弱点识别与检测 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

漏洞

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

弱点识别与检测

Coisini10 2023-11-05 19:30:26 202125

本文由 Coisini10 创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

前言：

随着互联网及数字化建设的普及，企业的IT信息化程度不断提升，更多的业务也依赖于IT和网络设施，并逐渐走向“云化”。面对不断增加的信息化基础，在业务扩张的同时，安全漏洞也不断激增。基于漏洞产生的网络攻击事件层出不穷，全球因漏洞导致的攻击事件损害超过900亿美金，更让多家公司一夜蒸发千万市值。

在如此严峻的形式下，我国将网络安全上升到国家战略层面，并陆续颁布了《网络安全法》、《等保2.0》、《数据安全法》、《网络产品安全漏洞管理规定》等法律法规，明确了网络安全管理的责任与义务，加大了打击网络攻击事件的监管力度。

近些年实战化攻防理念的兴起，安全管理人员逐渐发现，对系统进行特征和版本匹配的传统检测技术，因其发包量大，误报高等劣势，无法在攻防场景中发挥预期价值。漏洞检测技术也随着各种新兴技术和IT环境需求不断演进，专注于高质量，高收益漏洞的检测与发现。新一代漏洞扫描工具也成为企业面向新兴攻击进行事先“主动防御”战略部署中，必不可少的一环。

1.安全漏洞检测的新挑战

当前新技术、新场景的不断迭代，企业面临的安全环境也日益复杂，面对不断迭代的业务和复杂的网络环境，安全漏洞的检测工作面临了新的困难与挑战：

如何精准检测漏洞，避免误报？

传统扫描器基于版本和特征识别进行匹配的检测技术产生大量误报，反而使安全人员投入过多精力在无用的误报上，无法聚焦在关键风险点。

如何做到无害可控的漏洞检测？

传统扫描器因频繁大量发包致使IP被封禁或对业务带宽产生巨大影响，无法在运维人员已定的安全策略和适配自身业务环境下，执行可控安全检测。

如何实时捕获漏洞？

在对大批量资产进行检测时，基于批处理的传统扫描器对检测的风险不能实时返回，增加了风险暴露时间的同时，不利于安全人员工作的有效开展。

如何快速响应1day/Nday？

面对大量漏洞信息的爆发，传统扫描器对1day和Nday漏洞的响应无法适应新环境下的检测需求，快速更新漏洞并检测成为必要场景。

2.解决方案

弱点识别与检测系统是企业级轻量漏洞发现与检测工具。从攻防实战角度对漏洞进行发现和验证。传统的漏洞扫描基于版本匹配和特征扫描的检测技术，该平台贯彻“以攻促防”理念，基于微服务架构、AI智能指纹探测、原理PoC验证等多种技术，针对企业在1day漏洞应急、攻防演练、高质量漏洞挖掘等实战化场景，提供卓越的漏洞发现能力。精准识别自身系统中存在的漏洞，帮助企业完成事先的 “主动防御”，降低被攻击的风险。

基于多年积累的攻防经验转化为AI模型和PoC验证模型，结合漏洞情报研究能力，为用户提供高质量漏洞检测结果。支持包括资产探测、弱口令检测、web漏洞检测、主机漏洞检测、基线配置核查等多种攻防场景策略，帮助企业实现专业、自动化的漏洞检测，从而将更多安全工作聚焦于最具价值的漏洞上。

资产探测

能够发现未知资产、无主资产、僵尸资产、违规资产，支持自动化周期主动下发任务，对目标资产进行快速的网络探测，以收集目标主机的存活性、开放端口、运行应用等信息。运用深度学习算法和知识图谱技术构建AI指纹检测模型，在对目标进行分析和检测时，对比传统检测引擎在指纹识别准确率上提升40%以上。

能够对资产开放的端口信息和指纹暴露信息进行探测，包括非常规端口的指纹识别。可探测内容包括但不限于操作系统及版本、主机名、开放端口、开启服务及版本、安装软件、组件及版本、安装组件等资产指纹画像信息。包括13000多种服务协议指纹和2400多种web指纹，指纹覆盖类别超过1500类。内置版本特征检测与AI算法模型双指纹探测引擎，实现指纹的精准识别。在满足高质量精准探测的同时，产品在发包策略上进行了优化，以实现快速大范围探测场景快速完成资产探测。

主机设备	服务器、PC机、客户机、移动设备、虚拟化设备等
操作系统	Unix、Microsoft Windows server、Mac OS、Sun Solaris、HP Unix等
网络设备	路由器、交换机、网关设备等，覆盖Cisco、Juniper、huawei、F5、Checkpoint等主流厂商
数据库	MySQL、MongoDB、MSSQL、Redis、Oracle、Postgresql、DB2、Sybase、Sqlite
企业应用	ERP、OA、CRM、电子邮件系统等
中间件	Nginx、Apache、IIS、Tomcat、Weblogic、micro_jtpd等
IOT设备	摄像头、工业控制设备、打印机等

