• 首页
  • 综合
  • 国内
  • 国际
  • 财经
  • 视频
  • 军事
  • 科技
  • 图片
  • 舆情
  • 文旅
  • 房产
  • 商业
  • 发改动态
  • 营商环境
  • 聚焦山东
logo
  • Yandex科技首页 >
  • Yandex科技 > 综合 >
  • 正文

华云安 · ASM技术篇:漏洞扫描器的下一个十年

2021-12-20 11:17:06 来源:壹点网
漏洞是最为常见的黑客攻击手段之一,也是目前企业最基础最重要的防御目标。

在网络安全发展过程中,漏洞扫描器也曾风光无限。而今,在国家网络安全攻防演练、监管机构关注升级的背景下,随企业日渐复杂而庞大的信息化业务而释放出的新场景和新需求,都为漏洞扫描器在下一个十年的发展带来了变量。

漏洞扫描技术的发展与迭代

开源漏洞评估工具的出现,迄今已经有近二十年时间,在2002年,Nessus收回了版权并封闭了源代码,商业化扫描器逐渐进入人们的视野。在过去的十年中,漏洞扫描技术的发展也随着IT环境、业务的变化而不断变化,对于漏洞扫描的目标、场景甚至对象都产生了变化。

目标:由等保合规到实战攻防

2007年6月,《信息安全等级保护管理法》的出台,造就了漏洞扫描系统市场的火爆,以满足等保合规需求的漏洞扫描器接踵而生。近几年开始,在国内网络安全攻防演练、监管机构关注度提升等背景下,催生了新的技术需求与目标:

l 更关注漏洞扫描结果的真实性和有效性。X-Force的研究表明,黑客真实利用的漏洞与新增漏洞相比平均不到5%

图1 新增漏洞趋势

图2 漏洞利用趋势

在实战中,攻击者往往会针对危害性大、影响面广、可利用性高的漏洞构造攻击。那么在响应时间有限的情况下,提高漏洞扫描结果“信噪比”,避免浪费大量时间和精力来进行无效的验证和过滤,才能先于攻击者排查并处置自身存在的可利用漏洞。

l 更关注漏洞扫描器的1day漏洞应急能力——在漏洞层出不穷的今天,快速检出公网爆出的漏洞以及监管单位通报的漏洞也是我国漏洞管理的另一强需求。在国家对网络安全的日益重视的当下,基于厂商漏洞库数据包进行不定期离线更新的技术方式已然不够,应对面向CVE、CNVD甚至其他公网漏洞情报的准实时插件更新及基于云的自主更新。

场景:由工具到DevSecOps

随着对信息安全的重视,安全业务的参与感也更重。以往安全防御是特定团队的责任,在开发的最后阶段甚至上线后才会介入,而随着敏捷开发和DevSecOps的出现,安全防护开始贯穿业务应用的整个生命周期,安全管理工作也不再独立,各个产品要相互依托并融合多个开发场景。在“安全左移”的背景下,漏洞扫描被嵌入了CI/CD流程,基于流量、消息队列的被动信息收集允许将业务功能测试与安全测试结合,而IAST、DAST、SAST等不同的技术也被同时应用在了业务应用安全测试的多个阶段中。漏洞扫描不再是单一的测试工具,而是与流程中的多个关键阶段紧密结合,与包括WAF、IPS、HIDS、SOC等安全设备联动,产生1+1>2的效果。

对象:由简单对象到多元化

云原生、工业物联网等技术的普遍应用,使得扫描器不再单一的以服务扫描和web扫描为核心,而是需要囊括多种检测对象,如iot 容器,移动安全等新业务场景。不仅如此,不单单是漏洞检测,弱口令检测、敏感信息检测、不安全配置核查、供应链安全甚至云架构安全性的验证也成为下一代扫描器不得不考虑的技术点。

漏洞扫描器的十年之变

需求与市场在变化,技术也随之提供支持。事实上,漏洞扫描器在信息收集、漏洞检测甚至核心思想上都悄然发生着变化,而仔细梳理这些变化,也可以看出漏洞扫描器的一些技术迭代。

