【51CTO.com快譯】作為企業的IT安全管理員，您的重要任務之一，一定離不開全面的漏洞管理。即，全方位地評估、報告和緩解企業內部技術棧中，存在的各項安全弱點和網絡威脅。而面對此類繁雜復雜的工作時，我們往往需要借助自動化的漏洞掃描程序，來更加高效地識別出潛在的弱點，并實現對于漏洞的基礎性管理。

從原理上說，漏洞掃描應用會幫助團隊，優先創建已連接到企業內網中所有系統和設備的清單，然后它會記錄操作系統、目標軟件、以及與各種在冊部件的詳細信息，最后逐一實施安全管理。

下面，我們將深入探討企業為何采用自動化漏洞掃描，可采用的各種掃描機制，以及一些時下流行的自動化漏洞掃描工具。

一、自動化漏洞掃描的基本原理

前文提到了漏洞掃描工具可以識別網絡內的各種資產，其中包括：服務器、筆記本電腦、防火墻、打印機、以及應用容器等，并不斷收集它們的具體運作細節。同時，此類掃描工具具有審計、日志記錄、威脅建模、報告和修復等組合性功能，并在此基礎上，允許企業在任何給定的時間內，去評估自身的安全態勢。

除了時常被作為企業網絡安全的優秀實踐，各國政府的法規和行業標準也通常會要求企業，通過漏洞掃描工具來確保數據得到安全的保護。盡管不同行業的具體實現用例可能有所不同，但采用自動化的漏洞掃描方式，一般可以為企業帶來如下好處：

1.主動安全

鑒于黑客通常會將應用服務的漏洞，作為入侵系統的入口，自動化漏洞掃描工具能夠讓安全團隊，搶在各種漏洞被利用，進而危害到企業現有資產之前，予以報告并修復。

2.風險評估

定期執行漏洞掃描，會使得IT和安全團隊能夠掌握，針對當前系統已實施的安全控制的有效性。而且，在安全專家完成了某個錯誤和漏洞的修復之后，還可通過再次執行掃描的方式，評估整體的改進效果。

3.降低成本和開發時間

顯然，自動化掃描可以通過無縫地執行測試，省去了各種既耗時、又耗力的人工操作。此外，漏洞掃描工具還能夠縮短修復漏洞的開發周期、以及高昂的成本。

4.合規

業界的各種合規性法律往往會要求企業，遵循適當的技術和安全措施，以妥善處理持有的數據。此類合規標準包括我們耳熟能詳的：通用數據保護條例(GDPR)、健康信息隱私和責任法案(HIPAA)、以及支付卡行業數據安全標準(PCI-DSS)等。

二、漏洞管理的流程

為了最小化攻擊的潛在威脅，我們可以通過如下流程，來實施針對漏洞的檢測與管理：

1.漏洞識別

企業可以使用各種依賴于最新漏洞數據庫、以及威脅情報技術的工具，來識別系統組件上的漏洞，進而創建待修復的組件清單。漏洞掃描工具可以憑借著實時、完整的監控特性，在威脅發起攻擊之時，立即識別出來。

2.風險評估

一旦漏洞被識別，我們就需要通過評級系統，根據它們的時效特征、以及固有危害性，來評估其影響性，進而對它們進行優先級的權重評定。據此，管理團隊便可根據風險的嚴重性，確定待實施補丁的優先級，進而實施有效的修復。

3.修復

根據漏洞的優先級，安全專家開始計劃并籌備通過加強監控，限制對高風險子系統的​​訪問等修復措施，從而在應用的補丁被發布之前，從系統與組件級別，阻止可能的攻擊。

4.報告

我們通過記錄和報告已處置的漏洞，以及針對應用的補救措施，以展示企業對于安全態勢的認知與掌控。同時，各種合規性要求，也需要通過報告，來為企業的問責制進行背書。

[[426720]]

三、自動化漏洞掃描的類型

1.內部漏洞掃描

內部掃描機制主要針對的是企業的內部網絡。掃描工具會識別出系統內部的各種攻擊向量(attack vectors)，其中就包括了由惡意員工所帶來的弱點與威脅。

2.外部漏洞掃描

外部掃描機制主要針對的是暴露于外部網絡(如，互聯網)的IT系統，包括：面向外部的應用程序、網絡、服務、端口、以及網站等。此類掃描工具會關注于對于客戶和其他外部用戶在訪問目標系統時，可能產生的漏洞與威脅。

3.認證成功與否的掃描

針對認證成功(即，持有信任憑據)的掃描，主要著眼于企業的IT系統內部，檢查那些已登錄進來的受信任用戶，在安全環境中的行為表現。針對認證失敗(即，無憑據或憑據有錯)的掃描，雖然無法介入系統的可信訪問，但是可以從外部攻擊者的角度，提供有價值的安全洞見。

4.自動化漏洞掃描工具的選擇

目前，在安全測試的市場，有著許多類型的漏洞掃描工具。下面，我們來討論在工具選擇的過程中，有哪些需要考慮的因素和注意的事項。

5.漏洞掃描的覆蓋率

通常，雖然各家漏洞掃描工具都具備了基本的漏洞識別能力，但是，我們還是希望待選工具能夠降低設置安全監控的成本和復雜性。這不但可以保證具有廣泛的掃描覆蓋率，而且避免了安全團隊針對某些安全盲區，而實施的額外集成。

6.Web技術棧的覆蓋

大多數漏洞掃描程序一旦被啟動，就會去爬取整個Web應用，以獲悉完整的系統架構、及其安全態勢。但是，該目標往往需要建立在識別Web應用的每個表單、頁面、以及組件元素的基礎上。作為一款恰當的漏洞掃描工具，應當具有橫跨多個開發棧、框架、以及部署環境的識別能力，才能有效地管理漏洞。

7.易用性

作為一個復雜而全面的掃描過程，漏洞管理工具顯然需要對企業的網絡、設備和服務具有深入的洞察。但是，我們無法保證企業中的每一位安全運維人員，都具備足夠的基礎知識，并能夠對漏洞掃描進行執行與判斷。因此，漏洞掃描工具應當事先抽象、并簡化所有涉及到采集、識別和檢測威脅的人工作業，以便讓運維團隊更加專注于某些特殊的異?；顒?。

8.速度和掃描質量

鑒于安全威脅的突發性和易于蔓延的特點，漏洞掃描工具應當能夠在短時間內，根據各個應用程序與網絡資源的運行狀態，持續識別并刷新已發現的漏洞清單。同時，該工具應當能夠最大限度地減少誤報，以確保漏洞掃描報告的質量。

9.合規

某些高要求的行業(如，醫療保健、金融和國防)通常需要出具更深層次的漏洞評估與報告，以滿足監管配置的合規性。對此，它們往往需要根據HIPAA、GDFR和ISO等監管機構所倡導的安全實施標準，來選擇掃描工具。

10.修復建議

對于一些已經全面實現運維自動化的企業而言，它們往往希望掃描工具能夠提供針對常見漏洞的自動化修復方案，以及針對更為復雜漏洞的合理化措施。這對于那些跨職能的團隊而言，是非常實用的。畢竟，安全是整個企業的共同責任。

四、自動化漏洞掃描工具的類型

我們可以根據操作模式和運行環境，將自動化漏洞掃描工具歸納為如下類型：

1.基于網絡的掃描

基于網絡的漏洞掃描工具可被用于發現，那些連接著企業內、外部網絡設備上的安全態勢。其目標是使得安全團隊能夠識別出，可能存在于網絡邊界處的受攻擊面。

2.基于主機的掃描

基于主機的漏洞掃描工具能夠協助安全團隊，識別出內網中各類主機(包括，工作站、服務器、以及筆記本電腦等)上，可能會被“爬取”的系統類型、補丁歷史記錄、配置信息、以及攻擊者未經身份認證而進入系統的可能性與破壞程度。

3.無線掃描

通過對企業無線網絡的掃描，檢測可能受到惡意攻擊的接入點，以及驗證WiFi網絡的安全態勢。

五、應用程序漏洞掃描工具

此類掃描程序包括：動態應用程序安全測試(Dynamic Application Security Tests，DAST)、交互式應用程序安全測試(Interactive Application Security Tests，IAST)、靜態應用程序安全測試(Static Application Security Tests，SAST)、以及運行時應用程序自我保護(Runtime Application Self-Protection，RASP)等類型的工具。

1.數據庫掃描工具

大多數Web應用都會依賴數據庫來存儲關鍵信息。而針對數據庫的掃描工具，能夠識別諸如：SQL注入攻擊等，典型的數據庫管理系統(DBMS)中的漏洞。

2.流行自動化漏洞掃描工具列表

Crashtest Security Suite

這是一款端到端的、能夠與Web應用、Javascript、API測試平臺，無縫融合的DevSecOps類工具鏈。在保證更安全的發布和部署的同時，Crashtest Security通過參照OWASP Top 10的基準，實現了較低的誤報率(包括false positive和false negative)。同時，它能夠提供各種用戶友好的格式輸出、準確的報告、以及切實可行的修復建議。

Netsparker

該平臺通過包含可用于漏洞評估的多種集成與安全方案，實現了自主、快速地檢測和描述漏洞，并及時提供包含修復意見的報告。

Acunetix

該Web應用安全掃描工具同時提供付費和開源兩個版，可以掃描高達6500種漏洞。Acunetix能夠通過對大規模的網絡和應用執行自動化掃描，為運維團隊提供深入的洞見。

Metasploit

開源的Metasploit框架，通過進行滲透測試和入侵檢測，以發現整個基礎架構中的系統級漏洞，進而提高企業的安全態勢。同時，Metasploit也可以通過定制，來滿足各種Web應用的特定安全需求。

Nmap

作為另一種開源式漏洞掃描工具，Nmap可被用于發現操作系統和網絡主機中的各種漏洞。

IBM Security QRadar

這是一個功能豐富的安全情報平臺，可以讓運維團隊快速地識別、分析和修復各種潛在的威脅。該平臺的人工智能技術，可被用來檢測可能出現的新型威脅和模型事件，并及時提供修復建議。

Nessus Professional

Nessus是全面的漏洞評估和配置管理平臺。通過掃描各類漏洞，它能夠主動地保護目標網絡，免受各類攻擊。

Burp Suite

Burp Suite是由PortSwigger開發的一款Web應用安全測試方案，可以協助企業通過自動化掃描的方式，對抗各種零日威脅(zero-day threats)。同時，該套件也可以通過滲透測試功能，來識別各種SQLi攻擊對于Web服務器的影響。

六、小結

總的說來，自動化漏洞掃描工具包括了各種可定制的高級測試案例，可用于掃描應用環境中的各種潛在漏洞，并通過詳細報告的形式，提出相應的修復建議。其自動化特性，也消除了運維人員各項繁瑣的手動工作。因此，我們可以通過適當選擇工具，來為企業構建良好的安全態勢。

原文標題：Your Guide to Automated Vulnerability Scanners: Types, Benefits, and More，作者：Sudip Sengupta

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】