如何保护扫描凭证:概述
![](http://www.yyueer.com/sites/default/files/images/articles/HowToProtectScanCredentials.jpeg)
你的网络运行远程漏洞扫描?这个共分三部分的系列博客会给了你如何保持你的安全扫描凭证。
评估系统远程网络上一直是一个可靠的开源和商业方法漏洞扫描自成立以来20多年前的事了。这样的外部评估非常适合自动测试可见网络服务和发现漏洞或错误配置可能暴露敏感信息。
一个默认的扫描是一个远程,未经身份验证的测试。除非你错失了一个补丁一个公开的网络服务(例如,EternalDarkness),这种类型的扫描不会提供太多细节丢失的操作系统或第三方补丁或合规基准(例如,独联体基准或DISA斯蒂格),因为他们不能被扫描进系统看,运行适当的测试。
实际结果会有所不同,但这不是少见的数量增加10倍的漏洞报告之间的身份验证和未经身份验证的扫描(站得住脚的。io和站得住脚的。sc的客户可以使用预测优先级和冲程体积来帮助管理这个漏洞超载)。这些漏洞总是存在的;提供可见性,未经过身份验证的一个不能验证评估。
因此,我们常常得到的是一个问题:“我如何确保凭证用于漏洞扫描得到保护?“这是一个伟大的思维过程对分析师的工作,和组织可以做有几个事情全面确保凭证是安全的。
5个方法来保护扫描凭证
- 使用一个独特的漏洞评估。
没有理由分享帐户用于漏洞评估。创建一个新的用于这个目的,或有多个账户,这取决于您的组织的复杂性。他们适用于账户应该只存在于系统(适用的权限)。站得住脚的允许您指定尽可能多的账户需要运行评估。 - 证书存储在加密数据存储和/或适当的用户访问(即。使用访问权限管理)。
网络密码存储在一个文本文件或电子表格绝对是一个坏主意。相反,使用一个系统构建和设计安全地存储这些数据。站得住脚的集成了多种解决方案让客户使用这些类型的工具。 - 只使用安全协议对网络系统进行身份验证。
有很多方法来验证系统在今天的网络。一些协议明文或已知的漏洞,使他们容易妥协。不要使用这些协议对您的系统进行身份验证。虽然可以使用纯文本协议,Nessus扫描仪默认为只使用安全协议对目标系统进行身份验证。 - 限制账户何时、如何可以被使用。
如果你扫描网络每个星期天的上午,就不应该有原因扫描使用帐户周二从实习生的笔记本电脑。一些平台还允许账户被限制在只使用特定的(例如,安全)协议。如果你可以限制使用扫描账户(s)当他们预期,他们如何进行身份验证的目标,然后从系统,肯定这么做。 - 监控账户用于异常。
如果你使用一个专用帐户扫描或只在特定时间扫描,然后使用该帐户是可以预测的,无论是登录尝试的来源(Nessus)或《纽约时报》的认证。不要忽视验证组件的控制实现。
三件事来避免
- 扫描和用户之间不重用账户或其他操作。
没有理由重用占漏洞评估。账户应该是一次性的。 - 不要使用难忘或回收的密码。
因为这些密码不会被人类手工输入,他们不需要难忘或重用。他们应该很复杂,漫长而独特。 - 不要过于频繁地更换密码。
除非自动化,改变扫描密码过于频繁会导致扫描错误和挫折。在可能的情况下,只能手动更改密码由于组织政策或事件。
下一次,我们将讨论Windows受到信任评估和如何获得它们。
了解更多
在线阅读的文档:
本系列的其他博客文章:
探索相关的在线研讨会:
观看视频教程:
相关文章
- Nessus
- SecurityCenter
- Tenable.io
- 漏洞扫描