网站创建场景

本节讨论满足常见需求的网站“菜谱”。通过选择适当的模板、资产和配置选项,您可以定制您的站点以适应特定的目标。

默认设置

默认扫描模板为“完全审计无Web Spider”。

这个扫描模板为您提供了对大多数非web资产的全面漏洞检查。它比使用Web spider的扫描模板运行得更快。

要彻底检查漏洞,您应该指定凭据。看到配置扫描凭证为更多的信息。

在建立漏洞扫描实践时,您可以使用各种扫描模板创建其他站点,并根据网络配置的需要更改默认的扫描引擎。

发现你有什么:发现扫描

简介:检查漏洞的第一步是确保检查组织中的所有资产。通过执行发现扫描,可以找到关于组织中资产的基本信息。该应用程序包括用于发现扫描的内置扫描模板。

如果您不知道某个资产可能被利用,攻击者可以利用该资产绕过虚拟专用网(Virtual Private Network, VPN)和公司防火墙,从本地网络内部发动攻击。如果您是新手,可能还没有意识到您要负责保护的每一项资产。在任何情况下,都会经常添加新的资产。您可以执行发现扫描来发现和了解更多关于这些资产的信息,为开发正在进行的扫描程序做准备。

根据组织的网络配置,发现扫描可能有所不同。我们建议对尽可能广泛的IP地址范围进行发现扫描,以防您的组织有超出典型范围的项目。因此,对于初始发现扫描,我们建议首先检查整个私有IPv4地址空间(10.0.0.0/8,172.16.0.0/12和192.168.0.0/16)以及组织拥有或控制的所有公共IP地址。这样做将帮助您找到尽可能多的主机。我们当然推荐使用所有私有地址空间的组织使用此方法,但也推荐使用较小网络的组织使用此方法,以确保他们能找到所有可以找到的东西。

扫描这么多资产可能需要一些时间。要估计扫描需要多长时间,看容量需求规划管理员指南的一部分。此外,发现扫描可以通过您的系统管理或防病毒程序发出警报;您可能需要在扫描之前通知用户。

在exposure中进行初始发现扫描:

  1. 创建一个新的静态站点(参见向站点添加资产),包括以下设置:
    • 当指定包含的资产时,请在无类域间路由(CIDR)表示法中指定一个范围。看到http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing.这种表示法允许你用简洁的语法指定一组机器。如上所述,此时的最佳实践是扫描组织控制的所有IP地址,以及每个私有IP地址范围。
    • 选择发现扫描扫描模板。
    • 不要指定凭据。它们不需要用于确定网络上的计算机是否存在。
  2. 在这个站点上运行扫描。
    • 将扫描结果与您对网络的了解进行比较。寻找并处理任何异常。例如:
    • 端口不正确地显示为活动:如果发现扫描显示每一个端口为活动,这个结果很可能不显示实际的网络配置,但被其他东西影响如一块安全设备(例如,入侵检测软件、入侵保护软件,或负载均衡器)。确定导致意外结果的原因并进行更改,以便获得准确的扫描信息。例如,如果是防火墙导致的结果不准确,则在防火墙上公开白名单。
    • 端口显示为不活动:您可能会发现您无法扫描的网络区域。例如,可能有一个您知道的地址在发现扫描中没有找到。检查遗漏是否由于防火墙或逻辑路由问题。如果是,在屏障的另一边配置一个额外的Scan Engine并扫描这些资产。

从外部观察你的环境

简介:除了对您的网络进行彻底的扫描外,我们建议使用网络外部的扫描引擎来检查可以找到什么。准备好扫描引擎后,可以将其添加到网站配置

如果您有外部IP地址,您可以检查哪些人可以从外部访问。你可以在你的网络外围设置一个扫描引擎,看看它能找到什么。如果您想获得防火墙的“外部”视图,可以从组织外部的引擎执行扫描,并将其与其他外部机器同等对待。您可能需要考虑使用Rapid7托管引擎。

我们推荐以下配置:

  • 不要对这些外部扫描使用凭据。
  • 禁止将源IP地址加入白名单。
  • 您可能需要免除引擎使用某些主动/自适应入侵防御技术(例如,Web应用防火墙,未知单播和组播洪水控制,入侵防御系统,动态防火墙黑名单)。
  • 使用完整审计与Web Spider扫描模板或类似的自定义模板。
  • 扫描整个组织分配的公共地址空间,而不仅仅是你认为是活跃的或可访问的系统。
  • 至少每月扫描一次,或尽可能频繁地进行扫描,以确保更改控制和扫描持续时间。
  • 始终将外部扫描与上面描述的内部身份验证扫描结合起来,因为防火墙规定了对某些漏洞、服务和主机的屏幕访问。

我们建议优先采取以下补救措施:

  • 最危险的漏洞类型之一是允许未经身份验证的外部用户登录的漏洞,例如暴露的Telnet端口。当务之急是纠正这些漏洞。
  • 否则,通过减少攻击面开始处理结果:
    • 关闭或阻止对不需要公开的主机的访问。
    • 使用防火墙规则限制对尽可能多的服务和主机的访问。
    • 基于CVSSv2或CVSSv3评分和流行程度,解决剩余的面向外部的漏洞。

零日漏洞

在新宣布的高风险漏洞的情况下,您可能希望只扫描特定的漏洞,以便尽可能快地找出哪些资产受到影响。

您可以创建一个自定义扫描模板,只检查特定的漏洞,并使用这个特殊的模板扫描您的站点。您可以使用常见漏洞和暴露标识符(CVE-ID)只关注该漏洞的检查。

扫描特定漏洞:

