主题演讲:漏洞扫描在Web安全的应用

网络安全风险隐患突出,本文带大家全方位的了解阿里自己研发的漏洞扫描器AVDS,市场上很多商业化的扫描产品好,主要具备省、全、准、助、零等五个方面的优势。通过典型实践应用案例,大家可以了解阿里漏洞扫描器AVDS不同的使用场景,以及如何帮助用户,还有为用户带来的应用实践效果。


演讲嘉宾简介:
秀英,阿里云安全产品专家


以下内容根据演讲嘉宾视频分享以及PPT整理而成。

本次的分享主要围绕以下三个方面:

一、为什么需要关注Web风险
二、阿里云漏洞扫描如何更好帮助您
三、典型实践应用

一、为什么需要关注Web风险
中国国家网络安全法是在2017年6月1号开始实施,在里面从合规的角度来看,其中第三十八条和地三十九条都有明确的规定,即相关的运营者及有关的监管单位需要对关键的信息基础设施在每年都要进行相关的风险评估。那什么是关键信息基础设施?其中包括能源,交通,金融,教育,及科等行业内的互联网的重要系统。另外,网络安全法到目前为止,已经实施了半年多,下面来具体了解一下实施情况是怎么样的。
在2017年12月24日上午,全国人大的第三十一次会议上,相关人大常委会执法检查机构做了几组汇报,其中包含了几种数据,第一种数据是抽查数据,第二种是普查数据。抽查数据是对大概120个重要的系统(60门户网站+60重要信息系统)进行了检查,检查结果是大概有30个漏洞,其中一个*网站存在3个高危漏洞。第二种数据是由国家互联网信息办公室对全国的关键信息基础设施进行了摸底普查,一共发现了1.1万的关键信息基础设施,当时对其中900个关键信息基础设施进行了检查,提出了7.8万的安全整改意见。另外截止到目前为止,大概有1.7万以上三级重要信息系统,也是覆盖了所有的关键信息基础设施。这其中累积发现了40万的安全漏洞。所以,从整体情况来看,网络安全风险隐患突出,出现的问题也非常严重。
从风险角度分析,下图是黑客工攻击联网系统的攻击链。在整个攻击的过程中,不管黑客使用哪一种攻击手段对我们的设备或者资产造成实时控制,以及对我们的业务造成影响,从下图我们可以看出。其中关键点是联网系统的安全弱点。从目前来看,安全漏洞仍然是联网系统遭受攻击的主要内因。所以如果需要减少风险,安全评估肯定是减少风险的第一步。这里有人会问如果部署了Web,是不是就不需要自动扫描了?这种想法稍微有点本末倒置,因为部署Web只是治标不治本的安全策略,完整的安全体系建设应该先通过漏洞扫描发现问题,发现问题之后再采取相关的风险防护措施。比如说,可以部署Web,但是部署Web并不是万能的,有些漏洞是需要升级相关的Web应用来解决。
主题演讲:漏洞扫描在Web安全的应用
那么,一年1次漏洞评估或渗透测试是不是就够了呢?答案肯定是否定的,因为目前来看,黑客的攻击手段在不断变化,而且每天会出现层出不穷的新的安全漏洞。所以从这个层面看,需要自动化的工具进行持续的检测。可能很多机构已经做了安全检测,那么在Web安全工作的过程中,也会遇到很多的问题。比如常见的挑战包括,维护资源比较紧张,因为一般安全部门的维护资源相对来说比较紧张,如果在维护过程中需要升级或者维护,会相对的耗费资源。第二个挑战是很多互联网机构不清楚自己多少IP或者子域名是联网的,所有一般搞不清楚互联网资产边界。第三个,如果检测的过程中,误报率比较高,准确率比较低也会影响最终检测的效果。第四个问题就是说在整改的过程中,会发现解决方案写的不是很完善,用户根本不知道该如何处理。第五个挑战是目前零漏洞无法及时被发现。
主题演讲:漏洞扫描在Web安全的应用

