查。

漏洞利用是第二常见的网络攻击媒介,仅次于网络钓鱼(根据 IBM 的 X-Force Threat Intelligence 指数)。在网络罪犯将安全漏洞作为武器之前,漏洞扫描可帮助组织抓住并消除漏洞。因此,互联网安全中心 (CIS)(ibm.com 外部链接)认为持续漏洞管理(包括自动漏洞扫描)是一项关键的网络安全实践。

如何检测并修补 Log4J 漏洞。
什么是安全漏洞?

安全漏洞是指 IT 资产或网络在结构、功能或实施方面存在的任何薄弱环节,黑客或其他威胁行为者可利用这些薄弱环节进行未经授权的访问,并对网络、用户或企业造成危害。常见的漏洞包括:

  • 编码缺陷,如网络应用程序因其处理用户输入的方式而容易受到跨站脚本、SQL 注入和其他注入攻击。

  • 服务器、笔记本电脑和其他端点中未受保护的开放端口黑客可利用这些端口传播恶意软件

  • 配置错误,例如云存储桶由于访问权限不当而将敏感数据暴露给公共互联网

  • 缺少补丁、弱密码或其他网络安全缺陷。

每月都有数千个新漏洞被发现。美国两个政府机构维护着已知安全漏洞的可搜索目录:国家标准与技术研究所 (NIST)网络安全和基础设施安全局 (CISA)(ibm.com 外部链接)。

 

为什么漏洞扫描很重要

遗憾的是,虽然漏洞一旦被发现就会被彻底记录在案,但黑客和其他威胁行为者往往会首先发现这些漏洞,让组织措手不及。

为了在面对这些网络威胁时采取更加主动的安全状况,IT 团队实施了漏洞管理计划。这些计划遵循着一个持续的流程,在黑客利用安全风险之前识别并解决这些风险。漏洞扫描通常是漏洞管理流程的第一步,可发现 IT 和安全团队需要解决的安全漏洞。

许多安全团队还使用漏洞扫描来达成以下目标:

  • 验证安全措施和控制,在实施新的控制措施后,团队通常会运行另一次扫描,以确认已识别的漏洞已被关闭,并且修复工作不会引入任何新问题。

  • 保持监管合规性,有些法规明确要求进行漏洞扫描。例如,支付卡行业数据安全标准 (PCI-DSS) 规定,处理持卡人数据的组织必须每季度进行一次扫描(ibm.com 外部链接)。

漏洞扫描过程如何进行

在云和本地部署应用程序、移动和物联网设备、笔记本电脑和其他传统端点之间,现代企业网络包含了太多的资产,无法进行手动漏洞扫描。取而代之的是,安全团队使用漏洞扫描程序定期进行自动扫描。

识别漏洞

要发现潜在的漏洞,扫描程序首先要收集 IT 资产的信息。有些扫描程序使用安装在端点上的代理来收集有关设备及其上运行的软件的数据。其他扫描程序从外部检查系统,探测开放端口,以发现有关设备配置和活动服务的详细信息。一些扫描程序会执行更多动态测试,例如尝试使用默认凭据登录设备。

扫描程序清点资产后,会将其与漏洞数据库进行比较,该数据库记录了各种硬件和软件版本的常见漏洞和暴露 (CVE)。一些扫描程序依靠公共资源,如 NIST 和 CISA 数据库;另一些则使用专有数据库。

扫描程序会检查每件资产是否显示出任何与之相关的缺陷迹象,比如已知存在远程桌面协议漏洞的操作系统会被黑客控制设备。扫描程序还可根据最佳安全实践列表检查资产配置,如确保敏感数据库有适当严格的身份验证标准。

优先级和报告

接下来,扫描程序会编写有关已识别漏洞的报告,供安全团队审查。最基本的报告只是列出需要解决的每一个安全问题。一些扫描程序可能会提供详细的解释,并将扫描结果与以前的扫描进行比较,以跟踪一段时间内的漏洞管理。

更高级的扫描程序还会根据严重程度对漏洞进行优先级排序。扫描程序可以使用开源威胁情报(如通用漏洞评分系统 (CVSS) 评分)来判断漏洞的严重程度,也可以使用更复杂的算法,在组织的独特背景下考虑漏洞。这些扫描程序还可以针对每个缺陷推荐修复和缓解方法。

计划扫描

网络的安全风险会随着新资产的增加和新漏洞的发现而变化。然而,每次漏洞扫描只能捕捉到一个瞬间。为了跟上不断变化的网络威胁形势,企业要定期进行扫描。

大多数漏洞扫描都不会一次性检查所有网络资产,因为这样会耗费大量资源和时间。相反,安全团队通常会根据重要程度对资产进行分组,然后分批扫描。最重要的资产可每周或每月扫描一次,而不太重要的资产可每季度或每年扫描一次。

