站点创建场景

本部分讨论了可满足通用需求的站点“配方”通过选择合适的模板、资产和配置选项，您可以自定义您的站点，以满足特定目标。

• 默认设置
• 发现您拥有的资产：发现扫描
• 获取您环境的外部视图
• 零天漏洞
• 多个位置的资产
• 大量资产
• 亚马逊网络服务
• VMWare
• 内部 PCI 合规扫描
• 政策基准

默认设置

默认扫描模板为“无网络爬虫全面审计”。

此扫描模板可对大多数非网络资产进行彻底的漏洞检查。它的运行速度比带网络爬虫的扫描模板快。

若要彻底检查漏洞，您应指定凭证。请参见 配置扫描凭证，了解更多信息。

在建立您的漏洞扫描方法时，您可以创建包含各种扫描模板的其他站点，并根据网络配置的需要更改您的默认扫描引擎。

发现您拥有的资产：发现扫描

摘要： 漏洞检查的第一步是确保检查您企业内部的所有资产。您可以进行发现扫描，进而获得您企业内部的资产基本信息。本应用程序包括用于进行发现扫描的内置扫描模板。

如果有一项资产，但您不知道可以进行利用，攻击者则会利用该资产绕过虚拟专用网络 (VPN) 和公司防火墙，并从本地网络内部发起攻击。如果您刚刚担任您的角色，可能尚不了解您负责确保安全的每项资产。在任何情况下，新资产都会频繁地添加进来。您可以进行发现扫描，发现并了解这些资产，为开发持续进行的扫描程序做好准备。

您的发现扫描可能会随着您企业的网络配置而发生变化。如果您的企业拥有典型范围之外的项目，我们建议您对尽可能大范围的 IP 地址进行发现扫描。因此，对于初始发现扫描，我们建议您首先检查整个专用 IPv4 地址空间（10.0.0.0/8, 172.16.0.0/12 和 192.168.0.0）以及企业拥有或控制的所有公共 IP 地址。这样做有助于您尽可能多地发现主机。我们建议实际利用所有专用地址空间的企业采用此方法，但也建议网络较小的企业采用此方法，以确保它们尽可能发现每项资产。

注意: 扫描如此多的资产可能需要花费一些时间。若要估计扫描将花费的时间，请参见管理员指南的容量需求规划部分。另外，发现扫描还可以通过您的系统管理或防病毒程序设置警报；您或许希望在进行扫描之前向用户提出建议。

若要在 InsightVM 进行初始发现扫描：

1. 创建新的静态站点（请参见配置基本静态站点，包括以下设置：
   • 在指定已包括资产时，请用无类别域间路由 (CIDR) 记法指定一个范围。请浏览网站 http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing。此记法让您可以用简洁的语法指定一大组机器。如上文所述，此时的最佳方法是扫描企业控制的所有 IP 地址以及每个专用 IP 地址范围。
   • 选择发现扫描扫描模板。
   • 不要指定凭证。在确定网络中是否存在机器时不需要凭证。
2. 在此站点运行扫描。

• 通过对比您对您网络的了解情况来检查扫描结果。查找并解决任何异常现象。例如：
  • 端口错误显示为处于活动状态： 如果发现扫描显示每个端口均处于活动状态，该结果有可能未显示实际的网络配置，而是受到了其他因素的影响，如安全设备（例如入侵检测软件、入侵保护软件或负载平衡器）。确定导致意外结果的原因，并做出更改，以获得准确的扫描信息。例如，如果是防火墙导致结果不准确，则将 InsightVM 加入防火墙白名单。
  • 端口错误显示为处于不活动状态：您可能会发现，您无法扫描某些网络区域。例如，可能有一个您知道的地址，但在发现扫描过程中并未发现它。检查该遗漏是否是由防火墙或逻辑路由问题引起的。如果是，请在防火墙的另一侧配置另外一个扫描引擎，并扫描这些资产。