漏洞检测

运用PoC扫描引擎，综合包括端口检测、智能指纹识别、标记权重判断等多类技术，对目标进行漏洞挖掘。产品基于最小发包的理念，通过不断的优化在漏洞扫描技术上取得了准确性与高速率的平衡。用户可通过下发周期性扫描任务，自动化实现对目标设备的安全监管，实时监控目标的安全状态和风险变化趋势。

保留特征匹配的基础上，投入了几十位安全专家进行PoC验证模型的编写，并定期将安服和攻防项目中的经验转化到产品的知识库中，实现最贴合用户实际网络的动态经验库，在实验环境下准确率达98%以上。在检测调度方面，基于AI指纹检测模型，精准化验证测试，避免过量冗余发包，并通过技术手段对请求特征进行了伪装，实现了部分防御规则的绕过。

产品漏洞知识库丰富，包括但不限于Web应用漏洞、安全产品漏洞、操作系统漏洞、网络设备漏洞、中间件漏洞、应用系统漏洞等20多种漏洞分类，兼容CVE、CNVD、CNNVD等国内外主流标准。除已有编号漏洞外，产品还融入了多个未收录的攻防高危漏洞，并不断保持漏洞知识库的动态更新，多次率先推送重大漏洞预警和PoC。

弱口令检测

支持对多种服务协议进行弱口令检测，产品字典库一方面基于长期安全服务和攻防项目进行定期的梳理和优化，另一方面结合海量互联网情报信息挖掘并更新字典，以保障字典的实战性。

提供丰富的弱口令配置，除支持自定义字典库外，可根据扫描场景，配置弱口令的启用协议类型、口令猜测频次等精细化参数以对抗有口令尝试次数限制的安全策略，在必要场景下支持将口令库全部扫描完成。为保障产品能还原模拟攻击者在真实场景下的弱口令利用方式，利用弱口令场景仿真的调度算法，实现了攻防仿真场景下的动态业务字典库、防爆破检测、数据精准标记等多种技术突破。

3.关键技术

基于知识图谱的指纹探测引擎

基于主被动两种模式对资产开放端口信息和指纹信息进行探测，基于深度学习算法和知识图谱指纹库，内置超过一万的自研检测规则，对目标指纹信息进行准确的分析识别。

云原生架构，功能可扩展

底层运用云原生技术架构，所有组件以微服务的形式进行部署。同时，随着业务的升级和需求扩展，用户可以通过升级证书的方式扩展功能和扫描能力，无需额外重新部署或者购买其他产品，即可快速实现产品升级。

高效PoC精准漏洞检测

采用PoC验证模型的检测方式，准确性高达98%以上。不同于传统扫描器用大量规则全量测试的方式，结合自研指纹引擎精准高效扫描，仅需10分钟即可完成数千资产的漏洞检测。同时，充分利用Go在多线程、高并发的技术优势，基于AI算法对扫描过程进行动态调控，达到快速高效。

4.客户价值

攻击视角看清资产弱点

漏洞是网络攻击的核心，做好漏洞的识别工作是构建网络防御体系的第一步。因此，漏洞扫描器的部署和运用可以帮助客户快速定位目标资产中存在的漏洞风险情况。方便客户进行下一步的漏洞处置工作。

7*24h不间断的安全监测

通过灵活的任务管理能够进行周期性的持续检测，确保目标资产中的漏洞能够及时被发现。并结合华云安攻防实验室对海内外漏洞情报的长期研究，帮助客户实现7*24h不间断的1day和Nday防御。

“零时差”快速响应

解决了传统漏洞扫工具在扫描完成之间无法获取结果的弊端，实现了检测与响应“零时差”。为用户争取到了宝贵的漏洞响应时间，以便客户快速对漏洞进行处置。

高效工作，价值集中

基于PoC验证模型的检测模式让安全人员不再沦陷在漫天漏洞误报信息中，通过产品自动化进行过滤和筛选，并将时间和精力投入在更具价值的其他安全工作中，避免此类重复且低收益的消耗。

5.部署方式

采用B/S架构设计，分为业务平台、分析引擎两部分。根据客户需要可灵活拆分组合。业务平台前端应用包括OpenAPI、Web浏览器功能界面，后端包括数据库、数据分析等能力，必要时可将部分能力下放至分析引擎中，满足实际使用场景。基于云原生模块化设计，各业务功能模块和引擎能力模块均提供可选配能力以满足各种客户需求，根据需要选择资产探测、主机扫描、Web扫描、基线检测、弱口令检测等。

1699183644_65477c1cc403bdd99ee8b.jpg!small?1699183644993