漏洞评估_评估企业应用程序和网络的漏洞

新系统，应用程序和设备每天都变得越来越互联。 此外，社交媒体和电子商务的嗡嗡声正在将更多人带入在线世界，并带来了许多敏感的业务和个人数据。

随着这些发展，随之而来的是安全漏洞的额外风险以及网络犯罪分子面临的关键和敏感数据的可能性。

保护任何组织的IT基础架构的最重要方法之一是通过定期执行漏洞扫描来主动识别和解决组织的应用程序和网络中存在的漏洞。

本教程的目的是展示对任何组织的Web应用程序和网络进行漏洞评估的有效方法。 本教程还展示了如何通过结合使用企业级和可信赖的漏洞扫描程序来主动防御组织遭受网络攻击。 本教程将讨论的扫描仪是Tenable™Nessus®扫描仪和IBMAppScan®Enterprise。 本教程还包括使用这些扫描仪中的每一个来实施漏洞评估的分步说明。

什么是漏洞评估？

漏洞评估是识别，排名和报告组织IT基础结构中存在的漏洞的过程。 漏洞评估主要使用自动化工具进行扫描，并对发现的问题进行手动验证。 由已知漏洞造成的潜在风险根据使用CVSS计算器的NVD / CVSS基本分数进行排名。

脆弱性评估方法

以下各节定义了有助于有效且高效地执行漏洞评估的方法。

确定目标系统

在此阶段，漏洞分析师必须列出组织网络中需要扫描的IP地址列表。 该列表应包含组织网络中连接的所有系统和设备的IP地址。 分析人员应了解组织的网络拓扑。

确定目标应用

在此阶段，漏洞分析师列出了要扫描的Web应用程序和服务。 分析人员确定构建应用程序所依据的Web应用程序服务器，Web服务器，数据库，第三方组件和技术（例如Flash，AJAX，Java®和JavaScript）的类型。 此外，在AppScan中配置扫描时，分析人员必须获得测试用户帐户才能登录到应用程序。

漏洞分析人员应该与应用程序架构师合作，并获得有关每个应用程序的完整知识（例如，其逻辑流程和不同的访问级别）； 这将有助于准确配置评估扫描。

漏洞扫描和报告

为了成功完成漏洞评估，漏洞分析师会向网络团队和IT团队通报所有评估活动，因为在向目标服务器加载请求时，漏洞评估有时会在网络流量中造成巨大的突发事件。 此外，分析人员获得整个组织网络中扫描程序IP的未经身份验证的传递，并确保IP在IPS / IDS中列入白名单。 否则，扫描程序可能会触发恶意的流量警报，从而导致其IP被阻止并发送大量电子邮件。

使用Tenable Nessus专业扫描仪

为什么选择耐久的Nessus？

Nessus Professional是一种广泛使用的漏洞扫描程序，可发现组织网络中的漏洞。 它还提供CVSS基本分数和建议。 Nessus拥有一个高速，准确的资产发现引擎，该引擎能够扫描操作系统，网络设备，防火墙，虚拟机管理程序，数据库和中间件应用程序，以查找漏洞，威胁和合规性违规情况。 Nessus可以检测到病毒，后门，恶意软件，僵尸网络和未知进程的威胁。 它还提供了灵活的报告选项：可以根据漏洞类型或主机自定义报告； 他们可以创建执行摘要或比较扫描结果以突出显示任何更改； 报告可以以XML，PDF和HTML格式发布。

配置Nessus扫描

1. 登录到Nessus专业版。 您将看到“扫描/我的扫描”页面。 默认情况下，所有创建的扫描都存储在“我的扫描”文件夹中。 最好在配置扫描之前使用适当的标识符创建一个新文件夹。 您可以通过单击“扫描” /“我的扫描”页面左侧导航区域中的“ 新建文件夹”按钮来创建新文件夹。 以下步骤演示了如何创建和计划新扫描。
2. 点击新建扫描 。
   
3. 在下一个屏幕上，选择扫描模板。 我建议您使用“ 基本网络扫描”模板，因为它是最适合扫描内部或外部主机的预定义扫描仪模板。
   
4. 在下一个屏幕上，为“常规”部分输入有效的响应。 输入扫描标识的名称，扫描说明，正确的扫描文件夹以及有效的目标IP地址/ IP范围/主机名。
   
5. 完成常规详细信息的更新后，请在同一页面上单击“ 计划 ”，然后通过单击幻灯片按钮启用扫描计划。 然后将扫描设置为每月启动，然后输入开始日期和时间，时区和“重复依据”值。
   
6. 点击通知 。 提供将接收扫描通知的人员的电子邮件地址。
   
7. 单击发现 。 选择“ 端口扫描（所有端口）”作为“扫描类型”，以便扫描每个系统的所有65536个端口的漏洞。
   
8. 在“评估”屏幕上，选择“ 扫描所有Web漏洞（复杂）”作为“扫描类型”，以便也发现与Web应用程序相关的任何漏洞。 使用此扫描类型的范围受到限制，因为我们将更加专注于使用IBM Security AppScan Enterprise进行Web应用程序安全评估，因为它具有更高级的扫描配置选项，可以提高评估范围。
   
9. 保留“ 报告和高级”链接中提供的默认预设选项。 然后单击保存保存扫描。 您将看到以下屏幕截图。
   

现在，扫描计划在每月的指定日期和时间运行。 每个扫描作业中的“历史记录”选项卡提供指定持续时间的扫描运行状态。

报告中

一旦扫描被触发并完成，您可以通过点击扫描 ，然后漏洞查看漏洞亮点。

您可以导出PDF，HTML，CSV，Nessus和NessusDB格式的报告。

为了进一步分析结果，您可以将结果以.nessus格式导出​​，将其导入Metasploit，并使用相关的Metasploit漏洞利用模块执行手动分析。 这些报告应与服务器管理员和网络安全团队共享，以便他们可以采取必要的措施通过修补，升级等方式解决漏洞。

