东华漏洞扫描系统
产品介绍
1当前背景
漏洞、脆弱性是导致信息系统安全事故的基础条件,也是导致信息安全风险的最主要因素。在一套完善的信息安全防护体系中,必然存在对信息系统漏洞、脆弱性的评估环节,由于信息系统、安全威胁都具有动态变化的特性,因此,对信息系统的安全平台服务评估周期长、费用高,通常采用自动化漏洞扫描工具来支持日常安全管理工作。
Web技术具备的便捷性、通用性和展示能力,使得越来越多的应用系统由C/S架构迁移至B/S架构,而传统的通用化漏洞扫描器虽然具备全面、应用支持丰富等特性,但在Web应用中的扫描深度和专业度常常无法满足需求,因此,专业Web应用漏洞扫描器应运而生,极大提高了对Web应用漏洞挖掘的能力和有效性。
但实际上,即便是专业的Web应用漏洞扫描器,在挖掘基于Web的应用系统漏洞时也存在一些先天不足,由于基于Web的应用系统组成结构复杂、多样化,孤立地将整体应用系统的安全隐患归结为Web应用漏洞显然是不科学的,即便能够确保Web发布程序、应用代码不存在任何漏洞,但网络协议、操作系统及其他配套软件的漏洞一样可以成为恶意攻击者的“敲门砖”。对于用户来说,想要做到全面性和深入性兼顾,似乎只能接受两种扫描器同时部署的高成本、高管理难度、高宽带消耗和极差的风险关联体验。
2东华漏洞扫描系统介绍
东华漏洞扫描系统是东华合创自主研发的的综合漏洞发现与评估系统。通过对系统漏洞、服务后门、网页挂马、SQL注入漏洞以及跨站脚本等攻击手段多年的研究积累,总结出了智能主机服务发现、智能化爬虫和SQL注入状态检测等技术,可以通过智能遍历规则库和多种扫描选项组合的手段,深入准确的检测出系统和网站中存在的漏洞和弱点。最后根据扫描结果,提供测试用例来辅助验证漏洞的准确性,同时提供整改方法和建议,帮助管理员修补漏洞,全面提升整体安全性。
东华漏洞扫描系统以综合的漏洞规则库(本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等)为基础,采用深度主机服务探测、Web智能化爬虫、SQL注入状态检测、主机配置检查以及弱口令检查等方式相结合的技术,实现了业界首款及唯一一款将Web漏洞扫描、系统漏洞扫描、数据库漏洞扫描、基线配置核查、工控漏洞检查与弱口令扫描于一体的综合漏洞评估系统。
2.1技术特点
2.1.1系统漏洞检测
2.1.1.1全方位的网络对象支持
网络主机:服务器、客户机、网络打印机、移动设备、虚拟化设备等;
操作系统:Microsoft Windows 9X/NT/2000/XP/2003/7/8/10/11、苹果操作系统、国产操作系统、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD、HPUX等;
网络设备:Cisco、Juniper、华为、F5、3Com、Checkpoint等主流厂商网络设备;
安全设备:Checkpoint、赛门铁克、Cisco、Juniper、Palo Alto等主流厂商的安全设备;
应用系统:数据库、Web、FTP、电子邮件等。
中间件:tomcat、weblogic、jboss、websphere等。
2.1.1.2全面的系统漏洞知识库储备
东华漏洞扫描系统漏洞库涵盖丰富的安全漏洞和攻击特征,至少支持CVE、CVSS、CNVID、CNNVD、CNCVE、Bugtraq等漏洞种类,蕴含着丰富的研究经验和深厚的知识积累,收录多个标准下的漏洞, 包括高可利用系统漏洞、原理检测系统漏洞、中间件漏洞、数据库漏洞等类型。支持多种漏洞扫描技术,包括但不限于基于漏洞原理的原理扫描技术、基于 banner 信息的漏洞扫描技术等,能够为客户提持续的、高品质的产品应用价值。
