自動化安全工具已經成為資訊保安領域

2021-06-23 02:48:10 字數 2341 閱讀 4384

自動化安全工具已經成為資訊保安領域中進步最大的方面之一。由於網路與軟體及針對它們的威脅都在變得越來越複雜,因此自動化已經成為不可或缺的一部分。

安全自動化並不是乙個新概念。早在2023年出現的網路分析安全管理工具(security administrator tool for analyzing networks, satan)就是乙個自動化安全工具,從那時起自動化不斷地發展壯大,後面加入了二進位制分析、惡意軟體研究、沙箱、漏洞掃瞄、**掃瞄等等。

根據自動化漏洞評估的結果,metasploit已經成為最流行的黑客工具,當然也是一種保護企業網路的重要工具。可是,由於metasploit非常擅長發現和查詢組織的弱點,因此大多數攻擊者都知道使用它可以輕鬆發現和查詢到乙個可攻擊的系統。

本文將介紹metasploit的工作方式,為什麼企業願意使用它,以及如何採取一些控制措施,防止黑客使用metasploit竊取組織內部資訊。

metasploit的工作方式

開源軟體metasploit是h.d. moore在2023年開發的,它是少數幾個可用於執行諸多滲透測試步驟的工具。在發現新漏洞時(這是很常見的),metasploit會監控rapid7,然後metasploit的200,000多個使用者會將漏洞新增到metasploit的目錄上。然後,任何人只要使用metasploit,就可以用它來測試特定系統的是否有這個漏洞。

metasploit框架使metasploit具有良好的可擴充套件性,它的控制介面負責發現漏洞、攻擊漏洞,提交漏洞,然後通過一些介面加入攻擊後處理工具和報表工具。metasploit框架可以從乙個漏洞掃瞄程式匯入資料,使用關於有漏洞主機的詳細資訊來發現可攻擊漏洞,然後使用有效載荷對系統發起攻擊。所有這些操作都可以通過metasploit的web介面進行管理,而它只是其中一種種管理介面,另外還有命令列工具和一些商業工具等等。

攻擊者可以將來漏洞掃瞄程式的結果匯入到metasploit框架的開源安全工具armitage中,然後通過metasploit的模組來確定漏洞。一旦發現了漏洞,攻擊者就可以採取一種可行方法攻擊系統,通過shell或啟動metasploit的meterpreter來控制這個系統。

這些有效載荷就是在獲得本地系統訪問之後執行的一系列命令。這個過程需要參考一些文件並使用一些資料庫技術,在發現漏洞之後開發一種可行的攻擊方法。其中有效載荷資料庫包含用於提取本地系統密碼、安裝其他軟體或控制硬體等的模組,這些功能很像以前bo2k等工具所具備的功能。

使用metasploit保護企業安全

使用metasploit作為乙個通用的漏洞管理程式,可以確認某乙個漏洞已經通過安裝補丁、配置變更或實現補償控制等措施得到關閉。例如,如果還沒有補丁可以安裝,但是禁用某乙個系統特性可以防止網路攻擊,那麼就可以使用metasploit來驗證提議的策略(禁用系統特性)是符合預期的。此外,metasploit還能驗證安全監控工具能夠檢測到攻擊行為。

metasploit的另乙個優點是它可以向人們展示如何輕鬆地攻擊和完全控制乙個系統,從而證明乙個漏洞的嚴重性。例如,它可能發現乙個目標系統存在可遠端攻擊的漏洞,然後在metasploit中配置的乙個有效載荷會通過遠端shell連線目標系統,這樣攻擊者就可以盜取資料或安裝鍵盤記錄程式。使用metasploit執行滲透測試,自動完成許多的人工檢查,這樣可以方便滲透測試人員繞過一些特定的區域,而將注意力放在需要深入分析的區域。

在企業環境中,metasploit的最常見用途是對補丁或漏洞管理決策進行優先順序劃分。一旦metasploit針對乙個漏洞發布乙個模組,企業就可以提高這些補丁的優先順序,特別是考慮到現代指令碼黑客可能使用它來輕鬆攻破系統。此外,企業應該將現有metasploit模組已經發現的漏洞新增到需要打補丁或修復的漏洞列表上。

對抗metasploit的攻擊

和其他資訊保安工具一樣,metasploit既可能用於做好事,也可能用於幹壞事。黑帽及其他惡意黑客可能利用metasploit攻擊企業,從而發現漏洞,利用漏洞獲得網路、應用與資料的非授權訪問。

一些標準安全控制措施可以有效防禦metasploit攻擊,如安裝補丁、以最低許可權執行應用程式或程序、只給可信主機提供網路訪問及sans top 20 critical security controls(20個頂級sans重要安全控制項)或owasp top ten(10大開放web應用安全專案)所包含的其他通用方法。除非metasploit攻擊使用"編碼"方法來逃避入侵檢測系統的流量檢測,否則它在通過網路時會被檢測出來。除此之外,監控網路異常現象,或者使用基於主機的檢測工具檢測本地系統上執行的metasploit,都可以檢測metasploit活動。

和任何工具一樣,metasploit可用於保護企業網路,也可用於破壞企業網路。儘管metasploit可以檢測漏洞和提供企業網路所需要的一線防禦,但是一定要注意,攻擊者可能利用相同的工具來發現相同的漏洞。

在企業安全工具中加入metasploit有很多的好處,但是組織還需要利用其他工具和技術來防禦來自metasploit的攻擊行為。

常用的資訊保安風險評估自動化工具介紹

風險評估過程最常用的還是一些專用的自動化的風險評估工具,無論是商用的還是免費的,此類工具都可以有效地通過輸入資料來分析風險,最終給出對風險的評價並推薦相應的安全措施。目前常見的自動化風險評估工具包括 cramm cramm ccta risk analysis and management meth...

如何使API安全測試成為CI流程的自動化部分?

討論api 安全以及為什麼我們應該關心,有點像討論吃蔬菜。我們都知道吃蔬菜對我們的健康有好處,但是我們有多少人真正做到了呢?應用安全就有點像這樣。它對於我們的應用和業務的健康是必不可少的,但努力實現它並不像構建很酷的新應用功能那樣有趣。然而,我們只要看看最近的新聞頭條就能明白它有多重要。傳統上,驗證...

安全公司警告歐洲航空航天工業或已經成為黑客攻擊目標

環球網報道 記者 譚利婭 據英國天空新聞網6月20日訊息,英國網路安全技術公司 sophos 的研究人員警告,近期歐洲的航空航天工業可能已經成為網路間諜攻擊目標。sophos警告,近期黑客可能會對微軟windows系統一種此前未知的漏洞發動 零時差攻擊 歐洲航空航天工業的 商們可能已經被 刻意盯梢 ...