  1. 通常,最佳实践是通过复制现有的扫描模板来创建新的扫描模板。根据漏洞的性质不同,最好的复制方式也不同,但带Web Spider的全面审计或不带Web Spider的全面审计通常是很好的起点。有关扫描模板的更多信息,请参见扫描模板
  2. 确保漏洞选项被选中,则网络搜索如果相关,则选择该选项。清除政策选项以将模板聚焦于特定于此漏洞的检查。
  3. 编辑扫描模板的名称和描述,以便稍后能够识别模板是为此目的定制的。
  4. 漏洞检查页面。首先,您将禁用所有检查、检查类别和检查类型,以便您可以专注于只扫描与此问题相关的项目。
  5. 扩大按类别部分并单击删除类别
  6. 选择最上面一行的复选框(漏洞类别),它将自动选择所有类别的复选框。然后单击Save。注意,现在启用了0个类别。
  7. 扩大以个人支票部分并单击添加检查
  8. 输入或粘贴对应的CVE-ID搜索条件框,然后单击搜索.选择最上面一行的复选框(漏洞检查),这将自动选择所有类型的复选框。然后单击保存
  9. 对于与问题相关的任何其他cve - id,重复步骤7。
  10. 保存扫描模板。
  11. 创建或编辑一个网站,包括:
    • 新的自定义扫描模板
    • 经过身份验证的漏洞检查的凭据
  12. 开始扫描。

多个位置的资产

如果你的资产分布在多个地方,你需要考虑以下几个因素:

  • 您可以应用标记来指示资源的位置。看到应用带有标签的RealContext.然后,您可以根据这些标记创建报告,以便根据位置评估资产的风险。看到选择要报告的资产
  • 创建站点并将其与扫描引擎相关联是一种很好的做法,这种方式可以最大限度地利用您的网络配置。例如,如果你在休斯顿和新加坡有资产,你可能会更好地放置扫描引擎在两个地点,并为每个创建一个网站,而不是尝试用一个扫描引擎在一个地点扫描所有资产。

大量资产

要扫描大量的资产,您可能需要利用scan Engine池。扫描引擎池可以帮助实现负载均衡,并在单个扫描引擎故障时作为备份。要了解有关配置扫描引擎池的更多信息,请参阅扫描引擎池页面。

亚马逊网络服务

要扫描Amazon Web Services (AWS)虚拟资产,您需要在AWS环境中执行一些准备工作,并创建特定于此类型资产的发现连接。想要了解更多,请看在AWS环境中准备动态发现

VMWare

要扫描VMWare虚拟资产,您需要在目标VMWare环境中执行一些准备步骤,然后创建特定于此类型资产的发现连接。想要了解更多,请看准备用于动态发现的目标VMware环境

PCI内部合规扫描

如果您的系统处理、存储或传输信用卡持卡人数据,则您可能在使用exposure以符合支付卡行业(PCI)安全标准委员会数据安全标准(DSS)。PCI内部审计扫描模板旨在帮助您按照DSS的要求进行内部评估。

要了解更多PCI DSS 3.0,请访问我们的资源页面

以下是与exposure一起使用的用于帮助您进行内部PCI扫描的建议流程的概要。(有关如何使用应用程序中的任何功能的更多信息,请参阅帮助或用户指南。)

  1. 如PCI DSS 3.0 6.1节所述,您需要创建一个进程来识别安全漏洞。为此,在exposure中使用以下配置创建一个或多个站点:
    1. 中的pci特定报告所需的组织信息组织部分的信息与安全选项卡的网站配置
    2. 包括需要扫描以符合PCI要求的资产。(通常这些主机将包括您的持卡人数据环境或“CDE”)。
    3. 使用PCI内部审计扫描模板。
    4. 指定扫描的凭据。(这些凭据应该具有读取目标系统的注册表、文件和包管理方面的特权)。
  2. 正如PCI数据安全标准要求11.2.1和11.2.3所示,您需要创建并检查报告,以验证您已经扫描并修复了漏洞。您还应该保留这些报告的副本,以证明您符合PCI DSS。
    1. 创建一个新的报告创建基本报告.你很可能想使用一种总线标准执行概要PCI漏洞细节报告。对每个模板遵循这个过程。设置如下参数:
      1. 范围,指定正在扫描的PCI资产。
      2. 在高级设置中,在分布,指定报表的电子邮件发件人地址和收件人。
  3. 减轻漏洞。漏洞的描述包含修复步骤。
  4. 重新扫描以验证您的缓解措施已成功解决了问题
    1. 如果使用了补偿控制,可能需要使用异常处理来消除相关的发现。(自动化工具可能无法检测您的补偿控制,即使它在降低相关风险方面是有效的。)
  5. 继续扫描和减轻。您需要每季度进行一次内部扫描,直到纠正了PCI DSS 6.1和11.2.1节中定义的所有高风险漏洞。您还需要在主要更改之后进行扫描,如11.2.3节中定义的那样。第6.2节概述了适用补救措施的可接受时限。

政策的基准

该应用程序包括可用于策略基准测试的内置扫描模板。其中包括CIS、DISA和USGCB。每个模板都包含用于不同平台的一组策略;只有那些适用的才会被评估。在这三个平台中,CIS包含对最广泛的各种平台的支持。有关这些模板的更多信息,请参见扫描模板

所有策略扫描模板都需要用户名和密码对,用于访问桌面和服务器机器等资产。通常,该帐户将拥有管理员或root用户的特权。有关证书的更多信息,请参见配置扫描凭证

CIS扫描模板包括针对数据库的策略检查,访问数据库需要用户名和密码。