每当发生重大网络变更,如添加新的网络服务器或创建新的敏感数据库时,安全团队也会进行扫描。

一些高级漏洞扫描程序提供连续扫描。这些工具可实时监控资产,并在出现新漏洞时立即标记出来。然而,连续扫描并不总是可行或可取的。更密集的漏洞扫描可能会干扰网络性能,因此一些 IT 团队可能更倾向于进行定期扫描。

漏洞扫描程序的类型

扫描程序有很多种类型,安全团队通常会综合使用多种工具来全面了解网络漏洞。

一些扫描程序专注于特定类型的资产。例如,云扫描程序侧重于云服务,而网络应用扫描工具则搜索网络应用中的缺陷。

扫描程序可以在本地安装,也可以作为软件即服务 (SaaS) 应用程序交付。开源漏洞扫描程序和付费工具都很常见。一些组织将漏洞扫描完全外包给第三方服务提供商。

虽然漏洞扫描程序可以作为独立的解决方案提供,但供应商越来越多地将它们作为整体漏洞管理套件的一部分提供。这些工具将多种扫描程序与攻击面管理、资产管理、补丁管理和其他关键功能结合在一个解决方案中。

许多扫描程序支持与其他网络安全工具的集成,例如安全信息和事件管理系统 (SIEM) 以及端点检测和响应 (EDR) 工具。

漏洞扫描类型

安全团队可以根据需要运行不同类型的扫描。一些最常见的漏洞扫描类型包括:

  • 外部漏洞扫描从外部查看网络。他们重点关注面向互联网的资产(如网络应用程序)中的缺陷,并测试周边控制措施(如防火墙)。这些扫描显示了外部黑客如何闯入网络。
     

  • 内部漏洞扫描着眼于网络内部的漏洞。他们揭示了黑客进入后可以做什么,包括他们可能如何横向移动以及他们在数据泄露中可以窃取的敏感信息。

  • 经过身份验证的扫描,也称为“认证扫描”,需要授权用户的访问权限。扫描程序不仅可以从外部查看应用程序,还可以看到登录用户将看到的内容。这些扫描说明了黑客可以利用被劫持的账户做什么,或者内部威胁可能如何造成破坏。
     

  • 未通过身份验证的扫描,也称为“非认证扫描”,没有访问权限或特权。他们只能从局外人的角度查看资产。安全团队可以运行内部和外部非认证扫描。

虽然每种类型的扫描都有自己的用例,但也有一些重合之处,它们可以结合起来实现不同的目的。例如,通过身份验证的内部扫描可以显示内部威胁的视角。相比之下,未通过身份验证的内部扫描会显示黑客在通过网络边界时会看到的内容。

漏洞扫描与渗透测试

漏洞扫描和渗透测试是不同但相关的网络安全测试形式。虽然它们具有不同的功能,但许多安全团队使用它们来相互补充。

漏洞扫描是对资产进行的自动化高级扫描。他们发现缺陷并将其报告给安全团队。渗透测试是一个手动过程。渗透测试人员利用道德黑客技能不仅能发现网络漏洞,还能在模拟攻击中利用这些漏洞。

漏洞扫描成本更低,运行更简单,因此安全团队使用它们来监控系统。渗透测试需要更多资源,但可以帮助安全团队更好地了解网络缺陷。

漏洞扫描和渗透测试结合使用,可以使漏洞管理更加有效。例如,漏洞扫描为渗透测试人员提供了一个有用的起点。同时,渗透测试可以通过发现误报、确定根本原因以及探索网络犯罪分子如何在更复杂的攻击中将漏洞串联起来,从而为扫描结果增加更多的背景信息。

相关解决方案
使用 IBM® Security QRadar SIEM 进行威胁搜寻

显著提高检测率,加快检测和调查威胁的时间

深入了解如何利用 QRadar SIEM 搜寻威胁

漏洞管理和扫描服务

采用漏洞管理计划来识别可能暴露最关键资产的漏洞,划定其优先级并进行修复管理。

深入了解漏洞管理服务

IBM® Security Guardium Vulnerability Assessment

在几分钟内识别威胁。通过内置工作流实现更高的效率和简单的操作。

探索 Guardium 漏洞评估

资源 2023 年《数据泄露的代价》报告

了解数据泄露原因以及增加或减少成本的因素,以便做好更充分的准备。从 550 多家遭遇数据泄露的组织中汲取经验。

什么是威胁追踪?

威胁搜寻是一种主动方法,用于识别组织网络中以前未知或持续存在的未修复威胁。

IBM Security 2023 年 X-Force 威胁情报指数

了解威胁,战胜威胁 - 获取可操作的洞察力,帮助您了解威胁参与者如何发动攻击,以及您应如何积极主动地保护您的组织。

采取后续步骤

网络安全威胁日益复杂且持续存在,这要求安全分析人员付出更多努力来筛选无数的警报和事件。IBM Security QRadar SIEM 可帮助您更轻松、更快速地采取威胁修复措施,同时保持企业盈利。QRadar SIEM 优先处理高保真警报,以帮助您捕获他人未能发现的威胁。

探索 QRadar SIEM 预约实时演示