漏洞发现,除了漏扫还能靠啥?
2024-12-12 08:26:0 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

1998年,第一款全球知名开源漏扫工具Nessus创建并发布,没想到大受欢迎。相比于此前个人编写的脚本及工具来检测网络已知漏洞,Nessus功能更丰富也更趁手,适用的安全人员段位也更广泛。此后,随着国际标准漏洞命名系统(CVE)推出,漏洞严重性评分体系(CVSS)引入,漏洞发现成为了一件更专业的事。越来越多的企业推出专业漏扫工具,漏扫技术也不断升级,从扫描传统的网络层与操作层,扩展到云环境、容器应用、物联网设备等等。

发展到现在,漏扫技术已经非常成熟。目前大部分企业想要发现自身资产漏洞,都会通过专业漏扫工具实现。漏扫工具的价值,自不必多说。但随着数字化、信息化建设加快,在这个漏洞爆发、0day日益增多的时代,单靠漏扫工具来发现漏洞,肯定是不够用了。
  • 首先,大部分漏洞不支持从原理层扫描。虽然从原理层扫描,对于漏洞检测相对更准确。但全网三十多万个漏洞,支持原理层扫描的,仅占不到一万。而绝大部分漏洞,要么涉及具体应用逻辑,要么包含大量针对特定业务需求编写的代码,要么API调用链路复杂参数多变,没法进行自动化原理层漏扫,使得无法对全网漏洞进行全面精准扫描。
  • 其次,漏扫对业务有入侵性,可能产生脏数据。以SQL注入测试为例,当扫描器尝试探测数据库是否存在SQL注入漏洞时,可能向查询语句插入特殊字符或者命令,如果没能成功清理,就会作为无效记录保存到数据库,形成“脏数据”,干扰正常数据和分析。

  • 最后,开发漏扫PoC成本高,导致漏洞发现滞后。开发漏洞PoC是一个深入研究和逆向的工程,针对新发现的漏洞不仅需要彻底了解漏洞背后的机制和技术细节,通过对二进制文件逆向工程、协议分析及源代码查询,为了确保PoC的有效性和可靠性,通常还要搭建一个与目标系统尽可能相似的测试环境,需要投入很大的人员与时间成本,很可能错过发现漏洞的最佳时机。

第二种方式:资产与漏洞情报匹配

通过资产匹配发现漏洞,并非全新手段。但相比漏扫,资产匹配不涉及业务交互,也不存在影响业务的情况,在漏洞发现的及时性上,有更好的效果。

基于漏洞情报的资产匹配,主要依赖对已有漏洞的分析与标记,而非主动向目标系统发送探测请求,所以通过漏洞情报数据关联分析,确定哪些资产受漏洞影响,不需要直接与业务系统发生交互,避免了影响业务的情况出现。

覆盖度上,漏洞情报不仅覆盖公共漏洞数据库,同时收集互联网多个渠道信息进行研判分析,捕捉漏洞更全面,并且随着时间推移,能够实时检测最新漏洞情况,保证漏洞覆盖的全面性。一旦出现漏洞,可以实时匹配资产,相比传统基于PoC开发的漏扫,时效性更高,响应速度也更快。

难点:资产与漏洞名称&版本自动化匹配

通过资产与漏洞情报匹配的方式,解决漏洞发现的问题也并不容易。

在企业一线的实践中,一些技术实力雄厚的企业,会选择模糊匹配的方式,针对特定场景,例如开发安全等等,直接引用第三方漏洞库发现内部漏洞,进行资产漏洞匹配。但这种方式只针对漏洞名称相对更规范的很少一部分漏洞,且需要人工处置,无法大规模自动化,也不能真正达到快速全面发现漏洞的要求。

想要达到漏洞发现时效性及全面覆盖的“实战”化要求,意味着企业需要将当前网络环境所有高危漏洞,在出现漏洞后第一时间锁定相关资产。但目前实际的情况则是,不仅全球几大漏洞机构漏洞命名非常不统一,而且绝大多数企业存在大范围的资产版本多、命名不一致的情况,很难实现内部资产与最新漏洞自动化准确匹配。

以Acunetix Ltd.公司的已修复漏洞Acunetix Web Vulnerability Scanner为例,针对该漏洞,企业资产可能是另一个名字Acunetix Scanner Service,漏洞名称与企业资产名称并不匹配。而这种不匹配的情况非常普遍,且量级巨大,属于业界难题。

资产与漏洞名称经常不一致

微步国内首次推出基于大模型的资产漏洞匹配

基于这些问题,微步下一代威胁情报对漏洞情报能力进行重大升级,通过微步安全大模型,将漏洞与资产名称自动映射匹配,企业只需录入自有资产即可自动发现漏洞。同时,这也是国内首次针对漏洞与资产基于大模型进行“自动化”匹配。通过微步漏洞情报的自动化资产漏洞匹配(微步下一代威胁情报平台NGTIP、X情报社区及微步威胁情报检测与分析API均支持),能够帮助企业实现:

  • 更全面的漏洞排查。针对公开漏洞,微步通过海量漏洞源进行全自动化数据采集,同时微步拥有国内质量水平领先的0day奖励计划,收录高价值未公开漏洞,并通过信息融合,保证漏洞准确性与全面性。且在漏洞总量和覆盖度上,微步国内领先,平均漏洞总量超过三大漏洞库等情报平台20%以上。对于企业手动操作,且只能匹配一部分漏洞的情况,微步自动化漏洞资产匹配,能保证当前所有相关漏洞均及时通知。
  • 更及时的漏洞发现。微步漏洞情报及时性国内领先,超过10%以上的2024年漏洞平均早于三大官方漏洞库80-200天。企业录入资产后,一旦出现漏洞,微步漏洞情报可第一时间匹配企业内部资产,进行漏洞告警,且能第一时间提供无损PoC,帮助安全团队节省更多时间。

  • 效率更高的漏洞运营。微步漏洞情报通过安全大模型XGPT,能自动对厂商产品名称进行初始化,快速达到漏洞与资产匹配的自动化。企业只需通过NGTIP或X情报社区录入相关资产数据,产品就能自动匹配企业内部受漏洞影响厂商、产品及版本范围,及时发现内部资产漏洞。相比漏扫、手动匹配资产,通过微步自动化的资产匹配,漏洞发现效率能够得到极大提升。

“自动化”漏洞资产匹配,虽然只是微步下一代威胁情报能力的一个微小创新升级,但在当前漏洞攻击更频繁、漏洞危害更严重的环境下,在整个漏洞来源与实际应用标准不统一的背景下,更像是一把全新的钥匙,我们希望可以帮助更多企业打开高效、精准发现漏洞的大门,帮助更多企业做好漏洞运营与安全运营。

联系微步

如要试用微步漏洞情报

扫码在线沟通
↓↓

点此电话咨询
· END ·

文章来源: https://mp.weixin.qq.com/s?__biz=MzI5NjA0NjI5MQ==&mid=2650182768&idx=1&sn=26452c69a1346cdb53381e524ab2425e&chksm=f4486fccc33fe6da43a706a6ab100eb7ace61244a4b0fa4808d8aede74562173c25b76324ed0&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh