资产与Nessus扫描仪检测:评估网络风险的第一步

建立一个精确的库存现有的资产在你的攻击表面对有效的脆弱性管理至关重要。的资产在Nessus扫描仪可以帮助检测过程。

编译一个完整的资产库存一直是一个有效的核心漏洞管理(VM)的先决条件。攻击表面不断增长的规模和复杂性,它比以往任何时候都更为重要,你确定您的网络中的所有资产,而不是只是你的核心资产,但也相关的任何资产操作技术(OT)以及任何“它的影子”资产。任何资产管理不当带来额外的风险。

一旦你确定了你所有的资产,你需要了解他们每个人为了收集准确的信息来评估你的风险。大多数漏洞检查依赖公开信息的特定平台和版本的影响。因此,这些检查的准确性取决于精密平台、软件、版本和补丁信息来自资产。

虽然Nessus扫描仪检测漏洞是很出名的能力,其功能从网络获取库存信息可能略少。然而,这些功能的影响是巨大的:

1. 增加资产可见性和揭示盲点;

2. 核心漏洞管理(VM),严重依赖于数据点,如安装软件和版本;和

3. 基于风险的VM (RBVM),精确计算网络暴露指标Lumin。


为Lumin指标如资产临界评级(ACR),资产库存信息是直接的影响,随着ACR计算根据设备类型和功能。其他指标(如资产敞口得分(AES),依靠核心VM信息,因此对资产库存信息。

资产在Nessus扫描仪检测

资产在Nessus扫描仪检测是由许多Nessus插件。虽然绝大多数侧重插件(+ 95%)报道,资产检测依赖于准确的主机信息,检索,通过专门的插件(他们中的大多数信息严重程度)。注意,Nessus扫描仪主要集中在它的空间,包括影子IT资产,虽然OT资产是由其他的产品,例如开云app安全 。

资产检测过程在逻辑上划分为四个主要阶段,如图1所示:端口扫描;服务和协议检测;软件检测;和操作系统指纹。这些逻辑顺序和由多个插件,产生输出,在随后的阶段。然而,可能会有一些重叠的阶段(一些插件协议检测可能同时运行一些插件软件检测)。

图1:Nessus资产和输出检测阶段

资产检测涉及的四个阶段:

1. 端口扫描:Nessus扫描仪ping主机以不同的方式,检索开放端口,并确定扫描是否应该继续。

2. 服务和协议检测:Nessus探针开放端口,寻找倾听服务和协议。

3. 软件检测:主要目标是不同的应用程序列表,他们的版本和补丁可用主机。

4. 最后,所有的信息来自先前阶段,Nessus试图确定远程主机的操作系统和版本。


在下面几节中,我们描述的特定阶段和主要涉及家庭和插件。

端口扫描

Nessus扫描首先检查给定主机如果是活的,如果是这样的话,清单发现开放的端口。萍远程主机插件(10180年)通常是第一个(尽管在Nessus插件运行扫描它可以被禁用)当试图确定一个给定的主机名或IP对应一个生活的目标。如果这个插件接收来自目标,没有响应主机被标记为死亡和扫描停止。否则,Nessus将尝试执行端口扫描的的插件端口扫描器的家庭,可以做远程或本地凭证(如果可用)。寻找开放端口对任何网络扫描器是一个关键的步骤,因为这将使后续服务发现和探索以及与远程主机的进一步沟通。

继续扫描之前,Nessus检查主机是否可能是一个“脆弱”资产,如打印机或一个OT装置,这可能是负面影响大的数量和种类的要求积极扫描发送到目标。出于这个原因,功能是默认启用保护脆弱的设备。“塞插件”,如22481年和11933年,将取消扫描如果脆弱的检测设备。

图2:Nessus端口扫描阶段

服务和协议检测

从列表中主机开放的端口,扫描器执行服务和协议检测,主要是通过插件的服务发现家庭。

服务检测插件(主要是插件22964年)调查开放港口和响应进行分析,以确定哪些服务在远程主机上运行。信息已知和未知的服务(例如,服务旗帜、服务版本或SSL encaps)存储供下游插件。

随后,和基于检测服务,特定协议的扫描探针及其版本。这些包括HTTP (10582年,10107年),SSL / TLS (21643年),SSH (10267年)、Telnet (10280年),SMB (10394年,10150年)、SNMP (40448年)和SMTP (10263年),和其他很多。请注意,这里有两个特殊情况:SMB和SSH的一部分调查发生ping主机之后,这两个协议可以用于证件扫描(和拥有这些将使本地端口扫描)。