探测之变

过去的资产探测主要靠进行tcp发包探测目标的存活性以及端口开放情况,当前信息化推进迅速,对于指定目标进行探测很难做到资产的全面探测,在这种场景下基于业务流量的被动资产探测则做了很好的补充;面对海量IT资产、安全防御策略等现实情况,arp、无状态扫描、随机地址扫描、802.1q协议等技术的引用也促进了探测技术的前进;在子域名方面除了传统的字典爆破机制,也增加了DNS历史数据查询、网页域名递归抓取、内网DNS服务联动查询等方式。

爬虫之变

web2.0时代,前端框架的使用越来越多,网页内容对爬虫越来越不友好。不考虑服务端渲染,Vue等单页应用框架让静态爬虫彻底失效,传统静态爬虫无法适配JavaScript的解析,这直接导致了在进行web扫描时,无法对完整的DOM树进行捕获,可能遗漏资产的风险面和部分安全测试用例。另一方面,当前web交互日渐复杂和频繁,对于大量表单登录、弹窗跳转等交互场景,静态爬虫难以自动处理,获取更深层的URL。另外由于页面反爬技术的流行,技术上需要融入了高仿真实时渲染 DOM 遍历算法以及交互行为分析和伪装能力。

检测之变

漏洞的检测技术在实战性的推动下,由检测特征到漏洞库匹配的模式逐渐向PoC验证检测的模式进行转变,通过构造真实且可控的payload请求,对目前进行无害化漏洞验证,不仅兼容度更高,还具备漏洞误报率低、发包量少、检测速度快等特点,甚至还能对部分防御规则进行绕过。

思想之变

首先,对于漏洞的理解产生了较大变化,漏洞不仅仅是CVE、CNVD、CNNVD等包含编号的漏洞;漏洞检测更加全面,包含危害面、传播度、威胁程度等多纬度的攻击向量。不仅如此,越来越多的扫描器也朝着半自动化,甚至全自动的攻击模拟演变,未来普通安服能力可能会直接被一个智能扫描器所取代,而背后的红队及安全研究能力则是这类产品能力的拔高和天花板。

灵鉴的精准出击

灵鉴(Ai·Scan)弱点识别与检测系统是企业级轻量漏洞发现与检测工具。灵鉴致力于帮助用户轻松构建实战化防御能力,让安全弱点无所遁形,它将技术创新的价值最大化呈现与释放:

1.知识图谱赋能指纹探测

灵鉴基于知识图谱化的指纹经验库和17000+的检测规则,对目标指纹信息进行准确的分析识别,对比传统技术的在识别准确率上提升40%。

2.无时差的扫描与响应

灵鉴采用流式数据输出模式,实现了零时差快速响应,解决了传统漏扫工具在扫描完成之前无法获取结果的弊端。将漏洞在发现的第一时间报送给用户,以便快速对漏洞进行处置,缩短风险的暴露时间。

3.接近0误报的无害PoC漏洞检测

灵鉴基于PoC原理+自验证检测方式,采用智能化扫描插件,每个插件都来源于灵鉴安全实验室实战研究,能够根据扫描过程调整验证算法,全方位多维度的探测目标风险点。

灵鉴安全实验室研究团队时刻关注最新漏洞动态,将实时更新漏洞插件,随时保障用户对资产脆弱性的准确评估。漏洞经过真实验证,确保漏洞的真实有效,避免海量误报影响业务判断,让安全人员摆脱漏报、误报困扰,节省安全资源。

4.拥有丰富的漏洞库和详情的POC检测能力

内部运营覆盖了全球数十个漏洞库及相关漏洞事件情报的数据源,并长期投入漏洞研究与攻防分析,灵鉴的PoC不仅覆盖了CVE、CNVD等收录的漏洞,还包括一些未获得编号的高质量攻防漏洞、国外小范围应用但国内未通报的1day漏洞和部分未公布漏洞详情利用细节的漏洞,切实帮助企业先于攻击者发现内部所有可能暴露的攻击面,提升了检测的准确性。

灵鉴从攻防实战角度对漏洞进行发现和验证,深度贯彻“以攻促防”理念,基于微服务架构、AI智能指纹探测、原理PoC验证等多种技术,针对企业在1day漏洞应急、攻防演练、高质量漏洞挖掘等实战化场景,提供卓越的漏洞发现能力。