2.1.1.3关键资产风险分级
系统可扫描资产显示资产的风险,漏洞详情及资产信息以及系统资产属性。可对资产进行分组,标记“核心资产”,资产风险描述了每个资产不同执行时间段的的漏洞数,具体到“高”、“中”、“低”、“信息”四个等级的风险;漏洞详情描述了每个漏洞的具体信息;资产信息描述了每个资产的主机信息;系统资产属性主要描述了该资产所属的资产名称,及其扫描IP/域名。
2.1.2Web漏洞检测
2.1.2.1网站安全漏洞全面检测
与目前市面上的其它网站安全检测类产品单一地考虑系统安全、网页编程安全、SQL注入、跨站漏洞等方面的安全问题不同,东华漏洞扫描系统从设计网站安全的各个方面来对网站安全状况做出最全面的评估。东华漏洞扫描系统对web漏洞检测内容包括:系统补丁、危险插件、代码审计、恶意网站、网页木马、网站暗链、目录遍历、本地/远程文件、高可利用 WEB 漏洞、通用应用漏洞、SQL 注入漏洞、XSS 注入漏洞、跨站注入、管理入口以及敏感信息等等。
2.1.2.2网站代码本地安全检查
目前的远程SQL注入扫描、跨站漏洞扫描等是针对网站代码进行外部的黑盒测试,而我们针对网站代码的安全检查是针对网站代码进行全面直接的检查,找到SQL注入、跨站漏洞、网马等一系列安全问题。即针对网站代码进行本地的安全检查。
2.1.2.3积累丰富的网马特征库
东华漏洞扫描系统采用了研究团队多年积累的丰富的网马特征库,不仅包括网马代码特征、而且包括挂马网站的列表,双重检测手段保障网马检测较低的漏报率和误报率,同时我们保持每周至少一次的特征库的升级以及0day漏洞的24小时紧急升级保障。
2.1.2.4高效的网页爬虫技术
东华漏洞扫描系统的网页抓取模块采用广度优先爬虫技术、深度优先爬虫技术以及网站目录还原技术。广度优先的爬虫技术不会产生爬虫陷入的问题,网站目录还原技术则去除了无关结果,提高抓取效率。
2.1.2.5基于状态的SQL注入扫描技术
东华漏洞扫描系统不同于传统的针对错误反馈判断是否存在注入漏洞的方式,而采用自主创新的状态检测来判断。所谓状态检测,即:针对某一链接输入不同的参数,通过对网站反馈的结果使用向量比较算法进行比对判断,从而确定该链接是否为注入点,此方法不依赖于特定的数据库类型、设置以及CGI语言的种类,对于注入点检测全面,不会产生漏报现象。而常见的SQL注入扫描产品均不具备此项技术。
2.1.2.6基于状态比较的注入验证技术
东华漏洞扫描系统采用状态检测来对数据库的数据进行猜解,无论网站采用什么CGI语言,无论网站是否反馈错误信息,都能进行正常的猜解,而常见的SQL注入扫描产品均不具备此项技术。
2.1.2.7基于模糊匹配的管理入口检测技术
东华漏洞扫描系统管理入口检测模块不仅采用常规管理入口检测技术,即:使用常用的管理入口库进行逐一匹配检查,而且还采用了模糊匹配的方式来检测管理入口,所谓的模糊匹配即软件使用模糊匹配的方式来对网站所有链接进行匹配,从而最大可能找出所有管理入口。
2.1.2.8强有力的解析方式
东华漏洞扫描系统支持支持爬虫表单自动分析、Javascript解析、Java与HtmlElement自动交互、Ajax解析、Flash解析等新型、丰富而高效的解析方式。深度解析web页面,可以准确而高效的发现web漏洞。
2.1.3数据库漏洞检测
东华漏洞扫描系统采用先进的数据库发现技术和实例发现技术等,可以针对当下主流的数据库,如Oracle、MySQL、DB2、PostgreSQL、sybase、SQL Server、Informix等进行漏洞检测,包括对数据库系统的各项设置、数据库系统软件本身已知漏洞、数据库系统完整性进行检查和对数据库系统的整体安全性做出评估,并给出提高数据库安全性的修复建议。通过登录扫描可对数据库的每张表每个字段进行安全检测。
