What is a Network Vulnerability Scanner?

網路脆弱性掃描器的工作原理

以下是網路脆弱性掃描器的工作原理。

#1: 建立資產庫存

識別資產是啟動掃描時的基本目標。 大多數工具會自動提供此功能，而其他一些工具則要求您在可以直接存取的本機裝置上安裝代理程式。

被動掃描技術能夠安靜地記錄特定網路周圍廣播的流量，而主動掃描在下一步中發揮更大的作用。

#2: 建立攻擊面

從那裡，網路脆弱性掃描器開始計算網路主機上運行的不同應用程式和軟體。 掃描器會傳送專用封包的流程，並仔細評估每個主機的回應方式。 然後，回應資料包的模式可以提供安裝了哪些網路連接軟體的線索。

TCP 選項、視窗大小和實時時間值等地標會與內部指標數據庫進行比較，最終導致最大的信心猜測。

這種遠端檢測非常適合識別基於雲端的伺服器和 Web 應用程式。

其他主動掃描透過安裝輕量級代理來運作，然後收集有關裝置上可能無法立即透過網路存取的程式的更深入的資料。 這在下一個步驟中為掃描器的安全工具提供更深入的圖片。

#3: 識別潛在威脅

然後，網路脆弱性掃描器會將所有資產與其對應的脆弱性資料庫進行比較。 這通常是供應商的內部資料庫，但也可以從公共儲存庫（例如國家脆弱性資料庫）中取得。

掃描器也可能採取略有不同的方法，例如根據最佳做法清單檢查軟體組態，例如針對敏感資料庫使用的正確驗證準則。

除了與已知漏洞的任何重疊之外，現代脆弱性掃描器還應該掃描潛在的攻擊路徑。 這會對映攻擊者對高度敏感資源和資料庫的潛在移動。 這是本機掃描的主要好處，因為它們會偵測可用於權限提升和橫向移動的本機瑕疵。

當所有這些都放在位置，掃描器可以映射完整或部分攻擊路徑。

#4: 產生報告

在評估了攻擊面的寬度後，每個脆弱性和攻擊路徑都會被壓縮成一個可讀的報告。 從這裡開始，您的安全團隊可以實施必要的變更。

如何最大化你的脆弱性掃描

透過遵循一些最佳實踐，您的脆弱性掃描可以變得更有效率。

#1: 採用混合方法

表面上，未經驗證的掃描似乎更有用。 由於它們的資源需求極低，因此經常運行它們更容易，尤其是在急速的情況下。

但是，對於使用身分識別和存取管理提供者的組織來說，載入認證以進行驗證掃描可以更快速地進行。 一些市場領先的工具現在允許快速認證入職，這意味著憑證掃描可以以與未經授權的掃描類似的速度執行。

這允許進行更深入的內部網路安全測試。 除此之外，現在一些掃描工具可以透過嘗試使用預設和高風險憑證登入來測試裝置對憑證填充的復原能力。

由於掃描模糊了脆弱性檢測和滲透測試之間的界限，因此請選擇最高效率。

#2: 選擇正確的頻率

執行的掃描越多，在被廣泛利用之前發現錯誤配置或安全脆弱性的機會就越高。 但是，太多的風險是系統不穩定和更高的成本。 這就是為什麼最好選擇適當的時間來執行較小的細分掃描。

這也可以幫助您發現假陽性，因為目標掃描中的噪聲較少。 在實施新控制後即進行最及時的掃描。 此次要掃描會確認新的控制項和修正是否已解決問題，並確保沒有引發新的問題。

這些較小規模的掃描也是評估任何惡意檔案協作事件的理想選擇。

至於行業合規性，具體要求可能會有所不同：

• 沒有指定的時間範圍：SOC 2 和 ISO 27001
• 季度至每年一次：HIPAA、PCI DSS 和 GDPR

但是，請注意，這些時間並不一定適合每個企業，它取決於您自己的風險承受性和起點。

使用 Check Point Infinity 實作掃描後更改

Check Point Infinity 為整個行業的網路脆弱性評估平台提供託管服務支援：從 Microsoft Defender 到 Tenable One 和Check Point自己的脆弱性掃描器 – 在我們專家的持續掃描、網路安全改進以及月度報告。深入了解我們今天如何簡化脆弱性管理。