如何发现漏洞
基于端口服务扫描结果,查看服务版本信息(速度慢)
搜索已公开的漏洞数据库(数量大)
使用漏洞扫描器实现漏洞管理
从信息的维度定义漏洞管理
信息收集
扫描发现网络IP、OS、服务、配置、漏洞
需求:能够定义扫描方式内容和目标
信息管理
格式化信息,并进行筛选、分组、定义优先级
需求:能够进行资产分组、指定所有者
信息输出
向不同层级的人群展示足够的信息量
需求:生成报告、导出数据、可以与SIEM集成
SIEM(安全信息和事件管理)是一个由不同的监视和分析组件组成的安全和审计系统
日志管理(LMS)——用于传统日志收集和存储的工具
安全信息管理(SIM)——集中于从多个数据源收集和管理与安全相关的数据的工具或系统。例如,这些数据源可以是防火墙、DNS服务器、路由器和防病毒应用程序
安全事件管理(SEM)——基于主动监视和分析的系统,包括数据可视化、事件相关性和警报
漏洞扫描的类型
主动扫描
是否可进行身份认证
被动扫描
镜像端口抓包分析
基于
Agent的扫描
漏洞的基本概念
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统
CVSS
通用漏洞评分系统,工业标准
描述安全漏洞严重程度的统一评分方案
分值范围:0–10
不同机构按
CVSS分值定义威胁的中、高、低威胁级别CVSS体现漏洞的风险威胁级别表示漏洞对那个风险对企业的影响程度
CVE
已公开的信息安全漏洞字典(
MITRE公司维护)统一的漏洞编号标准
实现不同厂商之间信息交换的统一标准
MS
微软漏洞编号
KB:微软补丁编号
OVAL
描述漏洞检测方法的机器可识别语言
详细的描述漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作
以
XML语言描述
SCAP
集合了多种安全标准的框架
六个元素:CVE、OVAL、CCE、CPE、CVSS、XCCDF
目的使以标准的方法展示和操作安全数据
由NIST(美国国家标准技术研究所)负责维护
解决三个问题:
实现高层政策法规等到底层实施的落地
将信息安全所涉及的各个要素标准化
将复杂的系统配置核查工作自动化
CNVD
国家信息安全漏洞共享平台(CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库
漏洞管理
周期性扫描跟踪漏洞
高危漏洞优先处理
进行合理的扫描
Nessus
简介
家庭版:免费使用
专业版:收费,无限并发连接
安装
扫描
在“扫描”页面上,您可以创建,查看和管理扫描和资源。要访问“扫描”页面,请在顶部导航栏中单击“扫描”。左侧导航栏显示文件夹和资源两部分。
文件夹
“文件夹”部分始终包含以下不能删除的默认文件夹:我的扫描、所有扫描、废纸篓
当您访问“扫描”页面时,将显示“我的扫描”文件夹。当您创建扫描时,它默认显示在“我的扫描”文件夹中
在所有扫描的文件夹显示所创建的所有扫描以及与有权限进行交互的任何扫描。可以点击文件夹中的扫描来查看扫描结果
“废纸篓”文件夹显示已删除的扫描。可以从Nessus实例中永久删除扫描,或将扫描恢复到选定的文件夹。如果删除包含扫描的文件夹,则该文件夹中的所有扫描都将移至“废纸篓”文件夹。存储在“废纸篓”文件夹中的扫描将在30天后自动删除。
资源
策略 插件规则 扫描器
资源之策略
控制扫描技术方面的参数,如超时时间,主机数量,端口扫描器类型等等
用于本地扫描(例如
Windows,SSH),经过身份验证的Oracle数据库扫描,HTTP,FTP,POP,IMAP或基于Kerberos的身份验证的凭证精细的家庭或基于插件的扫描规范
数据库合规性策略检查,报告详细程度,服务检测扫描设置,