2.1.4信息类漏洞检测
东华漏洞扫描系统可以对信息类漏洞进行检测,检测内存包含但不限于mail 地址、敏感目录暴露、内部 ip 地址、会话令牌、源码、数据库备份文件、SVN 文件、系统重要配置、日志文件向外网泄漏等。进行信息类漏洞检测后,可给出提高信息安全性的建议。
2.1.5基线安全核查
安全配置核查是安全管理的基本工作,同时也是安全运维的重要技术手段。安全配置核查首先要建立满足组织信息安全管理体系的安全配置要求的基线。当前,部分重要行业和监管部门已经针对行业的信息系统建立详细的安全配置要求及规范。它构建针对不同系统的详细检查项清单和操作指导,为安全运维人员的安全技术操作提供标准化框架和指导,有很广泛的应用范围,主要包括新系统的上线安全检查、第三方入网安全检查、安全合规检查、日常安全检查等。
东华漏洞扫描系统参考国内外标准、行业技术规范和安全运维最佳实践构建了以业务系统为核心,覆盖业务层、系统支撑层的安全配置基线模型。从业务系统安全要求出发,将要求分解到对应的支撑系统的具体安全要求。支撑系统包括操作系统、数据库、中间件和应用系统,还包括网络基础设施如网络设备和安全设备等。针对这些支撑系统的具体产品类型如Windows, Oracle, Weblogic,交换机,防火墙等,根据具体的安全要求可细化到可执行和实现的具体要求,尽管属于同类设备,但品牌型号不同,具体的安全要求及配置检查方法不同,这就构成了不同设备和系统的专项安全基准线。
2.1.6工控系统检测
能够对工控系统进行全面的安全检测,可以对西门子、施耐德、AB、罗克韦尔以及国内和利时、中控等主流PLC、DCS、SCADA系统设备等当前主流生产业务设备及软件进行漏洞匹配,使安全检查过程达到自动化、标准化、持续化、可视化。并且支持的协议种类众多有S7、Profinet、Modbus、OPC、EtherNet/IP、DNP3、IEC61850等,可以有效提高检查工控系统结果的准确性和合规性,协助查找工控系统中存在的漏洞,并与安全整改与安全建设相结合,提升各类业务工控系统的安全防护能力和达到整体合规要求。
2.1.7覆盖面广的漏洞库
东华漏洞扫描系统包含CNNVD认证的系统漏洞库20多类;Web漏洞库共覆盖OWASP定义的10大类漏洞规则,共有64000多条。包含虚拟化设备、移动设备、网络设备、安全设备等多种类型的规则,覆盖了当前网络环境中重要的,主流的系统和数据库等漏洞,并且能够根据即时更新,确保漏洞识别的全面性和时效性。
2.1.8紧急漏洞评估
东华漏洞扫描系统可以对包括Apache Solr Velocity 模板远程代码执行漏洞、phpstudy 后门发现漏洞、Jenkins Git client 插件命令执行漏洞、致远 OA A8 无需认证 Getshell漏洞、Jenkins Java 反序列化远程代码执行漏洞、Weblogic 反序列化专项漏洞检测、Apache Struts2 远程代码执 行系列漏洞、JBoss 反序列化漏洞等新爆发的0day漏洞进行检测。通过对新爆发的0day漏洞检测,对紧急漏洞进行单独评估,确保漏洞识别的时效性,并确定风险级别。做到有针对性的检测。
2.1.9可自定义规则库
东华漏洞扫描系统中,用户除了可以使用软件默认提供的检测库外,也可以添加自定义的规则库模板,批量筛选所需模板,通过新建模板并选择所需的规则,可高效、有针对性的检测漏洞。
2.1.10强有力的扫描效率