二、阿里云漏洞扫描如何更好帮助您
阿里云的AVDS具备四个核心功能。第一个核心功能是做Web应用的漏洞检测。目前涵盖所有的OWAS/WASC的Web漏洞,里面还可以做到所有热点应急漏洞的检测。另外目前阿里云有先知漏洞平台,平台会收录很多检测漏洞,里面部分漏洞的检测插件会在平台上进行支撑。另外还可以检查其它网站,如挂马,后门,篡改,敏感内容,敏感数据检测。另外AVDS还可以做到资产关联发现,同时可以生成相关漏洞报告,并且做到漏洞整改过程跟踪。
主题演讲:漏洞扫描在Web安全的应用
大家可能会困惑,为什么阿里云会做安全扫描产品。实际上,AVDS这款产品是阿里云自己及阿里系其它网站的扫描过程中内部的产品。发现在扫描过程中,这款产品要比市场上很多商业化的扫描产品好。所以今年阿里云做了进一步的商业化,与2018年1月25日正式发布,截止到目前为止,已经有阿里云内部阿里系联网资产应用,达到百万级,以及十亿次的安全巡检扫描实践的积累。同时阿里云也希望自己的扫描技术可以应用和帮助到各个机构。
主题演讲:漏洞扫描在Web安全的应用
1.优势
下图是AVDS这款产品的具体优势,分为五大部分,分别是省、全、准、助、零。
主题演讲:漏洞扫描在Web安全的应用
a.省
从省的角度来说,AVDS是一款真正的SaaS模式的自助漏洞扫描服务,可以帮助大家最大限度的节省扫描成本。大家可以免安装,免升级,免运维,可以直接登录到控制台上,直接使用最新的漏洞库,直接执行相关扫描任务,可以随时随地执行任务,有助于异地办公和异地检查。另外AVDS在整个服务期间内是不限次数的,这样可以有助于用户进行持续的监控。
主题演讲:漏洞扫描在Web安全的应用
b.全
这款产品可以绘制整个资产关联的画像图谱,让安全不留死角。因为目前黑客的攻击手段在不断高级化,我们知道不同资产的安全防护措施是不一样的,黑客会从不同资产中比较薄弱的资产入手。比如要攻击资产1,黑客会与之关联的资产2,资产3和资产4中挑选薄弱的环节入手,并作为一个跳板对目标资产1进行攻击。在这样的攻击背景下,传统的扫描器是通过单点扫描方式,只针对扫描的目标,就是说要扫哪个目标,那么在扫描器中输入IP地址。这种扫描方式显然只是针对不太高级的攻击手段。
主题演讲:漏洞扫描在Web安全的应用
阿里云的扫描器在第一步就是要做资产的关联发现。比如要扫描一个域名,那么需要看与这个域名相关的都有哪些IP,哪些域名以及同样的注册机构的其他域名。通过“绘制”资产关联画像图谱可以帮助用户摸清互联网边界,并做到持续监控。其中关联的域名及子域名,包括对应的IP,中间件,应用程序,Web组件和备案信息等。关联的主机服务器IP包括主机名,操作系统和版本,地理位置,开发端口和服务等等。AVDS为什么可以做到这些功能,因为阿里云底层有一个强大的大数据情报支撑,目前涵盖了全球大概2亿多的存活的IP资产,以及2亿多的域名资产信息,已经全网的端口指纹信息,还有全网Web指纹库,全网SSL证书库,最新的WHOIS数据库,以及国内的ICP备案库。
主题演讲:漏洞扫描在Web安全的应用
c.准
怎么样可以做到准?基本要分为两个步骤。第一个,爬虫爬取URL链接要爬的比较全,比较深。第二个是漏洞检测插件要检测率要高。AVDS是采用了启发式深度Web2.0爬虫技术,基于动态解析,对动态页面进行了抓取和检测,所以检测效果会更准更全更深。其中可以模拟用户的操作行为进行动态检测。另外,目前支持AJAX,JSONP,XHR,FORM等相关的交互链接。并且支持目前最新的HTML5,和最新的Web框架(STruts,Spring,jQuery等)和开发语言(JS,API,PHP,.NET,C语言,Perl,Java等)。
主题演讲:漏洞扫描在Web安全的应用
目前来说,AVDS漏洞库的检测插件的准确率达到95%以上,同等厂商可能会到70%以上。所有的检测插件90%以上都是基于渗透测试经验进行开发,可以提供相关的漏洞利用证明。另外在漏洞里面,也内置了多层的漏洞自动验证规则。一般的扫描器可能内置了一层或者双层的验证规则,AVDS可以通过三层以上的验证规则最大程度的保证检测准确率。
主题演讲:漏洞扫描在Web安全的应用
d.助
AVDS也提供了贴身管家服务,大家在扫描过程中遇到扫描问题,或者需要提供相关的目录验证,辅助目录验证以及在整改过程中不知如何修复漏洞。AVDS安全管家可以为大家提供最智能精准的漏洞扫描系统+最专业的安全运维团队,提供一流的漏洞扫描,以及漏洞修复指导服务。
主题演讲:漏洞扫描在Web安全的应用
e.零
阿里云已经有了先知众测平台,这里面一部分的漏洞会根据漏洞整个的利用过程,制作相关的检测插件。我们也建议预算相对充裕的机构对漏洞做到充分的检测,包括第一时间及时发现。建议通过AVDS自动化的评估,比如每个月或者每个季度要评估一次。同时每年要进行1-2次的先知白帽众测,让漏洞无处遁身。
主题演讲:漏洞扫描在Web安全的应用

