Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

网站漏洞扫描服务中的扫描建议分析

关于漏洞扫描服务中的解决方案:公网坚决扫,内网谨慎。按网络分类:互联网公开业务和内部网络业务。按照服务类型分类:网络类,高风险服务类,私人协议类。公共网络服务,业务必须接受安全检查,因为我们不扫,黑客也会日夜盯着业务扫。与其将来没有计划地被黑客扫描,不如有节奏地按照变更计划,逐渐适应被扫描。


在遵守变更管理原则的前提下,也就是说,第一次上线有点麻烦和痛苦。比如业务侧需要修改监控逻辑一个月(忽略扫描器触发的错误请求),需要兼容适应一些扫描触发的异常,甚至一些无人维护的业务扫描后无法修改,只好加白名单。这些都需要磨合。当安全团队可以定期连续扫描时,上述问题不再是问题。公共网络高风险服务:只识别协议,不做漏洞检测,因为高风险服务的端口打开是不可取的,直接关闭服务比较直接,检测漏洞只是浪费更多资源而已;



公共网络私人协议:大部分扫描仪无法支持这些协议的漏洞检测,只能忽视不做扫描,当然这里会有盲点,暂时不展开;内部网络服务的复杂性要比上面高很多倍,一方面,内部网络你不扫,黑客进来扫的几率不大。另一方面,大家对传统特权的依赖导致内部网络漏洞比公网多很多,也更禁不住扫,你一扫,很有可能就会出事故。因此,如果只做端口扫描,确定交换机路由器还能承受(嗯,以前遇到过老网络设备你稍微打开一点扫描请求它直接挂掉的现象),相对可以接受。



协议识别的这一步可能会导致一些脆弱的服务挂断,账户爆破可能会导致账户关闭(进而导致连带事故),漏洞扫描风险更大。因此,大多数情况下,实际上并不鼓励使用网络扫描的方式进行内部网络风险评估,如果agent能够收集到版本号、配置、帐号等相关信息,实际上也能够完成风险数据的收集,不必死盯着网络扫描这种手段。但是,这样的内网不是很危险吗?残酷的事实是,是的,这是绝大多数企业的现状,非常可怕,对吗?如果一些漏洞特别焦虑(如MS17-010),内部网络实际上可以按照上述标准流程扫描特定的端口服务,但很难实现全面的漏洞扫描。嗯,今天先写到这里,请多多指教。有些东西,说出来会觉得很朴实无华,很无聊,没有什么技术含量。但在工作中,掌握它之前,它可能是影响项目成败的关键,有时我称之为行业知识。在美团安全团队中,类似的麻烦会很少影响项目的进度。毕竟团队里有很多有经验的人,大家都比较关注技术和安全工作本身。


分享: