华云安 · ASM技术篇：漏洞扫描器的下一个十年「安恒漏洞扫描器」

　　漏洞是最为常见的黑客攻击手段之一，也是目前企业最基础最重要的防御目标。

　　在网络安全发展过程中，漏洞扫描器也曾风光无限。而今，在国家网络安全攻防演练、监管机构关注升级的背景下，随企业日渐复杂而庞大的信息化业务而释放出的新场景和新需求，都为漏洞扫描器在下一个十年的发展带来了变量。

　　漏洞扫描技术的发展与迭代

　　开源漏洞评估工具的出现，迄今已经有近二十年时间，在2002年，Nessus收回了版权并封闭了源代码，商业化扫描器逐渐进入人们的视野。在过去的十年中，漏洞扫描技术的发展也随着IT环境、业务的变化而不断变化，对于漏洞扫描的目标、场景甚至对象都产生了变化。

　　目标：由等保合规到实战攻防

　　2007年6月，《信息安全等级保护管理法》的出台，造就了漏洞扫描系统市场的火爆，以满足等保合规需求的漏洞扫描器接踵而生。近几年开始，在国内网络安全攻防演练、监管机构关注度提升等背景下，催生了新的技术需求与目标：

　　l 更关注漏洞扫描结果的真实性和有效性。X-Force的研究表明，黑客真实利用的漏洞与新增漏洞相比平均不到5%

图1 新增漏洞趋势

图2 漏洞利用趋势

　　在实战中，攻击者往往会针对危害性大、影响面广、可利用性高的漏洞构造攻击。那么在响应时间有限的情况下，提高漏洞扫描结果“信噪比”，避免浪费大量时间和精力来进行无效的验证和过滤，才能先于攻击者排查并处置自身存在的可利用漏洞。

　　l 更关注漏洞扫描器的1day漏洞应急能力——在漏洞层出不穷的今天，快速检出公网爆出的漏洞以及监管单位通报的漏洞也是我国漏洞管理的另一强需求。在国家对网络安全的日益重视的当下，基于厂商漏洞库数据包进行不定期离线更新的技术方式已然不够，应对面向CVE、CNVD甚至其他公网漏洞情报的准实时插件更新及基于云的自主更新。

　　场景：由工具到DevSecOps

　　随着对信息安全的重视，安全业务的参与感也更重。以往安全防御是特定团队的责任，在开发的最后阶段甚至上线后才会介入，而随着敏捷开发和DevSecOps的出现，安全防护开始贯穿业务应用的整个生命周期，安全管理工作也不再独立，各个产品要相互依托并融合多个开发场景。在“安全左移”的背景下，漏洞扫描被嵌入了CI/CD流程，基于流量、消息队列的被动信息收集允许将业务功能测试与安全测试结合，而IAST、DAST、SAST等不同的技术也被同时应用在了业务应用安全测试的多个阶段中。漏洞扫描不再是单一的测试工具，而是与流程中的多个关键阶段紧密结合，与包括WAF、IPS、HIDS、SOC等安全设备联动，产生1+1>2的效果。

　　对象：由简单对象到多元化

　　云原生、工业物联网等技术的普遍应用，使得扫描器不再单一的以服务扫描和web扫描为核心，而是需要囊括多种检测对象，如iot 容器，移动安全等新业务场景。不仅如此，不单单是漏洞检测，弱口令检测、敏感信息检测、不安全配置核查、供应链安全甚至云架构安全性的验证也成为下一代扫描器不得不考虑的技术点。

　　漏洞扫描器的十年之变

　　需求与市场在变化，技术也随之提供支持。事实上，漏洞扫描器在信息收集、漏洞检测甚至核心思想上都悄然发生着变化，而仔细梳理这些变化，也可以看出漏洞扫描器的一些技术迭代。

　　探测之变

　　过去的资产探测主要靠进行tcp发包探测目标的存活性以及端口开放情况，当前信息化推进迅速，对于指定目标进行探测很难做到资产的全面探测，在这种场景下基于业务流量的被动资产探测则做了很好的补充;面对海量IT资产、安全防御策略等现实情况，arp、无状态扫描、随机地址扫描、802.1q协议等技术的引用也促进了探测技术的前进;在子域名方面除了传统的字典爆破机制，也增加了DNS历史数据查询、网页域名递归抓取、内网DNS服务联动查询等方式。