三、典型应用实践
典型应用实践1:如何摸清资产边界,发现未备案的资产
下图中的应用实践是针对阿里某大型互联网用户,对阿里云的核心诉求是说用户现有网上资产比较多,但是不清楚自己哪些资产联网,希望可以通过AVDS工具集中监控。阿里提供的解决方案是从1个域名出发,大概发现了其300个关联的域名,子域名以及IP资产等,其中20多个是用户不清楚自己已经联网的。同时也提供了详细的资产指纹信息,包括操作系统,开放端口,服务版本,指纹,网站和Web组件等。用户及时对这些资产进行了清理和关停,降低了安全隐患,持续进行监控,制定了完整的备案预警体系。
主题演讲:漏洞扫描在Web安全的应用
典型应用实践2:等保安全风险自查
下图中应用是阿里的一个互联网的金融用户,需要做一些等保检查,他发现在因为网站安全隐患等保检查时不过关。阿里通过提供相关的解决方案,实践的效果是用户不需要自己运维,不用进行漏洞库的升级,直接登录控制台上,针对自己的Web资产,进行扫描操作就可以了。同时也为用户提供了先知众测服务,帮助用户最大程度的发现Web风险。
主题演讲:漏洞扫描在Web安全的应用
典型应用实践3:对下级单位定期监管
下图中是某个测评机构,诉求是说因为一般的检查单位工作量比较大,他们希望在对等的时间的检查更多的工作,同时检查的结果比较准确,不希望因为检查结果不准确导致自己的权威形象受损。用户通过使用阿里提供的解决方案,可以在异地或者在家里方便快捷的一键式启动扫描,在扫描结束后,用户可以收到短信通知,自动给用户发送扫描报告邮件。而且因为阿里的扫描架构是弹性可扩展的架构,比一般的传统扫描器速度上快了一百倍,可以更好的提高检查工作的效率,帮助权威检查机构树立形象。
主题演讲:漏洞扫描在Web安全的应用
典型应用实践4:漏洞评估修复闭环管理
下图中用户是说用了很多企业的扫描工具,但是发现里真正的扫描修复距离比较远,希望阿里可以提供整体的Web漏洞管理平台。阿里通过提供为用户解决方案,可以提供比较准确的检测结果,用户可以知道发现问题之后采取何种措施,用户如果在整改的过程中不知道怎么去修复,阿里也会有安全管家提供安全的贴身服务。另外在整改的整个过程中进行了全程跟踪,整改的效果和效率会一目了然。
主题演讲:漏洞扫描在Web安全的应用

本文由云栖志愿小组董黎明整理
上一篇:SAP SD 基础知识之定价配置(Pricing Configuration)


下一篇:Juc16_LongAdder引入、原理、Striped64、分散热点思想、深度解析LongAdder源码、LongAdder和AtomicLong区别(三)