漏洞管理系列之一：下一代网络漏洞评估能力初探

华云安 • 技术趋势 

“

传统的漏洞评估技术已经非常成熟，新技术的出现不断推动漏洞评估工作从合规性驱动，向理解和处置组织攻击面驱动转变。漏洞评估发展的趋势是，许多供应商提供了漏洞优先级技术（VPT）

— Gartner 2019年漏洞评估市场指南

“

为什么需要网络漏洞评估系统

随着计算机网络的快速发展，数字经济正在向着全球化不断扩张，人们享受信息化带来便利的同时，也面临着大量的潜在威胁，包括被非法嗅探、截取、篡改和破坏等。

根据CNVD的数据显示，2019全年公布的漏洞总数为16107个，其中仅高危漏洞就高达4834个，除一线互联网公司和安全意识领先的部分组织外，绝大部分企业和政府机构都无法快速准确进行漏洞的自查。

而漏洞评估系统正是为了帮助企业和组织解决此问题而诞生的产品，通过网络检测漏洞能够站在攻击者视角来审视网络环境，发现网络中存在的脆弱点，完成对全网资产的脆弱性检测。

传统网络漏洞评估方法及缺点

01传统资产探测TCP三次握手扫描

资产探测是漏洞评估的基础，在扫描漏洞前首先需要进行资产探测，用于发现网络中存在的IP资产（如：服务器、打印机等），而传统的资产探测方式都采用TCP发包技术，整个过程涉及到TCP三次握手连接的建立，持续时间长，发包量大，当出现请求连接失败时，涉及到丢弃包的处理，容易造成网络堵塞。

顺序扫描

传统的网络扫描，会依据IP地址按顺序进行扫描，而一些安全设备通常具有防扫描检测规则，如果单一IP请求过多并带有一定的规则性，则很容易被识别并且阻断其后续动作，这将导致探测全面性和准确性大打折扣。

02传统漏洞扫描基于规则检测

传统的漏洞扫描器主要是利用特征匹配的原理来识别各种已知漏洞，通过扫描器发送含有某一漏洞特征的探测数据包，再根据其返回的结果进行判断漏洞是否存在，但该方式含有两个较大的缺陷：

1. 验证漏洞需要发送大量数据包，很容易被安全设备阻断

2. 单纯通过发送带有某个验证规则的数据包，验证的额准确率低，容易产生误报。

下一代网络漏洞评估的基本能力

01基于指纹的资产探测能力无状态检测

由于传统的资产探测是采用TCP三次握手方式，其弊端不言而喻，当下我们需要采用更加节省资源和更加高效的方式来进行资产的探测，我们将其成为“无状态扫描”，或称为“半连接扫描”，使其在扫描中无需关心连接状态，不在占用系统TCP/IP协议栈资源，忽略SYN、ACK、FIN等等状态，仅通过一次发包的回包来判断端口开放性的一种扫描技术，可以最大限度的利用服务器的CPU和带宽资源，以最快速度完成端口开发性的检测。

当然除了无状态检测还有很多其它方式如：IP分段扫描、秘密扫描、间接扫描和诱骗扫描等。

IP分组检测

针对IP顺序扫描带来的问题，也将通过IP分组来解决，将IP进行拆分实现乱序扫描，扫描后在进行重新排列组合，以防止触发安全设备的防御机制。

增加指纹库

为了实现对资产探测的准确率，在漏扫系统中将引入指纹库组件，来帮助探测存活主机的操作系统、开放服务、使用组件等信息，用于提升漏洞扫描阶段的工作效率和准确度。

02基于PoC的漏洞扫描能力基于PoC的检测

相对于基于规则的检测，基于PoC的检测更加高效准确，PoC即漏洞验证程序，是一段可以证明漏洞存在的代码。PoC的验证原理大多是采用模拟计算机去访问可能的漏洞地址，再根据响应结果判断漏洞是否存在，即使存在批量验证，也不会有安全设备的拦截。另外成熟的PoC通用性强，可以覆盖的不同版本的组件，进行漏洞验证，有效的提升了漏洞扫描效率。

03基于AI的漏洞库分析能力

人工智能技术在漏洞评估领域已经得到了广泛的应用，无论是在漏洞挖掘、漏洞利用、漏洞评估还是漏洞修补领域。比如在漏洞的优先级评估中，采用自然语言处理（NLP）和机器学习算法（ML）结合的方法来自动化评估CVSS基准度量，形成自身的漏洞优先级评估标准，实现更高的漏洞评估准确度。

新一代的漏洞评估技术将基于全量漏洞库作为后端安全大脑，构建漏洞识别模型，通过漏洞大数据样本进行深度学习训练，形成漏洞的智能检测能力，从而促进漏洞检测和评估的智能化、自动化。

04漏洞评估再前进一步——自动化渗透

在Gartner2019年漏洞评估市场指南中提到，BAS成为了新的技术方向和亮点。BAS从“攻击者视角”进行漏洞评估，包括如何在环境中绕过现有的安全防护措施，这种攻击模型非常有效地映射了MitreATT&CK框架。

自动化渗透或者BAS工具模拟攻击者常用的方法，主动测试环境中的问题，它们并不关注发现所有漏洞，而是关注那些可以利用的漏洞。也就是说，自动化渗透测试相当于在传统的漏洞评估过程中更进一步，更加全面、更加准确地评估了网络的漏洞情况。

结  语

在未来采用基于指纹库和基于PoC检测，具备人工智能能力的下一代漏洞评估系统产品将会增加，这既是趋势也是方向，因为企业和组织需要更加快速和准确的漏洞评估，而新兴的网络安全厂商更有优势，因为不需要花费精力进行产品架构的调整，其包袱更小，反观大厂商由于决策链的冗长则会导致其出现滞后的状态。