漏洞评估工具的类型

关注公众号网络研究观获取更多内容。

漏洞评估工具是信息安全管理中的关键组成部分。它们的作用是在攻击者利用之前查明潜在的安全漏洞。

可以采用各种方法和解决方案来进行漏洞评估。选择合适的评估策略对于降低组织的风险至关重要。

漏洞评估的不同方法

在评估漏洞评估方法时，出现了四种主要类型：基于产品的解决方案、基于服务的解决方案、基于树的评估和基于推理的评估。

基于产品的解决方案：这些解决方案在组织的内部网络中实施。它们可能位于私有或不可路由的网络段中，或位于 Internet 可寻址区域内。基于产品的解决方案的一个限制是，如果它们被限制在防火墙后面的私有网络中，它们可能无法检测到来自网络外部的攻击。

基于服务的解决方案：这些解决方案由外部实体提供，例如审计或安全咨询组织。虽然一些基于服务的解决方案位于网络内部，但其他解决方案则在外部运行。基于服务的解决方案的一个潜在缺点是攻击者可能会从外部有利位置对网络进行审计。

基于树的评估：在这种方法中，审计员会针对 IT 环境中的每种类型的机器或系统组件选择特定的策略。例如，可以为 Windows 服务器选择一种类型的扫描仪，为数据库选择另一种类型的扫描仪，为 Linux 服务器选择另一种类型的扫描仪。该过程取决于管理员以一些基本情报启动扫描，并继续连续扫描，而不会在扫描过程中整合新信息。

基于推理的评估：这种方法首先对机器上存在的协议进行分类。一旦确定了协议，扫描过程就会检测相关的端口和服务，例如电子邮件、Web 服务器或数据库服务器。在确定服务后，它会针对每台机器上的特定漏洞并执行仅与发现的服务相关的测试。

漏洞扫描解决方案的功能

对于处理和管理大量数据（通常包括该组织独有的敏感信息）的任何组织而言，漏洞扫描解决方案的功能至关重要。

攻击者可能会试图发现并利用组织系统中的漏洞来非法访问机密数据。漏洞分析可识别和评估组织网络中易受风险影响的区域。

这涉及使用各种工具来检测漏洞并生成有关发现的报告。

漏洞扫描过程通常由三个主要操作组成：

识别活动设备：扫描过程的初始步骤是使用各种扫描方法精确定位目标网络内的活动设备。

编目服务和操作系统：识别活动主机之后，后续操作是编目开放的端口和服务，并确定在识别的系统上运行的操作系统。

评估漏洞：最后一步是仔细检查已识别的服务和操作系统是否存在已知漏洞。

漏洞评估工具的类型

漏洞评估工具分为六种不同类型：基于主机的漏洞评估工具、应用层漏洞评估工具、深度评估工具、范围评估工具、主动和被动工具以及位置和数据检查工具。

基于主机的漏洞评估工具：这些工具专为支持各种应用程序（如 Web 服务、关键文件存储、数据库和目录）并提供远程访问的服务器而设计。它们能够熟练地检测大量漏洞，并提供有关所应用更新（补丁）的必要信息。此类工具可确定给定主机上的操作系统，并仔细检查应用程序和服务中是否存在普遍存在的漏洞。

深度评估工具：这些工具用于发掘和查明系统中以前未知的漏洞。模糊测试等工具会向系统界面发送随机且不可预测的输入，通常用于深度评估以识别细粒度的漏洞。许多深度评估工具利用已知漏洞签名的数据库来评估产品是否容易受到特定漏洞的影响。

应用层漏洞评估工具：这些工具专为适应各种操作系统类型和应用程序架构而设计。它们可以通过外部路由器、防火墙或 Web 服务器监控 Internet 上的系统活动来识别许多安全漏洞，这称为外部漏洞评估。这些工具检测到的漏洞包括可能导致外部拒绝服务 (DoS) 或分布式拒绝服务 (DDoS) 攻击、网络数据泄露和其他安全问题的漏洞。分析师使用这些工具来识别和记录易受攻击的资源。这些漏洞发现的更新会定期集成到评估工具中，这些工具特别适合分析 Web 服务器和数据库。

范围评估工具：这些工具旨在通过测试漏洞来评估应用程序和操作系统的安全状况。它们配备了标准控件和界面，使用户能够执行适当的扫描并根据结果生成标准报告。范围评估工具专门用于分析某个应用程序或一类应用程序中的漏洞。

主动和被动工具：

主动工具用于对正在使用的网络资源进行漏洞评估。主动扫描器的主要优势在于系统管理员或 IT 经理能够充分控制漏洞扫描的时间和方式。但是，主动扫描器不适用于关键操作系统，因为它们占用的系统资源可能会干扰其他正在进行的任务。

被动工具旨在最大限度地减少对系统资源的影响。它们观察系统数据并在单独的系统上进行数据分析。被动扫描器首先收集系统的详细数据，包括有关活动进程的信息，然后根据一组预定的规则评估这些数据。

用于脆弱性评估的位置和数据检查工具有多种形式，包括：

基于网络的扫描仪：这种类型的扫描仪专门与安装它的实际设备交互，并在完成扫描过程后将结果报告给同一设备。

基于代理的扫描程序：基于代理的扫描程序安装在单个设备上，但具有评估同一网络上的多个设备的能力。

代理扫描仪：代理扫描仪是一种基于网络的扫描仪，可以从连接到网络的任何设备对多个网络执行扫描。

集群扫描仪：与代理扫描仪类似，集群扫描仪能够跨网络上的不同设备同时进行多次扫描。