  获取您环境的外部视图

  摘要： 除对您的网络进行彻底扫描外，我们还建议您用网络外的扫描引擎检查可发现的资产。如果您有可用的扫描引擎，可将其添加至站点配置中。

  如果您有外部 IP 地址，可以检查他人从外部可以访问的内容。您可以在您的网络边界外设置一个扫描引擎，并查看该引擎可发现的资产。如果您想要获取您防火墙的“外部”视图，请从企业外部被视为与其他外部机器相同的引擎开始进行扫描。您可能想要考虑使用 Rapid7 托管式引擎。

  我们建议您进行以下配置：

  • 不要对这些外部扫描使用凭证。
  • 不要将源 IP 地址列入白名单。
  • 您可能需要将该引擎从特定的活动/自适应入侵防御技术中豁免（例如网络应用防火墙、未知单播和组播泛洪控件、入侵防御系统、动态防火墙黑名单）。
  • 使用“带网络爬虫的全面审计”扫描模板或类似的自定义模板。
  • 扫描您企业分配的整个公共地址空间，而不仅仅是您认为处于活动状态或可以访问的系统。
  • 至少每月进行一次扫描，或者根据变更控制和扫描的持续时间尽可能经常进行扫描。
  • 始终按上文所述将外部扫描与内部认证的扫描相结合，因为防火墙管理着对某些漏洞、服务和主机的屏幕访问。

  我们建议您按照以下优先级进行修复：

  • 最危险的漏洞类型之一是允许未经过认证的外部用户登录的漏洞，例如易被攻击的 Telnet 端口。将其作为紧急优先处理的漏洞。
  • 否则，请减少攻击面，进而开始处理产生的结果：
    • 删除或屏蔽对不需要作为公共主机的主机的访问。
    • 用防火墙规则来尽量限制对服务和主机的访问。
    • 根据 CVSSv2 评分和使用率处理剩余的外部漏洞。

  零天漏洞

  对于最新发布的高风险漏洞，您或许希望仅扫描该特定的漏洞，尽快了解哪些资产受到了影响。

  您可以创建仅检查特定漏洞的自定义扫描模板，并用该专用模板扫描您的站点。您可以使用公共漏洞和暴露标识符 (CVE-ID)，仅重点检查该漏洞。

  注意: 查看 Rapid7 社区，了解有关最近发布的重大漏洞的其他指南。

  若要扫描特定的漏洞：

  1. 通常情况下，最佳做法是复制现有的扫描模板，创建一个新扫描模板。最佳扫描模板的复制取决于漏洞的性质，但是带网络爬虫全面审计或无网络爬虫全面审计通常是良好的起点。若需有关扫描模板的更多信息，请参见  扫描模板。
  2. 确保选择了漏洞选项，并且选择了网络爬取选项（若相关）。清除 政策选项，以使模板重点检查此漏洞。
  3. 编辑扫描模板名称和描述，以便您稍后能够确认为此目的自定义了该模板。
  4. 前往漏洞检查页面。首先，您将禁用所有检查、检查类别和检查类型，使您可以集中精力专门扫描与该问题相关的项目。
  5. 扩展按类别部分，并点击移除类别。
  6. 选择顶行的复选框（漏洞类别），它将自动选择所有类别的复选框。然后点击保存。请注意，现已启用 0 个类别。
  7. 扩展按单个检查部分，并点击添加检查。
  8. 在搜索标准框中输入或粘贴相关的 CVE-ID，并点击搜索。选择顶行的复选框（漏洞检查），它将自动选择所有类型的复选框。然后点击保存。
  9. 重复步骤 7，检查是否存在与该问题相关的任何其他 CVE-ID。
  10. 保存扫描模板。
  11. 创建或编辑包含以下内容的站点：
      • 新自定义扫描模板
      • 认证漏洞检查的凭证
  12. 开始扫描。

  多个位置的资产

  如果您在多个位置拥有资产，则需考虑多个因素：

  • 您可以用标签表示资产的位置。请参见应用带有标签的 RealContext。然后，您可以基于这些标签创建报告，以便您可以按位置评估资产的风险。请参见 选择需要报告的资产。
  • 用最能够充分利用您的网络配置的方式创建站点并将其与扫描引擎相关联，这是一个好方法。例如，如果您在休斯敦和新加坡拥有资产，不要试图仅用其中一个位置的扫描引擎扫描所有资产，在两个位置分别放置扫描引擎并为每个扫描引擎配置一个站点的做法可能更好。

