網絡安全風險隐患突出,本文帶大家全方位的了解阿裡自己研發的漏洞掃描器AVDS,市場上很多商業化的掃描産品好,主要具備省、全、準、助、零等五個方面的優勢。通過典型實踐應用案例,大家可以了解阿裡漏洞掃描器AVDS不同的使用場景,以及如何幫助使用者,還有為使用者帶來的應用實踐效果。
演講嘉賓簡介:秀英,阿裡雲安全産品專家
本次直播視訊精彩回顧,戳這裡! 以下内容根據演講嘉賓視訊分享以及PPT整理而成。 本次的分享主要圍繞以下三個方面:一、為什麼需要關注Web風險
二、阿裡雲漏洞掃描如何更好幫助您
三、典型實踐應用
中國國家網絡安全法是在2017年6月1号開始實施,在裡面從合規的角度來看,其中第三十八條和地三十九條都有明确的規定,即相關的營運者及有關的監管機關需要對關鍵的資訊基礎設施在每年都要進行相關的風險評估。那什麼是關鍵資訊基礎設施?其中包括能源,交通,金融,教育,及科等行業内的網際網路的重要系統。另外,網絡安全法到目前為止,已經實施了半年多,下面來具體了解一下實施情況是怎麼樣的。
在2017年12月24日上午,全國人大的第三十一次會議上,相關人大常委會執法檢查機構做了幾組彙報,其中包含了幾種資料,第一種資料是抽查資料,第二種是普查資料。抽查資料是對大概120個重要的系統(60門戶網站+60重要資訊系統)進行了檢查,檢查結果是大概有30個漏洞,其中一個政府網站存在3個高危漏洞。第二種資料是由國家網際網路資訊辦公室對全國的關鍵資訊基礎設施進行了摸底普查,一共發現了1.1萬的關鍵資訊基礎設施,當時對其中900個關鍵資訊基礎設施進行了檢查,提出了7.8萬的安全整改意見。另外截止到目前為止,大概有1.7萬以上三級重要資訊系統,也是覆寫了所有的關鍵資訊基礎設施。這其中累積發現了40萬的安全漏洞。是以,從整體情況來看,網絡安全風險隐患突出,出現的問題也非常嚴重。
從風險角度分析,下圖是黑客工攻擊聯網系統的攻擊鍊。在整個攻擊的過程中,不管黑客使用哪一種攻擊手段對我們的裝置或者資産造成實時控制,以及對我們的業務造成影響,從下圖我們可以看出。其中關鍵點是聯網系統的安全弱點。從目前來看,安全漏洞仍然是聯網系統遭受攻擊的主要内因。是以如果需要減少風險,安全評估肯定是減少風險的第一步。這裡有人會問如果部署了Web,是不是就不需要自動掃描了?這種想法稍微有點本末倒置,因為部署Web隻是治标不治本的安全政策,完整的安全體系建設應該先通過漏洞掃描發現問題,發現問題之後再采取相關的風險防護措施。比如說,可以部署Web,但是部署Web并不是萬能的,有些漏洞是需要更新相關的Web應用來解決。
那麼,一年1次漏洞評估或滲透測試是不是就夠了呢?答案肯定是否定的,因為目前來看,黑客的攻擊手段在不斷變化,而且每天會出現層出不窮的新的安全漏洞。是以從這個層面看,需要自動化的工具進行持續的檢測。可能很多機構已經做了安全檢測,那麼在Web安全工作的過程中,也會遇到很多的問題。比如常見的挑戰包括,維護資源比較緊張,因為一般安全部門的維護資源相對來說比較緊張,如果在維護過程中需要更新或者維護,會相對的耗費資源。第二個挑戰是很多網際網路機構不清楚自己多少IP或者子域名是聯網的,所有一般搞不清楚網際網路資産邊界。第三個,如果檢測的過程中,誤報率比較高,準确率比較低也會影響最終檢測的效果。第四個問題就是說在整改的過程中,會發現解決方案寫的不是很完善,使用者根本不知道該如何處理。第五個挑戰是目前零漏洞無法及時被發現。
阿裡雲的AVDS具備四個核心功能。第一個核心功能是做Web應用的漏洞檢測。目前涵蓋所有的OWAS/WASC的Web漏洞,裡面還可以做到所有熱點應急漏洞的檢測。另外目前阿裡雲有先知漏洞平台,平台會收錄很多檢測漏洞,裡面部分漏洞的檢測插件會在平台上進行支撐。另外還可以檢查其它網站,如挂馬,後門,篡改,敏感内容,敏感資料檢測。另外AVDS還可以做到資産關聯發現,同時可以生成相關漏洞報告,并且做到漏洞整改過程跟蹤。
大家可能會困惑,為什麼阿裡雲會做安全掃描産品。實際上,AVDS這款産品是阿裡雲自己及阿裡系其它網站的掃描過程中内部的産品。發現在掃描過程中,這款産品要比市場上很多商業化的掃描産品好。是以今年阿裡雲做了進一步的商業化,與2018年1月25日正式釋出,截止到目前為止,已經有阿裡雲内部阿裡系聯網資産應用,達到百萬級,以及十億次的安全巡檢掃描實踐的積累。同時阿裡雲也希望自己的掃描技術可以應用和幫助到各個機構。
下圖是AVDS這款産品的具體優勢,分為五大部分,分别是省、全、準、助、零。
從省的角度來說,AVDS是一款真正的SaaS模式的自助漏洞掃描服務,可以幫助大家最大限度的節省掃描成本。大家可以免安裝,免更新,免運維,可以直接登入到控制台上,直接使用最新的漏洞庫,直接執行相關掃描任務,可以随時随地執行任務,有助于異地辦公和異地檢查。另外AVDS在整個服務期間内是不限次數的,這樣可以有助于使用者進行持續的監控。