 

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

责任编辑:

免责声明:以上内容为本网站转自其它媒体,相关信息仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。

    为您推荐

  • 2022全球数字经济大会——数字金融论坛亮点抢先看

    2022年7月28-30日,由北京市人民政府、国家发展和改革委员会、工业和信息化部、商务部、国家互联网信息办公室、中国科学技术协会主办的2022
  • 见证创新力量崛起,2022全球数字经济创新大赛总决赛月底开启

      2022全球数字经济创新大赛自启动以来,吸引了全球20+国家,500+项目报名参赛。在圆满完成5场分站赛之后,大赛总决赛将于7月29
  • 解决企业出海合规问题?云片:既是乘客,更是水手

    埃森哲2021年中国独角兽研究报告显示,45%的独角兽企业认为海外拓展至关重要,其中82%的企业计划24个月内进军海外市场,从游戏、开发者服务和S
  • 眼不见 不为净! 与博世洗碗机体验官黎贝卡一起见证洗碗机99.99%长效除菌实力

    随着人们健康意识的提升,餐具的消毒除菌越来越引起人们重视。近日,博世家电携手博世洗碗机体验官黎贝卡进行眼不见不为净的手洗VS机洗除菌
  • 锁鲜更高效,能耗再降低:博世·3重盾护·活氧净冰箱为绿色生活加分

    在我国双碳战略驱动下,家电行业通过产品创新向绿色低碳转型已成为实现健康可持续发展的必然选择之一。基于可持续发展的品牌基础,博世家电
  • 健康守护 为爱行动——帅康联合钟南山基金会等单位,发起妈妈健康厨房行动

    5月8日是母亲节,帅康与广东省钟南山医学基金会联合发起公益活动——妈妈健康厨房行动,包括为5000名妈妈做慢阻肺筛查、倡导厨房环境健康、
  • 健康守护 为爱行动——帅康联合钟南山基金会等单位,发起妈妈健康厨房行动

    5月8日是母亲节,帅康与广东省钟南山医学基金会联合发起公益活动——妈妈健康厨房行动,包括为5000名妈妈做慢阻肺筛查、倡导厨房环境健康、
  • 以优化农产品收购支付服务为切入点 做好金融支持乡村振兴战略大文章

    ——中国银联收购产品赋能乡村振兴成效显著2021年以来,为深入践行支付为民工作理念,主动履行国有金融企业责任担当,中国银联河南分公司(
  • 华云安:云原生攻击面管理解析(下)

    随着向云计算基础设施的转移,我们已经看到了云原生应用的快速增长。这些应用程序是小型、快速且集成的服务的集合。通过创建和运行云原生应
  • 全民生活APP云闪付版上线

    3月24日,中国银联与中国民生银行合作开发的全民生活APP云闪付版正式上线。按照统一标识,统一体验,统一接口的原则,基于云闪付网络支付平
  • 全民生活APP云闪付版上线

    3月24日,中国银联与中国民生银行合作开发的全民生活APP云闪付版正式上线。按照统一标识,统一体验,统一接口的原则,基于云闪付网络支付平
  • 站在原地就是退步 ——除了死磕通道,云通讯服务商还该做些什么?

    受访嘉宾:吴佳钊,杭州云片网络科技有限公司联合创始人、CTO当前,全球通信云已经步入2 0时代,最大的变化在于通信形式的变革:传统短信+语音的
  • 发布健康厨房三大核心产品,帅康引领厨电产业重构正当时

    随着全民健康意识的增强和消费需求的提升,中国厨电行业正在迎来健康升级和重构的新时代。面对时代趋势,帅康定位健康厨房开创者,不断以技
  • 华云安:云原生攻击面管理解析(上)

    1 云原生安全左移在全球云计算市场的发展过程中,伴随云原生应用的不断丰富, 基础设施的资源服务向精细化管理、更优成本、极致弹性,以
  • 助力健康中国,帅康联合钟南山基金会成立“呼吸健康专项基金”

    3月10日,帅康与广东省钟南山医学基金会共同成立帅康呼吸健康专项基金,本次活动是帅康健康厨房构想在呼吸健康领域的一次公益践行,双方将
  • 拉开打法差距 新消费配送第一股顺丰同城潜力巨大