  大量资产

  若要扫描大量资产，您或许希望利用扫描引擎池。扫描引擎池可帮助负载均衡，如果一台扫描引擎出现故障，它还可以作为备用扫描引擎使用。若需了解有关配置扫描引擎池的更多信息，请参见使用扫描引擎池。

  亚马逊网络服务

  若要扫描亚马逊网络服务 (AWS) 虚拟资产，您需要在您的 AWS 环境中做一些准备工作，并创建针对该类型资产的发现连接。若需了解更多信息，请参见准备在 AWS 环境中的动态发现。

  VMWare

  若要扫描 VMWare 虚拟资产，您将需要在目标 VMWare 环境中做一些准备工作，然后创建针对该类型资产的发现连接。若需了解更多信息，请参见 准备目标 VMware 环境进行动态发现。

  内部 PCI 合规扫描

  如果您的系统处理、存储或传输信用卡持卡人数据，您可能会使用 InsightVM，以符合支付卡行业 (PCI) 安全标准委员会数据安全标准 (DSS)。PCI 内部审计扫描模板旨在帮助您按 DSS 的要求进行内部评估。

  若需了解有关 PCI DSS 3.0 的更多信息，请访问我们的资源页面。

  以下内容概括了用 InsightVM 帮助您进行内部 PCI 扫描的建议流程。（若需如何使用本应用程序的任何功能的更多信息，请参见帮助或用户指南。）

  1. 按照 PCI DSS 3.0 第 6.1 部分的说明，您需要创建一个确定安全漏洞的流程。为此，请用以下配置在 InsightVM 中创建一个或多个站点：
     1. 在站点配置的信息和安全标签的企业部分中按特定 PCI 报告的要求输入您企业的相关信息。
     2. 添加您为符合 PCI 规定而需要扫描的资产。（这些主机通常会包括您的持卡人数据环境或“CDE”）。
     3. 使用 PCI 内部审计扫描模板。
     4. 指定进行该扫描的凭证。（这些凭证应拥有读取注册表、文件和目标系统程序包管理方面内容的权限）。
  2. 按照 PCI 数据安全标准要求 11.2.1 和 11.2.3 中的说明，您需要创建并检查报告，以验证您是否进行了漏洞扫描和修复。您还应保留这些报告的副本，证明您符合 PCI DSS 的规定。
     1. 按照 创建基础报告中的说明创建新报告。您或许最希望使用 PCI 执行摘要和 PCI 漏洞细节报告。上述每个模板均遵循此流程。指定以下设置：
        1. 对于报告的范围，指定您要进行 PCI 扫描的资产。
        2. 在高级设置的分发下，指定报告的电子邮件发件人地址和收件人。
  3. 减轻漏洞。漏洞描述中包含修复步骤。
  4. 重新扫描，以验证您的减轻措施是否成功解决了发现的漏洞
     1. 如果采用了补偿控制，可能需要运用异常处理来消除相关的发现。（即使自动化工具可有效降低相关风险，也有可能无法检测您的补偿控制。）
  5. 继续扫描并减轻漏洞。根据 PCI DSS 第 6.1 和 11.2.1 部分的规定，您将需要每季度进行一次内部扫描，直至您修复了所有高风险漏洞为止。根据第 11.2.3 部分的规定，您还需要在作出重大更改后进行扫描。第 6.2 部分概述了进行修复的可接受的时间表。

  政策基准

  该应用程序包括可用于政策基准的内置扫描模板。这些模板包括 CIS、DISA 和 USGCB。上述每个模板均包含针对不同平台的一系列政策；仅对适用的模板进行评估。在上述三个模板中，CIS 支持的平台种类最广泛。若需有关这些模板的更多信息，请参见  扫描模板。

  所有的政策扫描模板均需要一对用户名和密码，以获得桌面和服务器机器等资产的访问权。此账户通常拥有管理员或 root 用户的权限。若需有关凭证的更多信息，请参见 配置扫描凭证。

  CIS 扫描模板包括针对数据库的政策检查，并需要访问数据库的用户名和密码。