接著不要忘記驗證弱掃的有效性,例如掃描的標的被防火牆阻擋、對著印表機使用Windows掃描模組等等...結果看報告都沒弱點就以為沒問題,前面做這麼多準備結果功虧一簣。
ChatGPT幫我們從文獻中歸納出以下15點做弱掃時需要注意的事項,根據實務上再做補充說明
當進行弱點掃描技術時,有一些需要特別注意的事項和容易被遺忘的細節,這些包括:
合法性和授權: 確保您只對獲得授權的系統和網路進行掃描。未經授權的掃描可能觸犯法律,因此要確保事先取得許可。不一定要告知確切時間,但務必事前知會受掃描的負責人,撇除一些政治問題,掃描影響到別人服務,對方還花大量時間查找問題...
掃描計劃和頻率:制定掃描計劃,包括掃描的時間和頻率。確保不會過度掃描,以免對目標系統或網路造成過多負擔。
準確的目標定義:確保正確定義要掃描的目標,包括IP地址範圍、域名、端口和服務。這有助於確保您只掃描感興趣的部分,減少不必要的掃描流量。常遇到掃描選用模組錯誤,例如少啟用SNMP檢查,目標服務不僅開了SNMP還用預設public驗證
身份驗證:如果有權限,嘗試使用認證信息進行掃描。這可以提供更準確的結果,因為您可以訪問受密碼保護的系統和服務。在權限控管良好的環境,帳密輸入到弱掃軟體是需要使用一些工具,避免反而成為破口;
然而身分驗證掃描的效益是很大的,可以發現許多一般不會找出的漏洞,例如安裝上主機上Adobe軟體版本未更新有重大漏洞的問題
漏洞數據庫更新:定期更新掃描工具的漏洞數據庫。新的漏洞和修復程序不斷出現,確保您使用最新的信息進行掃描非常重要。掃描報告可以注意一下版號
流量監控:監控掃描期間的網路流量,以確保它不會對網路性能產生不利影響。如果流量過大,可以調整掃描設置來減少負載。
漏洞驗證:在掃描後,驗證掃描結果,確保它們是真實的漏洞而不是誤報。這可以通過手動測試來完成,以確認漏洞的存在。有沒有掃描成功也是需要檢查
報告和分析:生成詳細的掃描報告,並進行分析以確定哪些漏洞具有最高的風險。這有助於優先處理修復工作。
自動化和整合:將弱點掃描整合到您的安全工作流程中,可以自動觸發掃描,並根據掃描結果采取措施。自動化可以幫助快速響應漏洞。
訪問控制:限制誰可以訪問和執行弱點掃描工具。確保只有授權人員可以執行掃描操作。
日誌記錄:記錄所有掃描操作和結果,以進行審計和跟蹤。這有助於確保合規性和安全性。
備份和災險恢復:在進行掃描之前,確保對目標系統進行了適當的備份,並考慮可能出現的問題,如掃描引發的系統問題。
安全性:確保掃描工具本身是安全的,沒有已知的漏洞。及時更新工具以修復任何已知的安全問題。
合規性:確保掃描符合您所在行業的法規和標準,如PCI DSS、HIPAA或GDPR等。
故障處理:了解如何處理掃描期間可能出現的故障或錯誤。擁有備用計劃以確保掃描能夠完成。
看下來掃描要注意的事項這麼多,需要花費很多心力,其實駭客、紅隊針對這塊也是下了很大功夫,要了避免被發現盡可能不影響服務,例如會先檢查目的主機開那些服務、分析可能的版本,精準使用相對應的工具,避免洞被破壞掉,接著整理這些服務資訊、帳號清單、之間如何串聯,偷偷把資料外傳出去。有時候都笑稱駭客都比維護人員更了解整個環境,一些實作考試幾乎大半時間都在做Recon偵查,其重要性可見一斑,是值得花時間去好好處理。