Unix合规性检查等等对网络设备进行脱机配置审计,可以安全检查网络设备,而无需直接扫描设备
Windows恶意软件扫描,比较文件的MD5校验和,包括已知的好文件和恶意文件
资源之插件规则
允许隐藏或改变任何给定的插件的严重性。另外,规则可以限制在特定的主机或特定的时间范围内。在此页面上,您可以查看,创建,编辑和删除您的规则
资源之扫描器
该扫描器页面显示的链接键和遥控器的扫描器列表。您可以点击链接的扫描器查看有关该扫描器的详细信息
扫描器由扫描器类型标识,并指示扫描器是否具有共享权限
可以使用链接密钥或有效帐户凭证将远程扫描器链接到Nessus Manager。一旦链接,扫描器可以在本地进行管理,并在配置扫描时进行选择
扫描模板
扫描模板之设置
每个策略都存在以下设置,但可用的配置项目可能因所选模板而异
基本 发现 评定 报告 高级
扫描模板之凭证
每个策略都存在以下设置,但可用的配置项目可能因所选模板而异
云服务:
AWS:亚马逊网络服务Microsoft Azure:微软基于云计算的操作系统Rackspace:全球三大云计算中心之一,是一家全球领先的托管服务器及云计算提供商,公司总部位于美国Salesforce.com:Salesforce是处于世界首位的开发CRM客户关系管理平台。软件基于云端,因此用户不需要IT专家团队进行安装设置或管理,只需登陆即可使用Red Hat Enterprise Virtualization:红帽企业虚拟化
数据库:包括
MongoDB,Oracle,MySQL,DB2,PostgreSQL和SQL Server主机:其中包括
Windows登录,SSH和SNMPv3其他服务:
VMware,Red Hat Enterprise Virtualization等明文身份验证机制:包括
FTP,HTTP,POP3和其他服务
扫描模板之插件
插件选项可以选择插件系列的安全检查或单个插件检查
点击插件系列,您可以启用(绿色)或禁用(灰色)整个系列。选择一个系列显示其插件列表。可以启用或禁用单个插件来创建特定的扫描
禁用某些插件的系列是紫色的,并显示混合,表明只有一些插件已启用。点击插件家族加载完整的插件列表,并允许根据您的扫描偏好细粒度选择
插件的详细信息包括 摘要,说明,解决方案,插件信息和风险信息
设置
关于 高级 代理服务器 SMTP服务器 自定义CA 密码管理 扫描健康 我的帐户
设置之关于
”关于”页面显示Nessus许可和插件信息的概述。当您访问产品设置时,默认情况下出现关于页面
设置之高级
高级设置允许您手动配置全局设置。为了使这些设置生效,可能需要重新启动Nessus服务或服务器。注意:在扫描或策略中配置的设置将覆盖这些值
设置之代理服务器
代理服务器用于转发HTTP请求。如果您的组织需要一个,Nessus将使用这个代理服务器从可靠的地方获得软件更新。只需要主机和端口字段。如果需要,可以使用用户名、密码、身份验证类型和用户代理
设置之邮件服务
简单邮件传输协议(SMTP)是发送和接收电子邮件的行业标准。一旦为SMTP配置好,扫描结果将通过电子邮件发送到扫描的“电子邮件通知”配置中指定的收件人列表。这些结果可以通过过滤器定制,并需要一个HTML兼容的电子邮件客户端
设置之自定义CA
在扫描期间保存自定义证书颁发机构(CA)有助于减轻来自插件#51192 (SSL证书不可信)的发现
设置之密码管理
密码管理允许您设置密码参数,以及打开登录通知和设置会话超时。登录通知允许用户查看最近一次成功登录、最近一次失败登录尝试(日期、时间和IP)以及自上次成功登录以来是否发生了任何失败的登录尝试。更改将在软重启后生效
设置之扫描健康
以图表的方式显示NESSUS的运行健康状态
设置之我的账户
此页面可进行账户密码更改、API密钥生成等
