Nguồn: The Hacker News
Link:https://thehackernews.com/2024/05/when-is-one-vulnerability-scanner-not.html
Giống như phần mềm chống vi-rút, việc quét lỗ hổng dựa trên cơ sở dữ liệu về các điểm yếu đã biết.
Đó là lý do tại sao các trang web như VirusTotal tồn tại để giúp những người thực hành mạng có cơ hội xem liệu một mẫu phần mềm độc hại có được phát hiện bởi nhiều công cụ quét vi-rút hay không, nhưng khái niệm này chưa tồn tại trong lĩnh vực quản lý lỗ hổng bảo mật.
Lợi ích của việc sử dụng nhiều công cụ quét
Nói chung, máy quét lỗ hổng nhằm mục đích kiểm tra càng nhiều lỗ hổng càng tốt. Tuy nhiên, số lượng lỗ hổng được phát hiện hàng năm hiện rất cao, lên tới gần 30.000 một năm hoặc 80 lỗ hổng một ngày, đến mức một công cụ quét duy nhất không thể theo kịp tất cả.
Kết quả là, ngay cả những máy quét hàng đầu, tốt nhất trong ngành cũng sẽ gặp khó khăn trong việc kiểm tra mọi lỗ hổng đã biết và thường họ sẽ ưu tiên một số bộ phần mềm nhất định được khách hàng của họ sử dụng.
Ví dụ: phân tích của Intruder từ đầu năm 2023 so sánh Nessus và OpenVAS của Tenable cho thấy sự khác biệt đáng kể về mức độ bao phủ giữa các máy quét, trong đó một máy quét thường mạnh hơn trong phần mềm thương mại và máy quét còn lại thiên về nguồn mở:
“Tenable kiểm tra 12.015 CVE mà OpenVAS không kiểm tra và OpenVAS kiểm tra 6.749 CVE mà Tenable không kiểm tra.”
Các nhà cung cấp công cụ quét cũng xem xét các yếu tố khác, chẳng hạn như liệu một lỗ hổng đã bị khai thác ngoài tự nhiên hay liệu nó có nằm trong các sản phẩm phần mềm được sử dụng rất rộng rãi hay không. Nhưng ngay cả khi máy quét đã chọn của bạn có thể đưa ra quyết định hợp lý về những lỗ hổng nào cần viết séc, vẫn có thể có những khoảng trống trong phạm vi bảo hiểm cho tài sản của bạn.
Vì vậy, một thực tế phũ phàng là một ngày nào đó bạn có thể phát hiện ra rằng mình đã bị xâm phạm thông qua một vectơ tấn công mà máy quét lỗ hổng của bạn đơn giản là không thể kiểm tra được.
Điều này đặt ra những câu hỏi quan trọng cho những người muốn bảo vệ tài sản kỹ thuật số của mình, không chỉ họ nên chọn máy quét nào. Nhưng liệu một máy quét có đủ không?
Phương pháp tiếp cận công cụ quét đa năng
Rõ ràng là việc có một số máy quét bổ sung sẽ cải thiện phạm vi bao phủ bằng cách tìm ra nhiều lỗ hổng hơn và khám phá thêm về bề mặt tấn công của bạn trông như thế nào. Nhưng việc vận hành nhiều hệ thống quét sẽ là quá nhiều khả năng chi trả của hầu hết các tổ chức, cả về ngân sách và thời gian.
Đó là lý do tại sao nhóm tại Intruder, nhà cung cấp Attack Surface Management hàng đầu, đã quyết định ngay từ đầu kết hợp nhiều công cụ quét, cung cấp cho khách hàng phạm vi kiểm tra rộng nhất, đồng thời hợp lý hóa các hạn chế về ngân sách và thời gian bằng cách cung cấp chúng trong một nền tảng duy nhất.
Gần đây nhất, Intruder đã bổ sung Nuclei vào bộ công cụ quét lỗ hổng của mình, nâng cao khả năng quản lý và bảo mật các bề mặt tấn công.