　　爬虫之变

　　web2.0时代，前端框架的使用越来越多，网页内容对爬虫越来越不友好。不考虑服务端渲染，Vue等单页应用框架让静态爬虫彻底失效，传统静态爬虫无法适配JavaScript的解析，这直接导致了在进行web扫描时，无法对完整的DOM树进行捕获，可能遗漏资产的风险面和部分安全测试用例。另一方面，当前web交互日渐复杂和频繁，对于大量表单登录、弹窗跳转等交互场景，静态爬虫难以自动处理，获取更深层的URL。另外由于页面反爬技术的流行，技术上需要融入了高仿真实时渲染 DOM 遍历算法以及交互行为分析和伪装能力。

　　检测之变

　　漏洞的检测技术在实战性的推动下，由检测特征到漏洞库匹配的模式逐渐向PoC验证检测的模式进行转变，通过构造真实且可控的payload请求，对目前进行无害化漏洞验证，不仅兼容度更高，还具备漏洞误报率低、发包量少、检测速度快等特点，甚至还能对部分防御规则进行绕过。

　　思想之变

　　首先，对于漏洞的理解产生了较大变化，漏洞不仅仅是CVE、CNVD、CNNVD等包含编号的漏洞;漏洞检测更加全面，包含危害面、传播度、威胁程度等多纬度的攻击向量。不仅如此，越来越多的扫描器也朝着半自动化，甚至全自动的攻击模拟演变，未来普通安服能力可能会直接被一个智能扫描器所取代，而背后的红队及安全研究能力则是这类产品能力的拔高和天花板。

　　灵鉴的精准出击

　　灵鉴(Ai·Scan)弱点识别与检测系统是企业级轻量漏洞发现与检测工具。灵鉴致力于帮助用户轻松构建实战化防御能力，让安全弱点无所遁形，它将技术创新的价值最大化呈现与释放：

　　1.知识图谱赋能指纹探测

　　灵鉴基于知识图谱化的指纹经验库和17000+的检测规则，对目标指纹信息进行准确的分析识别，对比传统技术的在识别准确率上提升40%。

　　2.无时差的扫描与响应

　　灵鉴采用流式数据输出模式，实现了零时差快速响应，解决了传统漏扫工具在扫描完成之前无法获取结果的弊端。将漏洞在发现的第一时间报送给用户，以便快速对漏洞进行处置，缩短风险的暴露时间。

　　3.接近0误报的无害PoC漏洞检测

　　灵鉴基于PoC原理+自验证检测方式,采用智能化扫描插件，每个插件都来源于灵鉴安全实验室实战研究，能够根据扫描过程调整验证算法，全方位多维度的探测目标风险点。

　　灵鉴安全实验室研究团队时刻关注最新漏洞动态，将实时更新漏洞插件，随时保障用户对资产脆弱性的准确评估。漏洞经过真实验证，确保漏洞的真实有效，避免海量误报影响业务判断，让安全人员摆脱漏报、误报困扰，节省安全资源。

　　4.拥有丰富的漏洞库和详情的POC检测能力

　　内部运营覆盖了全球数十个漏洞库及相关漏洞事件情报的数据源，并长期投入漏洞研究与攻防分析，灵鉴的PoC不仅覆盖了CVE、CNVD等收录的漏洞，还包括一些未获得编号的高质量攻防漏洞、国外小范围应用但国内未通报的1day漏洞和部分未公布漏洞详情利用细节的漏洞，切实帮助企业先于攻击者发现内部所有可能暴露的攻击面，提升了检测的准确性。

　　灵鉴从攻防实战角度对漏洞进行发现和验证，深度贯彻“以攻促防”理念，基于微服务架构、AI智能指纹探测、原理PoC验证等多种技术，针对企业在1day漏洞应急、攻防演练、高质量漏洞挖掘等实战化场景，提供卓越的漏洞发现能力。