跨站点链接资产

您可以选择是否在不同网站中链接资产或将它们视为唯一实体。通过将匹配资产链接在不同的站点中,您可以以与网络配置对齐的方式查看和报告资产,并反映整个组织的资产计数。以下是一些信息,可以帮助您决定是否启用此选项。

选项1

一个公司经营着连锁零售商店,每个商店都有相同的网络映射,因此它为每个商店创建了一个站点。它不跨站点链接资产,因为每个网站都反映了一组独特的资产。

选项2

一个公司拥有一个在每个地点都有独特配置的全球网络。它创建了一些网站,专注于特定的类别,而这些类别可能会重叠。例如,一个Linux服务器可能位于一个名为金融和另一个叫Ubuntu的机器.公司链接跨网站的资产以便在调查和报告时,更容易将Linux服务器识别为一台机器。

什么是“资产”?

资产是在扫描过程中从目标设备收集的一组专有的、唯一的数据。该数据在集成到exposure时区分被扫描设备,包括以下数据:

  • IP地址
  • 主机名
  • MAC地址
  • 漏洞
  • 风险评分
  • user-applied标签
  • 网站会员
  • 资产ID(当资产信息集成到数据库中时,由暴露应用的唯一标识符)

如果跨站点链接资产的选项被禁用,那么无论另一个站点中的给定资产可能是同一设备,暴露都将每个资产与任何其他站点中的任何其他资产区分开来。

例如,一个名为的资产server1.example.com, IP地址为10.0.0.1,MAC地址为00:00 a:95:9d:68:16波士顿另一个网站叫做PCI目标.因为该资产位于两个不同的站点,所以它有两个惟一的资产id,每个站点一个,因此被视为两个不同的实体。

如果资产具有某些共同的专有特征(如主机名、IP地址和MAC地址),则认为它们是匹配的。

如果启用了跨站点链接资产的选项,那么exposure将确定不同站点中的资产是否匹配,如果匹配,则将彼此匹配的资产视为单个实体。

下面的信息描述了在决定是否启用此选项时需要考虑的一些事项。

用例

当你将资产添加到你的网站配置时,你有两个选择:

  • 链接匹配跨站点的资产。如果它们具有共同的某些特征,例如主机名,IP地址和MAC地址,资产被认为是匹配的。如果您在多个站点中扫描资产,链接会有意义。例如,您可以为波士顿办事处的所有资产以及您需要按季度按份额扫描的另一个资产的网站。某些资产可能属于两个站点。在这种情况下,在所有站点上链接匹配资产是有意义的。
  • 将每个站点内的每个资产视为独特。换句话说,在发布链接功能之前,继续以同样的方式使用expose。如果您不扫描多个站点中的任何资产,这种方法是有意义的。例如,如果您的公司是一个零售连锁店,其中每个单独的商店位置都是一个站点,那么您可能希望每个站点中的每个资产都是唯一的。

安全注意事项

  • 一旦资产链接到站点,用户将具有资产的统一视图。访问资产将由现场成员资格以外的因素确定。例如,如果启用此选项,并且用户通过资产组访问资产,例如,该用户可以访问来自任何源的所有信息,无论用户是否可以访问源本身。示例:用户将访问他们没有访问,发现连接,Metasploit或收集有关资产信息的其他信息的站点中的扫描中的数据。

位置控制

  • 启用此选项后,此时无法通过用户界面在站点级别创建漏洞异常。它们可以通过API在站点级别创建。在启用该选项之前创建的站点级异常将继续应用。
  • 当这个选项被启用时,你将有两个不同的选项来移除资产:
    • 删除来自站点的资产断开了站点和资产之间的链接,但是该资产在已经存在的其他站点中仍然可用。但是,如果资产只在一个站点中,那么它将从整个工作区中删除。
    • 删除资产在应用程序中整个工作空间中删除它。

过渡的考虑

  • 禁用资产链接在已启用之后将导致分配给首次扫描的站点的每个资产,这意味着每个资产的数据只能在一个站点中。要保留返回上一个扫描结果的可能性,请在启用该功能之前备份应用程序数据库。
  • 当资产被扫描时,跨站点的链接将被创建。在过渡期间,直到你已经扫描了所有的资产,一些将跨站点链接,而其他不会。在此期间,您的风险评分也可能有所不同。

如果您选择在2015年4月8日发布之前的安装上的所有网站上链接资产,您将在资产数据和报告中看到一些更改:

  • 你会注意到随着时间的推移,有些资产并没有随着扫描而更新。当您扫描时,资产的新数据将与最近扫描的资产链接。例如,如果一个IP地址为10.0.0.1的资产包含在波士顿PCI目标网站,最新的扫描数据将与这些资产之一链接,并继续更新资产与未来的扫描。未链接的旧资产将不会出现更新与未来扫描。选择连接哪个旧资产的内部逻辑取决于许多因素,如扫描身份验证和在资产的每个“版本”上收集的信息量。
  • 您的站点风险评分可能会随着时间的推移而降低,因为评分将乘以更少的资产。

启用或禁用跨站点的资产链接

默认情况下,截至2015年4月8日,产品更新,默认情况下启用跨站点资产链接功能。

要使不同站点中的资产能够被识别为单一资产:

  1. 回顾上述考虑因素。
  2. 以全局管理员身份登录应用程序。
  3. 政府页面。
  4. 在“全局和控制台设置”下,“全局”旁边,选择管理
  5. 选择资产链接
  6. 选中的复选框链接所有站点中的所有匹配资产

禁用链接,以便不同网站的匹配资产被认为是唯一的:

  1. 回顾上述考虑因素。另请注意,删除链接将需要一段时间。
  2. 以全局管理员身份登录应用程序。
  3. 政府页面。
  4. 在“全局和控制台设置”下,“全局”旁边,选择管理
  5. 选择资产链接
  6. 清除的复选框链接所有站点中的所有匹配资产
  7. 点击保存在下面全局设置