使用IBM Security AppScan Enterprise进行漏洞评估

为什么选择IBM Security AppScan Enterprise？

IBM Security AppScan Enterprise Edition（AppScan）是一个Web应用程序安全评估工具，已在整个行业范围内使用，它提供了高级应用程序安全性测试和风险管理，其平台可在整个应用程序的生命周期内驱动治理，协作和安全智能。 AppScan通过利用一组全面的安全测试策略来帮助发现漏洞。 其强大的仪表板可根据业务影响对应用程序资产进行分类和优先级排序，并确定高风险区域，从而使组织能够最大程度地进行补救工作。

配置IBM Security AppScan Enterprise扫描

以下步骤是在IBM Security AppScan Enterprise中配置Web应用程序扫描的基本步骤。 有关扫描配置的详细信息，请参阅我的文章“ AppScan Enterprise扫描配置最佳实践” 。

1. 登录到IBM Security AppScan Enterprise。 在“扫描”选项卡上，单击“ +”按钮以创建新的扫描作业。
   
2. 在下一个屏幕上，选择“ 内容扫描作业” 。 为Test提供一个有效的名称，然后单击Create 。
   
3. 在AppScan Enterprise中提供测试应用程序的正确起始URL。 这通常是您应用程序的首页。 在“要扫描的内容”下，选中复选框。 在起始域中，如果仅需要在起始URL中扫描目录中及其下方的链接，则仅扫描每个起始URL目录中及其下方的链接。 如果还需要扫描起始URL中目录上方的链接，请不要选中该框。 如果起始网址以外的域中存在需要扫描的内容（例如，如果链接http://www.example.com在访问时更改为http://www.support.example.com），则请提供其他域（h​​ttp://www.support.example.com）。
   
4. 作为最佳实践，我建议使用手动浏览器浏览Web应用程序，以添加需要用户交互的页面（例如，表单填写）以及自动扫描可能遗漏的页面。 后者的示例包括诸如使用Web 2.0功能（使用AJAX）的页面，需要特定输入的页面，或具有嵌入式JavaScript或Flash组件中的链接的页面。 您可以通过以下三种不同方式中的任何一种来记录手动浏览数据（和记录的登录数据）：
   • 使用手动浏览器插件。
   • 使用AppScan手动浏览工具。
   • 使用AppScan Standard Edition（通过嵌入式浏览器或外部浏览器，或直接使用AppScan作为代理）。
   此外，请注意以下几点：
   • 如果您选择AppScan手动浏览工具或AppScan Standard进行手动浏览，则可以保存浏览结果（或记录的登录信息）。 如果需要修改浏览以适应扫描配置的更改或创建类似的扫描作业，则可以节省以后的时间。
   • 在手动浏览（或记录登录名）之前，最好从Web浏览器中清除所有先前存在的cookie。
   • 在手动浏览（或登录记录）过程中，请确保关闭所有其他浏览器窗口。
   • 在运行扫描之前，通过删除所有无关的URL或域来清理手动浏览（和记录的登录名）。 您可以删除URL和域，方法是选中该项目旁边的复选框，然后按Delete键（带有X标记）。
   • 如果您的应用程序要求以特定顺序访问页面，则可以将其配置为多步操作。 但是，多步骤操作可能会增加扫描作业的工作量，因此应尽可能小以限制其影响。
   • 扫描作业完成后，可以使用“表单未填写的页面”报告找到需要其他手动浏览的其余页面。
5. 在下一个屏幕上，配置登录管理。 除了仅使用HTTP Basic或摘要式身份验证的应用程序外，“记录”登录名通常是最佳选择。
   
6. 您可以通过配置环境定义来提高性能和结果的准确性，例如，通过输入Web服务器类型，应用程序服务器类型，数据库类型等。
   
7. 除了使用手动浏览之外，还配置一个带有自动浏览的测试，该测试将执行自动爬网并找到手动浏览中可能遗漏的页面。 这样可以扩大扫描范围。 应用程序的最佳覆盖范围将是通过广泛的手动探索进行扫描得出的结果，并且可以进行蜘蛛侠搜索。
   
8. 点击计划 。 通过选中根据以下计划自动运行复选框启用扫描计划。 然后将扫描设置为每月启动。
   

报告中

扫描完成后，可以从相应扫描作业下的仪表板的“报告包”链接中获取报告 。 该报告可以电子表格，CSV，XML和PDF格式导出。 与软件开发团队共享这些报告，以便他们可以修复报告的应用程序漏洞。

结论

组织的应用程序和网络是攻击者的主要目标。 本文中描述的解决方案提供了一种主动机制来检测漏洞，以便IT团队可以在攻击者利用这些漏洞之前修复或采取措施。 使用AppScan和Nessus进行漏洞评估可使组织预测其托管网络，系统和Web应用程序的高级别安全状况。

为了进一步提高安全级别，组织可以选择对其IT基础结构执行渗透测试和道德黑客攻击。 有关这些过程的指南，请参阅《 开放源代码安全性测试方法手册》或《开放Web应用程序安全性项目（OWASP）的测试指南》 。

翻译自: https://www.ibm.com/developerworks/security/library/se-assess-vulnerability-enterprise-applications-network-trs/index.html