這款産品可以繪制整個資産關聯的畫像圖譜,讓安全不留死角。因為目前黑客的攻擊手段在不斷進階化,我們知道不同資産的安全防護措施是不一樣的,黑客會從不同資産中比較薄弱的資産入手。比如要攻擊資産1,黑客會與之關聯的資産2,資産3和資産4中挑選薄弱的環節入手,并作為一個跳闆對目标資産1進行攻擊。在這樣的攻擊背景下,傳統的掃描器是通過單點掃描方式,隻針對掃描的目标,就是說要掃哪個目标,那麼在掃描器中輸入IP位址。這種掃描方式顯然隻是針對不太進階的攻擊手段。
阿裡雲的掃描器在第一步就是要做資産的關聯發現。比如要掃描一個域名,那麼需要看與這個域名相關的都有哪些IP,哪些域名以及同樣的注冊機構的其他域名。通過“繪制”資産關聯畫像圖譜可以幫助使用者摸清網際網路邊界,并做到持續監控。其中關聯的域名及子域名,包括對應的IP,中間件,應用程式,Web元件和備案資訊等。關聯的主機伺服器IP包括主機名,作業系統和版本,地理位置,開發端口和服務等等。AVDS為什麼可以做到這些功能,因為阿裡雲底層有一個強大的大資料情報支撐,目前涵蓋了全球大概2億多的存活的IP資産,以及2億多的域名資産資訊,已經全網的端口指紋資訊,還有全網Web指紋庫,全網SSL證書庫,最新的WHOIS資料庫,以及國内的ICP備案庫。
怎麼樣可以做到準?基本要分為兩個步驟。第一個,爬蟲爬取URL連結要爬的比較全,比較深。第二個是漏洞檢測插件要檢測率要高。AVDS是采用了啟發式深度Web2.0爬蟲技術,基于動态解析,對動态頁面進行了抓取和檢測,是以檢測效果會更準更全更深。其中可以模拟使用者的操作行為進行動态檢測。另外,目前支援AJAX,JSONP,XHR,FORM等相關的互動連結。并且支援目前最新的HTML5,和最新的Web架構(STruts,Spring,jQuery等)和開發語言(JS,API,PHP,.NET,C語言,Perl,Java等)。
目前來說,AVDS漏洞庫的檢測插件的準确率達到95%以上,同等廠商可能會到70%以上。所有的檢測插件90%以上都是基于滲透測試經驗進行開發,可以提供相關的漏洞利用證明。另外在漏洞裡面,也内置了多層的漏洞自動驗證規則。一般的掃描器可能内置了一層或者雙層的驗證規則,AVDS可以通過三層以上的驗證規則最大程度的保證檢測準确率。
AVDS也提供了貼身管家服務,大家在掃描過程中遇到掃描問題,或者需要提供相關的目錄驗證,輔助目錄驗證以及在整改過程中不知如何修複漏洞。AVDS安全管家可以為大家提供最智能精準的漏洞掃描系統+最專業的安全運維團隊,提供一流的漏洞掃描,以及漏洞修複指導服務。
阿裡雲已經有了先知衆測平台,這裡面一部分的漏洞會根據漏洞整個的利用過程,制作相關的檢測插件。我們也建議預算相對充裕的機構對漏洞做到充分的檢測,包括第一時間及時發現。建議通過AVDS自動化的評估,比如每個月或者每個季度要評估一次。同時每年要進行1-2次的先知白帽衆測,讓漏洞無處遁身。
下圖中的應用實踐是針對阿裡某大型網際網路使用者,對阿裡雲的核心訴求是說使用者現有網上資産比較多,但是不清楚自己哪些資産聯網,希望可以通過AVDS工具集中監控。阿裡提供的解決方案是從1個域名出發,大概發現了其300個關聯的域名,子域名以及IP資産等,其中20多個是使用者不清楚自己已經聯網的。同時也提供了詳細的資産指紋資訊,包括作業系統,開放端口,服務版本,指紋,網站和Web元件等。使用者及時對這些資産進行了清理和關停,降低了安全隐患,持續進行監控,制定了完整的備案預警體系。
下圖中應用是阿裡的一個網際網路的金融使用者,需要做一些等保檢查,他發現在因為網站安全隐患等保檢查時不過關。阿裡通過提供相關的解決方案,實踐的效果是使用者不需要自己運維,不用進行漏洞庫的更新,直接登入控制台上,針對自己的Web資産,進行掃描操作就可以了。同時也為使用者提供了先知衆測服務,幫助使用者最大程度的發現Web風險。
下圖中是某個測評機構,訴求是說因為一般的檢查機關工作量比較大,他們希望在對等的時間的檢查更多的工作,同時檢查的結果比較準确,不希望因為檢查結果不準确導緻自己的權威形象受損。使用者通過使用阿裡提供的解決方案,可以在異地或者在家裡友善快捷的一鍵式啟動掃描,在掃描結束後,使用者可以收到短信通知,自動給使用者發送掃描報告郵件。而且因為阿裡的掃描架構是彈性可擴充的架構,比一般的傳統掃描器速度上快了一百倍,可以更好的提高檢查工作的效率,幫助權威檢查機構樹立形象。
下圖中使用者是說用了很多企業的掃描工具,但是發現裡真正的掃描修複距離比較遠,希望阿裡可以提供整體的Web漏洞管理平台。阿裡通過提供為使用者解決方案,可以提供比較準确的檢測結果,使用者可以知道發現問題之後采取何種措施,使用者如果在整改的過程中不知道怎麼去修複,阿裡也會有安全管家提供安全的貼身服務。另外在整改的整個過程中進行了全程跟蹤,整改的效果和效率會一目了然。