引入网络扫描指南
亚马逊云科技(AWS)正在为客户工作负载的网络扫描引入指导原则。遵循这些原则,合规的扫描器将能收集更准确的数据,最大限度地减少滥用报告,并帮助提升每个人的互联网安全。
网络扫描是现代IT环境中的一种实践,既可用于合法的安全需求,也可能被滥用于恶意活动。在合法方面,组织进行网络扫描是为了维护其资产的准确清单、验证安全配置,并识别需要注意的潜在漏洞或过时的软件版本。安全团队、系统管理员和授权的第三方安全研究人员在其标准工具包中使用扫描来收集安全态势数据。然而,扫描也由试图枚举系统、发现弱点或为攻击收集情报的威胁行为者执行。区分合法扫描活动与潜在有害的侦察是安全运营持续面临的挑战。
当通过扫描给定系统发现软件漏洞时,扫描器的意图是否良好尤为重要。如果软件漏洞被威胁行为者发现并攻击,可能导致对组织IT系统的未经授权访问。组织必须有效管理其软件漏洞,以防范勒索软件、数据盗窃、运营问题和监管处罚。与此同时,已知漏洞的数量正在快速增长,根据NIST国家漏洞数据库的报告,过去十年以每年21%的速度增长。
考虑到这些因素,网络扫描器需要谨慎扫描并管理所收集的安全数据。有多种不同的方对安全数据感兴趣,每个群体对数据的使用方式各不相同。如果安全数据被威胁行为者发现并滥用,那么系统入侵、勒索软件和拒绝服务攻击可能给系统所有者造成破坏和损失。随着数据中心和连接的软件工作负载在能源、制造、医疗保健、政府、教育、金融和交通等关键服务领域呈指数级增长,安全数据落入不当之手可能产生重大的现实影响。
多方利益相关者
多方对安全数据拥有既得利益,至少包括以下群体:
- 组织希望了解其资产清单并快速修补漏洞以保护其资产。
- 项目审计员希望获得证据,证明组织有健全的控制措施来管理其基础设施。
- 网络安全保险提供商希望对组织的安全态势进行风险评估。
- 进行尽职调查的投资者希望了解组织的网络风险状况。
- 安全研究人员希望识别风险并通知组织采取行动。
- 威胁行为者希望利用未修补的漏洞和弱点进行未经授权的访问。
安全数据的敏感性创造了一个具有竞争利益的复杂生态系统,组织必须为不同的方维护不同级别的数据访问权限。
指南的制定动机
我们已经描述了网络扫描的合法和恶意用途,以及对结果数据感兴趣的不同方。我们之所以引入这些指南,是因为我们需要保护我们的网络和客户;而区分这些方是具有挑战性的。互联网上没有用于识别网络扫描器的单一标准。因此,系统所有者和防御者通常不知道谁在扫描他们的系统。每个系统所有者都有责任独立管理对这些不同方的识别。网络扫描器可能使用独特的方法来标识自己,例如反向DNS、自定义用户代理或专用网络范围。对于恶意行为者,他们可能会试图完全逃避识别。这种身份差异程度使得系统所有者难以了解进行网络扫描方的动机。
为了应对这一挑战,我们正在引入网络扫描的行为指南。AWS致力于为每位客户提供网络安全;我们的目标是筛选出不符合这些指南的滥用扫描行为。广泛进行网络扫描的方可以遵循这些指南,以从AWS IP空间获得更可靠的数据。在AWS上运行的组织在其风险管理中获得更高程度的保证。
当网络扫描根据这些指南进行管理时,有助于系统所有者加强其防御能力并提高其数字生态系统的可见性。例如,Amazon Inspector可以在遵循这些指南的同时检测软件漏洞并确定修复工作的优先级。同样,AWS Marketplace的合作伙伴使用这些指南来收集互联网范围的信号,帮助组织理解和管理网络风险。
“当组织对其自身及其第三方的安全态势拥有清晰、数据驱动的可见性时,他们就能在整个生态系统中做出更快、更明智的决策以降低网络风险。” - Dave Casion,Bitsight首席技术官。
当然,安全需要共同协作,因此AWS客户可以通过我们的信任与安全中心报告滥用扫描行为,类型选择“网络活动 > 端口扫描和入侵尝试”。每一份报告都有助于提高针对安全数据恶意使用的集体防护能力。
指南内容
为了帮助合法的网络扫描器能够清晰地将自己与威胁行为者区分开来,AWS提供以下关于扫描客户工作负载的指导。这份网络扫描指导是对渗透测试和漏洞报告政策的补充。AWS保留限制或阻止看似不符合这些指南的流量的权利。符合规范的扫描器应遵守以下实践:
可观测性
- 不执行任何试图在发现的终端点上创建、修改或删除资源或数据的操作。
- 尊重目标系统的完整性。扫描不会导致系统功能降级,也不会导致系统配置更改。
- 非突变式扫描的示例包括:
- 发起并完成TCP握手
- 从SSH服务检索横幅信息
可识别性
- 通过发布扫描活动来源来提供透明度。
- 实施可验证的过程以确认扫描活动的真实性。
- 可识别扫描的示例包括:
- 支持对扫描IP进行反向DNS查询,指向您组织的公共DNS区域之一。
- 发布扫描IP范围,按请求类型(例如服务存在性检查、漏洞检查)进行组织。
- 如果是HTTP扫描,在用户代理字符串中包含有意义的内容(例如来自您公共DNS区域的名称、退出扫描的URL)。
协作性
- 限制扫描速率,以最小化对目标系统的影响。
- 为经过验证的资源所有者提供退出机制,以便请求停止扫描活动。
- 在合理的响应时间内尊重退出请求。
- 协作扫描的示例包括:
- 将扫描限制为每个目标服务每秒一次服务事务。
- 尊重
robots.txt、security.txt及其他此类用于表达站点所有者意图的行业标准中的站点设置。
保密性
- 保持安全的基础设施和数据处理实践,这应通过SOC2等行业标准认证来体现。
- 确保没有对收集的扫描数据进行未经身份验证或未经授权的访问。
- 实施用户识别和验证流程。
查看AWS的完整指南。
下一步计划
随着越来越多的网络扫描器遵循此指导,系统所有者将从降低其机密性、完整性和可用性风险中受益。合法的网络扫描器将发出清晰的意图信号,并提高其扫描数据的质量。随着网络状态的不断变化,我们预计此指导将随着技术控制的发展而演进。我们期待来自客户、系统所有者、网络扫描器及其他各方的意见,以持续改进AWS及整个互联网的安全态势。
如果您对此帖子有反馈意见,请在下面的评论部分提交评论或联系AWS支持。
作者简介
Stephen Goodman:作为Amazon主动防御的高级经理,Stephen领导数据驱动的项目,以保护AWS客户和互联网免受威胁行为者的侵害。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
![[Java EE] 多线程 -- 初阶(1) - 详解](http://pic.xiahunao.cn/[Java EE] 多线程 -- 初阶(1) - 详解)
中优先队列的懒删除如何理解?)
