扫描技术的比较与选择
关键点总结
- 没有最佳的扫描技术,不同技术各有优缺点
- Snapshot扫描在某些特殊情况下表现很好,但并不适合所有用例
- 建议结合多种扫描技术,如FlexScan,来提高安全性
随着新扫描技术的推出,各种技术的优越性被大肆宣传。然而,实际上并没有“最佳”的扫描技术,所有技术均有其优缺点。如果相信多个供应商的最新说法,似乎有一种被称为快照扫描的“最佳”扫描方法。但当我们深入分析时,会发现快照扫描对于特定用例确实有优势,例如能够扫描暂停的工作负载,但在许多其他方面,其他类型的扫描工具可能会更合适。那么,是否存在一种最优的扫描方法呢?在阅读完这篇博客后,答案应该是显而易见的:并不存在。Qualys建议您不要仅依赖单一的扫描方法,而是根据需要灵活应用多种扫描技术。为此,Qualys开发了一项叫做FlexScan的技术,使得各种扫描器的使用和管理变得简单。
什么是快照扫描?
快照扫描使用的扫描器会从云服务提供商(CSP)的运行时块存储中捕获工作负载的图像,即快照,然后进行扫描。运行时块存储是CSP存储云工作负载和资源最新图像的地方。快照扫描本质上是一种间接扫描云工作负载的方法,通过查看块存储,而不是直接通过代理监视它们。
快照扫描适用的情况
快照扫描在某些情况下具有一些优势,使其成为最佳选择。最主要的一点是它们能够快速和轻松地设置,快速引导公司的云工作负载。由于在仅云环境中快速上线的便捷,快照扫描非常适合需迅速评估云环境的情况,例如并购(M&A)场景。虽然API扫描也可以进行快速评估,并在评估新工作负载时略快于快照扫描,但API扫描未能提供全面覆盖。
快照扫描另一特有的能力是加载暂停或挂起工作负载的图像。需要注意的是,大多数供应商是按资产数收费,暂停的工作负载也算作资产,因此这种能力并非对所有人都有优势。
尽管从资源角度看昂贵,但快照扫描能够查找需要大量计算能力的恶意软件和敏感数据。虽然代理也可以执行此操作,但通常不希望占用工作负载资源进行恶意软件扫描。如果希望检测恶意软件,快照扫描是最佳选择。
快照扫描的局限性
快照扫描的局限性也是显而易见的。最明显的一点是它仅适用于公共云。因此,如果您拥有一个几乎所有公司都有的混合环境,并且您的供应商仅提供快照扫描器,则需要添加第二种安全解决方案。
快照扫描也是存储和扫描器成本最高的检测方法。这是一项昂贵的技术投资,因为其唯一的实际优势在于容易引导,因此在大多数用例中,我们建议仅在需要一次性评估时使用,而将其他用例交给更高效的扫描技术来处理。
快照扫描资源密集的特性也意味着频繁扫描成本高昂,因此大多数仅使用此技术的客户最多每天扫描一次。如果出现重要的零日漏洞公告,通常需要手动重新扫描。与此相比,Qualys的云代理默认扫描窗口为4小时。
另外两个快照扫描的局限性是,有些信息在工作负载中无法通过静态快照获取。还有,快照扫描无法提供云工作负载的外部视图。因此,快照扫描应当与其他扫描方法结合使用。以下是快照扫描在以下漏洞检测中存在问题的两个例子:
Spring4Shell (CVE-2022-22965) :该漏洞只会在使用Java v9或更高版本时受到影响。通过查看快照图像,可以判断是否存在易受攻击的版本。然而,无法进一步确认系统上安装了哪些Java版本,也无法知道如果安装了多个版本时,实际使用的是哪一个。这种不确定性可能导致误报。
WebLogic 0day (CVE-2020-14882) :要检测该漏洞,需要确定WebLogic的安装路径,并评估其是否已被修补。这些信息只能通过执行特定的运行
