网站创建方案

本节讨论网站以满足共同需求的“食谱”。通过选择适当的模板,资产和配置选项,您可以自定义您的网站以满足特定目标。

默认设置

默认扫描模板是没有Web Spider的完整审计。

这个扫描模板为您提供了对大多数非web资产的全面漏洞检查。它比使用Web spider的扫描模板运行得更快。

要彻底检查漏洞,您应该指定凭据。看配置扫描凭证想要查询更多的信息。

在建立漏洞扫描实践时,您可以使用各种扫描模板创建其他站点,并根据网络配置的需要更改默认的扫描引擎。

找出你有什么:发现扫描

概括:检查漏洞的第一步是确保您检查组织中的所有资产。您可以通过进行发现扫描来找到有关组织中资产的基本信息。该应用程序包括用于发现扫描的内置扫描模板。

如果您不知道某个资产可能被利用,攻击者可以利用该资产绕过虚拟专用网(Virtual Private Network, VPN)和公司防火墙,从本地网络内部发动攻击。如果您是新手,可能还没有意识到您要负责保护的每一项资产。在任何情况下,都会经常添加新的资产。您可以执行发现扫描来发现和了解更多关于这些资产的信息,为开发正在进行的扫描程序做准备。

您的发现扫描可能因组织的网络配置而异。我们建议您在典型范围外的物品以外的一系列IP地址进行发现扫描。因此,对于初始发现扫描,我们建议您最初检查整个私有IPv4地址空间(10.0.0.0/8,172.16.0.0/12和192.168.0.0/16)以及所有拥有或受控制的所有公共知识产权地址组织。这样做会帮助您找到最大数量的主机。我们为实际使用所有私有地址空间的组织建议这一点,也适用于具有较小网络的组织,以确保他们找到他们所能的一切。

扫描这么多资产可能需要一些时间。要估计扫描需要多长时间,看容量需求规划管理员指南的一部分。此外,发现扫描可以通过您的系统管理或防病毒程序发出警报;您可能需要在扫描之前通知用户。

在InsightVM中进行初始发现扫描:

  1. 创建一个新的静态站点(参见将资产添加到网站),包括以下设置:
    • 在指定包含的资产时,请在无类域间路由(CIDR)表示法中指定范围。看http://en.wikipedia.org/wiki/classless_inter-domain_routing..此表示法允许您以简洁的语法指定大组计算机。如上所述,此时的最佳实践是扫描组织控制的所有IP地址,以及每个私有IP地址范围。
    • 选择发现扫描扫描模板。
    • 不要指定凭据。它们不需要用于确定网络上的计算机是否存在。
  2. 在这个站点上运行扫描。
  • 将扫描结果与您对网络的了解进行比较。寻找并处理任何异常。例如:
    • 端口不正确地显示为活动:如果发现扫描显示每个单个端口作为活动状态,则可能不会显示实际的网络配置,但受到其他安全设备(例如,入侵检测软件,入侵保护)的影响软件或负载平衡器)。确定导致意外结果的原因并进行更改,以便您可以获得准确的扫描信息。例如,如果防火墙导致不准确的结果,则在防火墙上的白名单Insightvm。
    • 端口错误地显示为非活动:您可能会发现您无法扫描的网络区域。例如,可能有您了解发现扫描上未找到的地址。检查遗漏是否是由于防火墙或逻辑路由问题。如果是,请在屏障的另一侧配置额外的扫描引擎并扫描这些资产。

获得环境的外观

概括:除了进行彻底的网络扫描外,我们建议使用网络外部的扫描引擎来检查是否可以找到的内容。一旦准备好扫描引擎,就可以添加它站点配置

如果您有外部IP地址,您可以检查哪些人可以从外部访问。你可以在你的网络外围设置一个扫描引擎,看看它能找到什么。如果您想获得防火墙的“外部”视图,可以从组织外部的引擎执行扫描,并将其与其他外部机器同等对待。您可能需要考虑使用Rapid7托管引擎。

我们建议以下配置:

  • 不要对这些外部扫描使用凭据。
  • 不要白名单源IP地址。
  • 您可能需要免除某些主动/自适应入侵防御技术(例如,Web应用程序防火墙,未知单播和互斥防洪,入侵防御系统,动态防火墙黑名单)。
  • 使用与Web Spider扫描模板或类似自定义模板的完整审计。
  • 扫描整个组织的分配的公共地址空间,而不仅仅是您认为活着或可访问的系统。
  • 至少每月扫描一次,或尽可能频繁地进行扫描,以确保更改控制和扫描持续时间。
  • 始终将外部扫描与如上所述的内部身份验证扫描结合,因为防火墙规则屏幕访问某些漏洞,服务和主机。

我们建议进行以下优先次序进行补救:

  • 最危险的漏洞类型之一是允许未经身份验证的外部用户登录的漏洞,例如暴露的Telnet端口。当务之急是纠正这些漏洞。
  • 否则,开始通过减少攻击表面来解决结果:
    • 取消或阻止访问不需要公开的主机。
    • 使用防火墙规则限制对尽可能多的服务和主机的访问。
    • 根据CVSSv2或CVSSv3得分和普遍存在,解决剩余的外部面对漏洞。

零天漏洞

在新宣布的高风险漏洞的情况下,您可能需要扫描特定漏洞,以便尽快找到您的资产受到影响。

您可以创建一个自定义扫描模板,用于检查特定漏洞,并使用此特殊模板扫描您的网站。您可以使用常见的漏洞和曝光标识符(CVE-ID)仅关注该漏洞的检查。

扫描特定漏洞:

  1. 通常,最佳做法是通过复制现有的一个来创建新的扫描模板。最好的复制将根据漏洞的性质而有所不同,但在没有网状蜘蛛的情况下使用Web Spider或完整审计的完全审计通常是良好的起点。有关扫描模板的更多信息,请参阅扫描模板
  2. 确保漏洞选择选项,并选择网络搜索如果相关,则选择选项。清除政策选项以将模板聚焦于特定于此漏洞的检查。
  3. 编辑扫描模板名称和说明,以便您稍后识别模板是为此定制的。
  4. 去吧漏洞检查页。首先,您将禁用所有检查,核准类别和检查类型,以便您可以专注于扫描与此问题相关的项目。
  5. 展开按类别部分并点击删除类别
  6. 选中顶行的复选框(漏洞类别),它将自动选择所有类别的复选框。然后单击“保存”。请注意,现在已启用0类。
  7. 展开通过个人检查部分并点击添加检查
  8. 输入或粘贴相关的CVE-ID搜索条件盒子,点击搜索.选中顶阶(漏洞检查)的复选框,这将自动 - 选择所有类型的复选框。然后点击节省
  9. 重复步骤7,用于与问题相关联的任何其他CVE-ID。
  10. 保存扫描模板。
  11. 创建或编辑网站以包含:
  • 新的自定义扫描模板
  • 经过身份验证的漏洞检查的凭据
  1. 开始扫描。

多个地点的资产

如果您有多个地点的资产,则需要考虑几个因素:

  • 您可以应用标记来指示资源的位置。看使用标记应用realcontext.然后,您可以根据这些标记创建报告,以便根据位置评估资产的风险。看选择资产报告
  • 创建站点并将其与扫描引擎相关联是一种很好的做法,这种方式可以最大限度地利用您的网络配置。例如,如果你在休斯顿和新加坡有资产,你可能会更好地放置扫描引擎在两个地点,并为每个创建一个网站,而不是尝试用一个扫描引擎在一个地点扫描所有资产。

大量资产

要扫描大量资产,您可能希望利用扫描引擎池。扫描引擎池可以帮助负载平衡,并且如果一个扫描引擎发生故障,请作为备份。要了解有关配置扫描引擎池的更多信息,请参阅扫描引擎池页。

亚马逊网络服务

要扫描亚马逊Web服务(AWS)虚拟资产,您需要在AWS环境中执行一些准备,并创建特定于此类型资产的发现连接。要了解更多信息,请参阅在AWS环境中准备动态发现

VMware.

要扫描VMware虚拟资产,您需要在目标VMware环境中执行一些准备步骤,然后创建特定于此类型资产的发现连接。要了解更多信息,请参阅准备用于动态发现的目标VMware环境

PCI内部合规扫描

如果您的系统流程,存储或传输信用卡持有人数据,您可能正在使用InsightVM来遵守支付卡行业(PCI)安全标准理事会数据安全标准(DSS)。PCI内部审计扫描模板旨在帮助您根据DSS中的要求进行内部评估。

要了解有关PCI DSS 3.0的更多信息,请访问我们的资源页面

以下是建议流程的概要,用于帮助InsightVM来帮助您的内部PCI扫描。(有关如何使用应用程序中的任何功能的详细信息,请参阅“帮助”或“用户指南”。)

  1. 如PCI DSS 3.0第6.1节中所述,您需要创建一个识别安全漏洞的进程。为此,请使用以下配置在InsightVM中创建一个或多个站点:
    1. 中的pci特定报告所需的组织信息组织部分的信息与安全选项卡站点配置
    2. 包括需要扫描以符合PCI要求的资产。(通常这些主机将包括您的持卡人数据环境或“CDE”)。
    3. 使用PCI内部审计扫描模板。
    4. 指定扫描的凭据。(这些凭据应该具有读取目标系统的注册表、文件和包管理方面的特权)。
  2. 正如PCI数据安全标准要求11.2.1和11.2.3所示,您需要创建并检查报告,以验证您已经扫描并修复了漏洞。您还应该保留这些报告的副本,以证明您符合PCI DSS。
    1. 创建一个新的报告,如图所示创建基本报告.你很可能想使用PCI执行摘要PCI漏洞细节报告。对每个模板遵循这个过程。设置如下参数:
      1. 为了范围,指定正在扫描的PCI资产。
      2. 在高级设置中分配,指定报告的电子邮件发送器地址和收件人。
  3. 减轻漏洞。漏洞的描述包含修复步骤。
  4. 重新扫描以验证您的缓解措施已成功解决了问题
    1. 如果使用补偿控制,则可能需要使用异常处理来消除相关的发现。(即使在减轻相关风险方面也有效,自动化工具可能无法检测到您的补偿控制。)
  5. 继续扫描和缓解。您需要在季度内部扫描,直到您已修复所有高风险漏洞,如PCI DSS的第6.1和11.2.1节中所定义。在重大更改后,您还需要扫描,如第11.2.3节所定义。在第6.2节中概述了应用补救措施的可接受时间框。

政策的基准

该应用程序包括可用于策略基准测试的内置扫描模板。其中包括CIS、DISA和USGCB。每个模板都包含用于不同平台的一组策略;只有那些适用的才会被评估。在这三个平台中,CIS包含对最广泛的各种平台的支持。有关这些模板的更多信息,请参见扫描模板

所有策略扫描模板都需要用户名和密码对,用于访问桌面和服务器计算机等资产的访问权限。通常,此帐户将具有管理员或root用户的权限。有关凭据的更多信息,请参阅配置扫描凭证

CIS扫描模板包括特定于数据库的策略检查,并需要数据库访问的用户名和密码。