    近几年,即时配送迎来高速增长期,越来越多的玩家挤入即时零售赛道,行业的竞争也日渐白热化。在经历了前期焦灼混战后,拥抱商业长期主义打
  • CSA成果发布&云颁奖典礼,华云安展现强劲实力揽获双奖

    由云安全联盟大中华区举办的CSA成果发布&云颁奖典礼于3月9日在线上举行,会上对在数字化安全领域最具积极贡献及卓越影响的单位进行表彰
  • 茶叶寄递,顺丰“鲜”升级,实现分钟级配送模式

    阳春三月,顺丰争鲜人间三月风光好,春茶飘香唤早春。安徽茶叶历史悠久,自宋代至清末民初,更是涌现出一飞冲天的黄山毛峰、巴拿马万国博览
  • 华云安·ASM技术篇:人工智能在ASM方面的应用

    概述近些年来,随着网络攻防对抗不断演化升级,人工智能在网络空间安全领域的应用也逐步展开。人工智能因其智能化与自动化的识别及处理能力
  • 长安2022款CS75PLUS——市场界的龙卷风

    长安汽车采用双外观双动力的设计方式,充分满足当下消费者的消费需求,其中长安2022款CS75PLUS深得大众喜爱,是人们的新宠儿,以下就是它的魅力
  • 经营能力、技术创新、行业关注——三维度共振,助推华云安上榜“网络安全初创企业HOT50”

    近日,由安全牛发起的2022年度《初鉴初创 |网络安全创业企业HOT50》研究报告正式发布,华云安作为唯一一家攻击面管理企业荣登榜单。本次《
  • 华云安·ASM技术篇:攻防视角下的攻击面管理

    一、前言随着网络数字化转型速度的加快,企业运营方式发生重大变化,网络基础设施更加复杂,使得攻击面的规模不断扩大,网络空间安全承受多
  • 开年喜报丨华云安荣获“2021年度攻击面管理领先企业”

    近期,由赛迪网、《数字经济》杂志社共同发起的2021创新影响力成果评选,在2021数字经济领航者峰会暨2021创新影响力峰会上揭晓。北京华云安
  • 华云安·ASM技术篇:应对零日攻击的检测模型(VEAM)

    根据《麻省理工科技评论》的零日漏洞追踪项目的统计显示,2021年至少发现66个仍在使用中的零日漏洞,数量约是2020年的两倍。日益增长且难以
  • 加速智能生态与场景链接 零立科技引领美容个护产业新航向

    1月12日,以新形象 新赛道 新格局为主题的2022海尔生活家电全球峰会在中国青岛盛大开幕。作为海尔生活家电的重要链群,零立科技(海尔护
  • 华云安·技术篇: “紫队”视角识破安全弱点,看清水下暗流

    1月11日,一加「10至 名归」新品发布会如约而至,性能旗舰一加10 Pro正式发布。一加创始人刘作虎在会上公布2021年一加全球手机出货量首次突
  • 帅康集成灶搭乘中国速度,向健康出发

    2022年1月5日,帅康集成灶健康高铁列车在上海虹桥站盛装启程。立足新起点,借助中国高铁的国民影响力,承载着帅康集成灶强大的品牌实力和信
  • 华云安·ASM技术篇:情报赋能攻击面管理

    攻击面管理关键目的是保护资产和资产上存储、传输的数据。而攻击面管理是风险管理的前提。唯有梳理清楚自有网络中所有资产及资产相关攻击面
  • 华云安·ASM技术篇:VPT技术的本土化探索与实践

    安全的本质是动态对抗,将其映射到漏洞管理领域就是漏洞不断产生和不断快速响应的过程。在有限资源下,实现投入的回报收益最大化是漏洞管理
  • 华云安 · ASM技术篇:漏洞扫描器的下一个十年

    漏洞是最为常见的黑客攻击手段之一,也是目前企业最基础最重要的防御目标。在网络安全发展过程中,漏洞扫描器也曾风光无限。而今,在国家网
  • 构建我自己的幸福,白癜风“告白行动”快乐课堂

