一、漏洞评估:安全扫描过程
安全扫描过程包括四个步骤:测试、分析、评估和补救。
1. 漏洞识别(测试)
此步骤的目标是起草一份应用程序漏洞的综合清单。安全分析师通过使用自动化工具扫描或手动测试和评估应用程序、服务器或其他系统来测试它们的安全状况。分析师还依靠漏洞数据库、供应商漏洞公告、资产管理系统和威胁情报源来识别安全漏洞。
2. 漏洞分析
此步骤的目标是确定第一步中识别的漏洞的来源和根本原因。
它涉及识别导致每个漏洞的系统组件以及漏洞的根本原因。例如,漏洞的根本原因可能是开源库的旧版本。这为补救提供了一条清晰的路径——升级库。
3. 风险评估
此步骤的目标是确定漏洞的优先级。它涉及安全分析师根据以下因素为每个漏洞分配等级或严重性分数:
1. 哪些系统受到影响。
2. 哪些数据处于危险之中。
3. 哪些业务功能处于危险之中。
4. 易于攻击或入侵。
5. 攻击的严重性。
6. 漏洞造成的潜在损害。
4. 补救
此步骤的目标是弥补安全漏洞。它通常是安全人员、开发和运营团队的共同努力,他们确定修复或缓解每个漏洞的最有效途径。
具体补救步骤可能包括:
1. 引入新的安全程序、措施或工具。
2. 更新操作或配置更改。
3. 开发和实施漏洞补丁。
漏洞评估不能是一次性活动。为了有效,组织必须实施此过程并定期重复。促进安全、运营和开发团队之间的合作也至关重要——这一过程称为 DevSecOps。
二、漏洞评估工具
漏洞评估工具旨在自动扫描可能针对您的应用程序的新威胁和现有威胁。工具类型包括:
1. 测试和模拟已知攻击模式的 Web 应用程序扫描器。
2. 搜索易受攻击的协议、端口和网络服务的协议扫描器。
3. 帮助可视化网络并发现警告信号(如杂散 IP 地址、欺骗数据包和来自单个 IP 地址的可疑数据包生成)的网络扫描器。
最佳实践是安排定期自动扫描所有关键 IT 系统。这些扫描的结果应输入到组织正在进行的漏洞评估过程中。
三、漏洞评估和 WAF
Web 应用程序防火墙通过多种方式帮助防范应用程序漏洞:
1. 作为所有传入流量的网关,它可以主动过滤掉恶意访问者和请求,例如 SQL 注入和 XSS 攻击。这消除了数据暴露给恶意行为者的风险。
2. 它可以执行虚拟修补 - 自动应用网络边缘新发现漏洞的补丁,让开发人员和 IT 团队有机会安全地在应用程序上部署新补丁而无需担心。
3. WAF WAF 提供安全事件视图。攻击分析有助于将攻击情境化并揭露总体威胁(例如,将数千次看似不相关的攻击显示为一次大型攻击活动的一部分)。