Với hơn 3.000 lượt kiểm tra bổ sung trong bản phát hành đầu tiên này, Intruder có thể cung cấp khả năng phát hiện và phạm vi bao quát rộng hơn và sâu hơn nhiều mà không thể sánh được nếu chỉ sử dụng một trình quét lỗ hổng duy nhất.
Nuclei là gì?
Nuclei là một công cụ quét lỗ hổng mã nguồn mở, tương tự như OpenVAS, nhanh, có thể mở rộng và xử lý nhiều điểm yếu. Nó ngày càng trở nên phổ biến với những người săn lỗi, người thử nghiệm thâm nhập và các nhà nghiên cứu muốn thực hiện các lần kiểm tra lặp lại để tìm ra những điểm yếu nghiêm trọng.
Các chuyên gia này, làm việc với nhóm phát triển Nuclei tại ProjectDiscovery, kết hợp kiến thức và hiểu biết sâu sắc của họ về các điểm yếu tiên tiến để tiến hành kiểm tra cực nhanh – giúp quét càng sớm càng tốt sau khi phát hiện ra lỗ hổng.
Nuclei thêm gì vào Intruder?
Bằng cách tích hợp Nuclei làm công cụ quét, Intruder tăng cường hơn nữa khả năng nền tảng quản lý lỗ hổng của mình để kiểm tra và bảo vệ các bề mặt tấn công hiệu quả hơn.
Điều này bao gồm việc mở rộng khả năng phát hiện các lỗ hổng như bảng đăng nhập không được phép hiển thị trên Internet và tăng phạm vi kiểm tra các lỗ hổng đã biết trong các dịch vụ thường bị lộ.
Nuclei tăng cường các công cụ quét hiện có của Intruder, chẳng hạn như Tenable và OpenVAS, bằng cách cung cấp cái nhìn sâu hơn và rộng hơn về bề mặt tấn công của bạn, từ đó cho phép bảo vệ tốt hơn bằng cách phát hiện các rủi ro mà một công cụ quét duy nhất không thể phát hiện được.
Trực quan hóa và giảm thiểu khả năng tiếp xúc của bạn với Intruder
Quy mô của bề mặt tấn công và mức độ quản lý của nó có liên quan chặt chẽ đến nguy cơ bị những kẻ tấn công cơ hội khai thác hệ thống của bạn. Bạn càng tiết lộ ít và các dịch vụ bạn tiết lộ càng cứng rắn thì kẻ tấn công càng khó khai thác điểm yếu.
Bạn có thể giảm bề mặt tấn công bằng cách liên tục theo dõi các thay đổi bằng công cụ quản lý lỗ hổng tự động như Intruder.
Nền tảng của Intruder cho phép bạn:
Khám phá nội dung: khi các dịch vụ đám mây mới được tạo ra và hiển thị trên Internet, Intruder sẽ bắt đầu quá trình quét để tìm bất kỳ lỗ hổng nào để bạn có thể khắc phục chúng nhanh hơn.
Biết những gì bị lộ: có được khả năng hiển thị đầy đủ về chu vi mạng của bạn, theo dõi các mục tiêu đang hoạt động và không phản hồi, xác định các thay đổi, theo dõi các chứng chỉ hết hạn và xem bất kỳ cổng, dịch vụ hoặc giao thức nào không được hiển thị trên internet.
Phát hiện thêm: Kẻ xâm nhập sử dụng nhiều máy quét để xác định các lỗ hổng và mức độ phơi nhiễm trên bề mặt tấn công của bạn, mang lại cho bạn khả năng hiển thị tốt nhất.
Tập trung vào các vấn đề lớn: xem các kết quả được ưu tiên dựa trên ngữ cảnh, để bạn có thể tập trung vào các vấn đề cấp bách nhất mà không lãng phí thời gian sàng lọc những thông tin nhiễu loạn