    2021年6月14日,白癜风告白行动《美丽心灵,健康成长》快乐课堂——构建我自己的幸福。本期课堂邀请到中国科学院心理研究所心理健康应用中
  • 华云安·概念篇:从Gartner报告看安全运营技术发展趋势

    全球新冠疫情深刻改变了人们的生活方式、工作学习习惯,加速行业和企业的数字化转型进程。在这一过程中,各个企业将数字技术融合到自身的运
  • 华云安·概念篇:从漏洞管理到攻击面管理

    漏洞管理的本质是,对于随企业业务发展而不断产生的各类漏洞采用一系列措施进行从发现到解决闭环管理,以避免因漏洞被利用并演变为安全事件
  • 华云安获亿元A+轮融资,全力打造攻击面管理第一产品力

    近日,北京华云安信息技术有限公司(以下简称华云安)完成亿元人民币的A+轮融资,此轮融资由同创伟业领投,微村智科和国君景泰跟投,密码资
  • 理想ONE车机再次升级,全家人都爱的智能座舱

    在手握30多万预算的情况下,很多人会考虑BBA旗下的一些入门级别车型,毕竟BBA的车型在国内市场中影响力比较高,开BBA出门的话有面子,体验
  • 理想ONE五星安全,被誉为中大型SUV市场“公路坦克”

    安全一直是汽车市场被翻来覆去探讨的核心问题,所有的车企均以安全为基础,进而打造不同定位的车型。而现存的汽车品牌中,又以定位在豪华市
  • 《电动自行车集中充电设施技术规范》即将出台,猛犸出行王振飞解读国标

    2021年10月21日,由中国电力企业联合会、国网电动汽车服务有限公司和中国自行车协会主办的第一届中国电动自行车充换电技术创新大会在北京召
  • 拥抱大未来,帅康&天猫优品HAE高端家电博览会隆重举行

    10月15日—16日,天猫优品高端家电博览会(HAE)在郑州、济南、长沙三地隆重举行。帅康携核心产品重磅亮相三地会场,向主办方、数千天猫优
  • 2021国家网络安全周拉开帷幕 MobTech袤博科技践行网络安全在行动

    由中央宣传部、中央网信办等部门联合举办的以共建网络安全,共享网络文明为主题的2021年国家网络安全宣传周,于10月11日上午9时在陕西西安
  • 2021国际冬季运动(北京)博览会 雪都阿勒泰精彩粉呈 圈粉无数

    9月3日-7日,在2021国际冬季运动(北京)博览会上,新疆阿勒泰地区共有4个县市景区,5家企业携4大类 73种产品参展,重点推介阿勒泰地区冰
  • 北京2022年冬奥会带动延庆实现跨越发展

    9月2日至7日,2021国际冬季运动(北京)博览会(以下简称冬博会)在国家会议中心和首钢园区同期举办。延庆作为北京2022年冬奥会三大赛区之
  • 中国太保:大数据战略稳步推进 创新孵化加速成型

    赢科技者,赢未来。当下,新兴技术迅猛发展,科技创新不断渗透到各行各业,保险行业与数字技术持续深度融合。科技亦成为推动保险发展的主要
  • 保定获批氢燃料电池汽车示范城市,1000+辆推广目标纳入规划

    ​近日,由保定市参与申报的京津冀燃料电池汽车示范城市群,被国家五部委(财政部、工业和信息化部、科技部、国家发展改革委、国家能源局)批
  • 穿透国美倡议书:助力内循环 升级零售新业态

    2021年前7个月,中国经济恢复稳步增长,零售业对于经济回暖起到积极的拉动作用。统计局数据显示,今年前7个月,社会消费品零售总额246829亿
  • 冠军的故事:姚金男的健康厨房

    2021年年初,帅康携手中国体操队,成为中国体操队供应商,打响了全民厨房健康保卫战的第一枪。体育运动的本质是为了强身健体,充满健康向上
  • 未势能源“百辆氢能重卡”正式投入雄安建设

    8月14日,全球首条百辆级49吨市场化运营氢能重卡运输线——保定市至雄安新区的容易路氢能重卡示范线在保定举行投运仪式,拉开了保定市构建
  • 新势力共助数字经济发展·新赛事汇聚行业新方向 全球数字经济创新大赛成功举办

