站点创建场景

本节讨论满足常见需求的网站“菜谱”。通过选择适当的模板、资产和配置选项,您可以定制您的站点以适应特定的目标。

默认设置

默认扫描模板为“完全审计无Web Spider”。

这个扫描模板为您提供了对大多数非web资产的全面漏洞检查。它比使用Web spider的扫描模板运行得更快。

要彻底检查漏洞,您应该指定凭据。看到配置扫描凭证为更多的信息。

在建立漏洞扫描实践时,您可以使用各种扫描模板创建其他站点,并根据网络配置的需要更改默认的扫描引擎。

发现你有什么:发现扫描

简介:检查漏洞的第一步是确保检查组织中的所有资产。通过执行发现扫描,可以找到关于组织中资产的基本信息。该应用程序包括用于发现扫描的内置扫描模板。

如果有资产,您不知道可以利用这一点,攻击者可以使用它来绕过虚拟专用网络(VPN)和公司防火墙,并从本地网络中启动攻击。如果您的角色是新的,您可能尚未了解您负责保护的每一个资产。无论如何,经常添加新资产。您可以进行发现扫描以查找和了解有关这些资产的更多信息,以准备开发正在进行的扫描计划。

根据组织的网络配置,发现扫描可能有所不同。我们建议对尽可能广泛的IP地址范围进行发现扫描,以防您的组织有超出典型范围的项目。因此,对于初始发现扫描,我们建议首先检查整个私有IPv4地址空间(10.0.0.0/8,172.16.0.0/12和192.168.0.0/16)以及组织拥有或控制的所有公共IP地址。这样做将帮助您找到尽可能多的主机。我们当然推荐使用所有私有地址空间的组织使用此方法,但也推荐使用较小网络的组织使用此方法,以确保他们能找到所有可以找到的东西。

扫描这么多资产可能需要一些时间。估计扫描将需要多长时间,看看容量需求规划管理员指南的一部分。此外,发现扫描可以通过您的系统管理或防病毒程序发出警报;您可能需要在扫描之前通知用户。

在InsightVM中进行初始发现扫描:

  1. 创建一个新的静态站点(参见向站点添加资产),包括以下设置:
    • 当指定包含的资产时,请在无类域间路由(CIDR)表示法中指定一个范围。看到http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing.这种表示法允许你用简洁的语法指定一组机器。如上所述,此时的最佳实践是扫描组织控制的所有IP地址,以及每个私有IP地址范围。
    • 选择发现扫描扫描模板。
    • 不要指定凭据。它们不需要用于确定网络上的计算机是否存在。
  2. 在这个网站上运行扫描。
  • 与您对网络的了解相比,检查扫描结果。寻找并解决任何异常。例如:
    • 端口不正确地显示为活动:如果发现扫描显示每一个端口为活动,这个结果很可能不显示实际的网络配置,但被其他东西影响如一块安全设备(例如,入侵检测软件、入侵保护软件,或负载均衡器)。确定导致意外结果的原因并进行更改,以便获得准确的扫描信息。例如,如果是防火墙导致的结果不准确,则在防火墙中加入InsightVM的白名单。
    • 端口显示为不活动:您可能会发现您无法扫描的网络区域。例如,可能有一个您知道的地址在发现扫描中没有找到。检查遗漏是否由于防火墙或逻辑路由问题。如果是,在屏障的另一边配置一个额外的Scan Engine并扫描这些资产。

获取环境的外部视图

简介:除了对您的网络进行彻底的扫描外,我们建议使用网络外部的扫描引擎来检查可以找到什么。准备好扫描引擎后,可以将其添加到网站配置

如果您有外部IP地址,您可以检查某人可以从外部访问的内容。您可以在网络外部外设置扫描引擎,看看它可以找到什么。如果您想获取防火墙的“外部”视图,请从组织外部的引擎执行扫描并将其与其他外部机器相同。您可能想考虑使用RAPID7托管引擎。

我们推荐以下配置:

  • 不要使用这些外部扫描的凭据。
  • 禁止将源IP地址加入白名单。
  • 您可能需要免除引擎使用某些主动/自适应入侵防御技术(例如,Web应用防火墙,未知单播和组播洪水控制,入侵防御系统,动态防火墙黑名单)。
  • 使用完整审计与Web Spider扫描模板或类似的自定义模板。
  • 扫描整个组织分配的公共地址空间,而不仅仅是你认为是活跃的或可访问的系统。
  • 至少每月扫描一次,或尽可能频繁地进行扫描,以确保更改控制和扫描持续时间。
  • 始终将外部扫描与上面描述的内部身份验证扫描结合起来,因为防火墙规定了对某些漏洞、服务和主机的屏幕访问。

我们建议优先采取以下补救措施:

  • 最危险的漏洞类型之一是允许未经身份验证的外部用户登录的漏洞,例如暴露的Telnet端口。当务之急是纠正这些漏洞。
  • 否则,通过减少攻击面开始处理结果:
    • 关闭或阻止对不需要公开的主机的访问。
    • 使用防火墙规则限制对尽可能多的服务和主机的访问。
    • 基于CVSSv2或CVSSv3评分和流行程度,解决剩余的面向外部的漏洞。

零日漏洞

在新宣布的高风险漏洞的情况下,您可能希望只扫描特定的漏洞,以便尽可能快地找出哪些资产受到影响。

您可以创建一个自定义扫描模板,只检查特定的漏洞,并使用这个特殊的模板扫描您的站点。您可以使用常见漏洞和暴露标识符(CVE-ID)只关注该漏洞的检查。

扫描特定漏洞:

  1. 通常,最佳实践是通过复制现有的扫描模板来创建新的扫描模板。根据漏洞的性质不同,最好的复制方式也不同,但带Web Spider的全面审计或不带Web Spider的全面审计通常是很好的起点。有关扫描模板的更多信息,请参见扫描模板
  2. 确保漏洞选项被选中,则蜘蛛网如果相关,则选择该选项。清除政策选项将模板集中在特定于此漏洞的检查中。
  3. 编辑扫描模板名称和说明,以便您以后能够识别该模板是为此目的定制的。
  4. 漏洞检查页面。首先,您将禁用所有检查、检查类别和检查类型,以便您可以专注于只扫描与此问题相关的项目。
  5. 扩大按类别部分并单击删除类别
  6. 选择最上面一行的复选框(漏洞类别),它将自动选择所有类别的复选框。然后单击Save。注意,现在启用了0个类别。
  7. 扩大个人支票部分并单击添加检查
  8. 输入或粘贴对应的CVE-ID搜索条件框,然后单击搜索.选择最上面一行的复选框(漏洞检查),这将自动选择所有类型的复选框。然后单击保存
  9. 对于与问题相关的任何其他cve - id,重复步骤7。
  10. 保存扫描模板。
  11. 创建或编辑一个网站,包括:
  • 新的自定义扫描模板
  • 经过身份验证的漏洞检查的凭据
  1. 开始扫描。

多个位置的资产

如果你的资产分布在多个地方,你需要考虑以下几个因素:

  • 您可以应用标记以指示资产的位置。看到应用带有标签的RealContext.然后,您可以根据这些标签创建报告,以便您可以通过位置评估资产的风险。看到选择要报告的资产
  • 创建网站并将它们与扫描引擎相关联的扫描引擎是一个很好的做法,这是充分利用您的网络配置的方式。例如,如果您在休斯顿和新加坡有资产,您可能会更好地将扫描引擎放在两个位置并为每个位置创建一个站点,而不是尝试在其中一个位置中使用扫描引擎扫描所有资产。

大量资产

要扫描大量的资产,您可能需要利用scan Engine池。扫描引擎池可以帮助实现负载均衡,并在单个扫描引擎故障时作为备份。要了解有关配置扫描引擎池的更多信息,请参阅扫描引擎池页面。

亚马逊网络服务

要扫描AmazonWebServices(AWS)虚拟资产,您需要在AWS环境中执行一些准备工作,并创建特定于此类资产的发现连接。要了解更多信息,请参阅在AWS环境中准备动态发现

VMWare

要扫描VMWare虚拟资产,您需要在目标VMWare环境中执行一些准备步骤,然后创建特定于此类型资产的发现连接。想要了解更多,请看准备用于动态发现的目标VMware环境

PCI内部合规扫描

如果您的系统处理、存储或传输信用卡持有人数据,您可能正在使用InsightVM以符合支付卡行业(PCI)安全标准委员会数据安全标准(DSS)。PCI内部审计扫描模板旨在帮助您按照DSS的要求进行内部评估。

要了解更多PCI DSS 3.0,请访问我们的资源页面

以下是使用InsightVM来帮助您进行内部PCI扫描的建议流程的概要。(有关如何使用应用程序中的任何功能的更多信息,请参阅帮助或用户指南。)

  1. 如PCI DSS 3.0 6.1节所述,您需要创建一个进程来识别安全漏洞。在InsightVM中创建一个或多个站点,配置如下:
    1. 中的pci特定报告所需的组织信息组织部分的信息与安全选项卡的网站配置
    2. 包括您需要扫描PCI合规性的资产。(一般而言,这些主机将包括您的持卡人数据环境或“CDE”)。
    3. 使用PCI内部审计扫描模板。
    4. 为扫描指定凭据。(这些凭据应该具有读取目标系统的注册表,文件和包管理方面的权限)。
  2. 正如PCI数据安全标准要求11.2.1和11.2.3所示,您需要创建并检查报告,以验证您已经扫描并修复了漏洞。您还应该保留这些报告的副本,以证明您符合PCI DSS。
    1. 创建一个新的报告创建基本报告.你很可能想使用一种总线标准执行概要PCI漏洞细节报告。对每个模板遵循这个过程。设置如下参数:
      1. 范围报告中,指定您正在扫描PCI的资产。
      2. 在高级设置中,在分布,指定报表的电子邮件发件人地址和收件人。
  3. 减轻漏洞。漏洞的描述包含修复步骤。
  4. 重新扫描以验证您的缓解已成功解决了发现
    1. 如果使用了补偿控制,可能需要使用异常处理来消除相关的发现。(自动化工具可能无法检测您的补偿控制,即使它在降低相关风险方面是有效的。)
  5. 继续扫描和减轻。您需要每季度进行一次内部扫描,直到纠正了PCI DSS 6.1和11.2.1节中定义的所有高风险漏洞。您还需要在主要更改之后进行扫描,如11.2.3节中定义的那样。第6.2节概述了适用补救措施的可接受时限。

政策的基准

该应用程序包括可用于策略基准测试的内置扫描模板。这些包括CIS,DISA和USGCB。这些模板中的每一个都包含一个用于不同平台的一系列策略;只评估适用的那些。在三个中,CIS包含对最广泛的平台的支持。有关这些模板的更多信息,请参阅扫描模板

所有策略扫描模板都需要用户名和密码对,用于访问桌面和服务器机器等资产。通常,该帐户将拥有管理员或root用户的特权。有关证书的更多信息,请参见配置扫描凭证

CIS扫描模板包括针对数据库的策略检查,访问数据库需要用户名和密码。