图3:Nessus服务检测阶段

软件检测

根据收集的信息可用的协议和服务,Nessus扫描仪将试图检测特定的应用程序,他们的版本、补丁和在远程主机上的额外信息。这些检测可以分为三个主要类型:

1. 当地的检测,基于信任访问和本地系统信息;

2. 远程探测,探测和指纹识别特定协议和服务;和

3. 检测相结合,既依赖于本地和远程识别手段。


值得注意的是,有资格的检测更有机会成功的,将比uncredentialed提供更完整和可靠的信息。

当地的检测

在受到信任的情况下扫描,扫描仪运行的“本地计数器”支持的操作系统(Windows和unix)。的任务是获取信息系统的一般特征,包括安装补丁和软件(13855年,97993年,83991年)以及流程和服务(110483年,70329年)。随后的插件可以把这些信息对特定检测或其他检查。我们就能看得更清楚一些特定的例子,一个窗户和一个基于unix的操作系统。

首先,让我们考虑一个典型的Windows本地检测的情况下,例如放大客户端(118801年)。这个插件检查来自Windows注册表信息13855年。根据发现的信息,将进行额外的检测,对注册表和文件系统,获取版本信息和验证的位置安装。

图4:局部放大窗口由Nessus扫描仪检测插件和依赖关系

现在让我们考虑本地Java的情况下检测为Unix (64815年)。这是一个稍微复杂一点的检测,考虑到许多不同的Java可能出现在一个系统的方法。在这个插件,执行检查,根据文件系统信息,包管理器数据和运行流程。

图5:本地Unix Java检测Nessus插件和依赖关系

远程检测

如前所述,远程检测依赖于探测和指纹。虽然不像当地同行精确,远程检测不需要系统的凭证,可以帮助揭示网络盲点。作为一个例子,我们要探索远程基于http的检测。

基于HTTP的检测中可能是最普遍远程Nessus检测,考虑到常见的web服务器,web应用程序和HTTP通信。图6显示了一个示例Apache Web服务器的基于http的检测(插件48204年)。在这里我们可以看到信息的流动来自服务和协议检测(例如,10582年为HTTP服务器),额外的插件如何聚合信息(例如,10107年,19689年特别是)和Apache Web服务器(见也111465年)。

图6:远程检测Apache HTTP服务器插件和依赖关系由Nessus扫描仪。

联合检测

最后,结合检测来自本地和远程数据源的信息。例如,思科IOS检测(47864年从远程SNMP插件()将信息10800年,10969年),还从当地计数器(12634年)。然而,请注意,大多数联合检测不聚合到单个插件,可是现在的单独的本地和远程检测插件,比如服务器(71642年,71643年,73913年)或Apache HTTP服务器(48204年,141262年,141394年),一对夫妇的名字。

图7:Nessus平台和软件信息阶段

操作系统识别

操作系统识别的最后一步是资产库存管道,扫描仪认为信息聚集的前一阶段生产最好的猜测。如图8所示,操作系统识别插件(11936年)依赖于其他插件和多个协议。这些插件可以产生自己的猜测,一个相关的置信水平。这些信心水平定义case-by-base基础上,很大程度上取决于特定的协议和指纹。

在下表中,我们可以看到一个特定的例子有四个指纹识别方法。操作系统识别插件会选择最高的信心(SMB),并报告其猜测所确定的操作系统。

方法	猜一猜	信心
HTTP	微软视窗系统	70年
SMB(远程)	Windows 6.3	70年
MSRPC	Microsoft Windows Server 2012 R2标准	99年
SMB(本地)	Microsoft Windows Server 2012 R2标准	One hundred.

来源:站得住脚的

请注意,只有一个子集的指纹识别方法可以产生一个操作系统的猜测。例如,HTTP猜(25247年)将只提供如果我们检测HTTP远程主机,能抓住的横幅和匹配一个已知的操作系统指纹Nessus插件。同时,请注意,不同的方法可以获取比其他的更详细的信息:概率指纹(132935年)可以猜出基本的Linux发行版,而Linux本地指纹(25335年)可以精确识别的具体分布、版本和构建。

图8:Nessus操作系统识别阶段

总结

Nessus资产库存能力是一个传统的和基于风险的脆弱性管理的基石。这些功能也有用自己作为网络意味着库存和盲点。为此,站得住脚的释放数百名资产每年检测插件的新软件和硬件,所以我们的客户能够准确地确定其网络曝光。

了解更多:

• 四个资质扫描Nessus的最佳实践
• 如何实现20/20能见度不安全
• 四种方法来改善Nessus扫描通过防火墙