    8月2日,以科技新赋能·数字新标杆为主题的2021年全球数字经济创新大赛,在北京大兴国际机场木棉花酒店成功举办。本次大赛旨在搭建政府和数
  • 科技创新引领数字未来,首届全球数字经济创新大赛在北京大兴成功举办

    8月2日,以创新引领、数据驱动,建设全球数字经济标杆城市为主题的2021全球数字经济大会(以下简称大会)在北京大兴隆重举行。为深入贯彻落
  • 2021年首届全国美业店长大赛暨第七届全国商业服务业优秀店长大赛在京举行

    由中国商业联合会、中国财贸轻纺烟草工会联合主办,中国商联健康美业专委会、北京华辰文化发展中心承办的首届全国美业店长大赛暨第七届全国
  • 国美电器「快乐ZAO城」九城联动 - 北京站

    大中电器中塔店,国潮再ZAO嗨翻天国风为本,潮流当道。在新生代青年眼中,国潮国风不再是老气、传统的符号,而是一种国际的文化浪潮,一种
  • 你还不知道你的聊天内容已经被泄露了么?

    随着互联网技术的不断进步,信息发展的速度如爆炸一般席卷世界,信息数据的泄露越来越成为公认的社会问题。每日畅游在网络世界中的你,可曾
  • 黑科技弯道超车,韶音运动耳机响誉全球

    近年来,中国品牌凭借着科技创新实力出圈,大到航天航空,小到消费电子产品,中国科技正在影响着世界,颠覆着行业格局。这其中,有华为、联
  • 小糊涂仙&林永健,都是国民的选择!

    ​4月26日,小糊涂仙年度优秀合作伙伴大会在中国杭州盛大召开。此次大会中,小糊涂仙官宣了国民演员林永健为国民浓香·小糊涂仙经典系列的
  • 2020“三翼鸟”杯第三届中国室内设计冠军赛颁奖巡礼·西安站完美落幕!

    4月18日,2020三翼鸟杯第三届中国室内设计冠军赛颁奖巡礼·西安站在西安经开洲际酒店完美落幕!大赛为室内设计的发展与创新搭载了诸多先进的
  • 多举措夯实根基 科技创新体制建设将全面强化

    十四五开局之年看两会(四)今年的政府工作报告提出,依靠创新推动实体经济高质量发展,培育壮大新动能。促进科技创新与实体经济深度融合,
  • 2020河北好物节,一大波“好奇”来袭!

    百度 App 携手浙江卫视联合打造的国内首档好奇主题晚会《百度好奇夜》,在百度 App、爱奇艺、浙江卫视等八大平台同步直播,超强明星阵容,

相关推荐

  • 全民生活APP云闪付版上线
  • 全民生活APP云闪付版上线
  • 站在原地就是退步 ——除了死磕通
  • 发布健康厨房三大核心产品,帅康引
  • 助力健康中国,帅康联合钟南山基金
  • CSA成果发布&云颁奖典礼,华云安展
  • 茶叶寄递,顺丰“鲜”升级,实现分
  • 华云安·ASM技术篇:人工智能在ASM
  • 长安2022款CS75PLUS——市场界的龙卷风
  • 经营能力、技术创新、行业关注——

阅读排行

  • 2022全球数字经济大会——数字金融论坛亮点抢先看
  • 见证创新力量崛起,2022全球数字经济创新大赛总决赛月底开启
  • 解决企业出海合规问题?云片:既是乘客,更是水手
  • 眼不见 不为净! 与博世洗碗机体验官黎贝卡一起见证洗碗机99.99%长效除菌实力
  • 锁鲜更高效,能耗再降低:博世·3重盾护·活氧净冰箱为绿色生活加分
  • 李佳琦:新希望,新目标,心相伴
  • 健康守护 为爱行动——帅康联合钟南山基金会等单位,发起妈妈健康厨房行动
  • 以优化农产品收购支付服务为切入点 做好金融支持乡村振兴战略大文章
  • 华云安:云原生攻击面管理解析(下)
  • 全民生活APP云闪付版上线

Yandex科技版权所有