东华漏洞扫描系统可基于 IP 地址、IP 网段、IP 范围、URL 等方式进行资产发现扫描,综合运用预探测、渐进式、多线程的扫描技术,快速发现目标网络中的存活主机,然后根据渐进式探测结果选择适合的扫描策略,根据用户现场情况,设定一个时间或者进行立即扫描任务,启动多个线程进行并发扫描,从而保证了扫描任务可以迅速完成。同时东华漏洞扫描系统还支持以EXCEL格式批量导入资产。
2.1.11准确的漏洞识别率
东华漏洞扫描系统采用渐进式扫描分析方法,融合最新的操作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,如操作系统、网络名、用户信息、非常规端口上开放的服务等。
2.1.12便捷的漏洞验证工具集
东华漏洞扫描系统提供一键式漏洞验证工具集,包含SQL注入漏洞验证、浏览器漏洞验证及通用漏洞验证等。运维人员可以直接在系统界面中选择相应的协议并填充测试字段对目标进行漏洞验证,并且针对系统已发现的漏洞可以实现一键填充式自动验证功能,降低人工操作难度的同时提升结果验证的准确性。
2.1.13综合分析
东华漏洞扫描系统可以根据检测结果进行综合分析,并根据等保2.0三级标准的检测项要求来统计客户业务系统是否存在不符合、部分符合、符合、待确认、不适用检测项的情况存在,为客户业务系统通过等保2.0提供技术手段支持,让客户可以直观的了解自身业务系统合规情况。
2.1.14业务系统统一管理
对于客户业务系统的合规性,东华漏洞扫描系统还可以对所有业务系统进行统一管理,并对这些业务系统的合规情况生成合规报告,业务系统差距报告量化、可视化。可对不合规的业务系统进行整改前后的符合情况和安全问题进行统计。生成的报告可导出,方便保存。
2.1.15多样化的结果报表呈现
东华漏洞扫描系统能够生成面向多个用户角色的客户化全局风险统计报表,并以扇形图、条状图、标签、表格、文字说明等多种形式展现资产风险分布、漏洞风险等级分布、紧急漏洞、风险资产清单等的详细信息。也可以从紧急漏洞的视角、将紧急漏洞的风险等级、影响资产数、漏洞数量、最近发现时间,可关联漏洞详情以报表的形式展示主机风险,呈现已发生和未发生的紧急漏洞类型。也可以根据漏洞模板将漏洞总数、漏洞名称、漏洞 类型、风险等级等信息等漏洞详情以报表的形式展示出来 。同时支持以PDF、XML、HTML、EXCEL、WORD等多种格式导出结果报表。
2.2系统性能
东华合创结合多年扫描器开发经验和最新的扫描技术,对东华漏洞扫描系统进行了深入的性能和效率优化,如:采用了网站目录还原技术去除无关结果,提高页面抓取效率,并综合运用预探测、渐进式、多线程的扫描技术,能够快速发现目标网络中存活的主机,然后根据渐进式探测结果选择适合的扫描策略,启动多个线程进行并发扫描,从而保证了扫描任务可以迅速完成。
对于中等规模的网站,一般同类产品的扫描耗时超过2小时,而东华漏洞扫描系统的典型扫描耗时仅为20分钟左右。
2.3系统形态
按照用户的实际情况,东华漏洞扫描系统可以软件或硬件两种形态提供给用户,软件形态具有更好的部署灵活度,用户可根据网络规模,评估频度自行确定硬件配置,而硬件形态的东华漏洞扫描系统具有更高的集成度、底层系统免维护,具备安全性好、稳定性高的特点。
2.4用户价值
一套系统多种检测引擎,东华漏洞扫描系统在确保扫描和分析质量的同时,为用户节约了安全建设的资金投入、降低了管理维护难度,同时,东华漏洞扫描系统对多种扫描任务的统一调配有助于降低扫描过程对用户网络带宽和应用系统资源的消耗。对于一些广受关注的漏洞类型,如:注入式漏洞,东华漏洞扫描系统除提供挖掘和分析能力外,还特别提供了漏洞验证功能,进一步确保漏洞的存在性,避免错误的漏洞报告影响风险评估结果,使得风险评估的效果达到专家人工评估服务。
