3.2 大道至简的跨越
3.2.1 低门槛学习使用
Web漏洞扫描产品在保障专业性扫描的同时,需要具备傻瓜式的扫描配置,除继承原有快速扫描、全局扫描、自定义扫描的模板外,还要能立足于某类新曝出的漏洞进行快速遍历匹配;报表展示方面,能够提供风险仪表盘,来集中展示信息概要,并通过进一步展示明细结果的快捷入口,快速查看所见即所得的图文报表,最终通过全方位详尽的漏洞详情。让评估者无需太多的Web安全知识积淀,无需专业人士的二次解读,就能快速上手,简便操作,做到对网站风险的准确把握,主次分明。
3.2.2 集群扫描,突破大规模网站扫描难题
传统Web漏洞扫描产品,以安全评估为导向,一般采用独立产品设计。对于大站点或者多站点的漏洞扫描则耗时很长,甚至由于任务量太大而出现扫描异常终止的情况。因此对大规模的站点扫描成为安全运维人员最头疼的事情。
在保障现有扫描精度的前提下,融合网站安全运维理念的Web漏扫工具能够基于页面级负载均衡的分布式集群技术,完全打破原有的增加扫描节点后只能在扫描任务间均分的老旧模式,真正做到颗粒度更细的URL页面级,无论对单站点任务、多站点任务都能够进行动态的均衡分配,且通过支持上百个扫描节点的集群,轻松实现大规模网站的扫描能力,同时具备统一的数据接口与上层运维平台紧密对接,进行扫描任务集中管理和报表汇总输出,从而大大缩短扫描时间,加快网站评估进度。
3.2.3 一体化修补直通车
网站评估者在通过扫描报告,全面了解网站漏洞分布后,在面对下一步如何整改的问题时往往陷入“知而不会改”或者“知而不敢改”的尴尬处境。这就要求新发展的Web扫描产品在扫描报告中除了需突破原有漏洞信息不完整,内容晦涩难懂、修复建议指导性不强的局限外,还要尽量满足与安全加固产品的一体化联动,通过自动修复机制,从专业无误的角度来增强运维方对所采取的网站安全整改手段的信心。近些年市面上已有一些Web扫描产品与主流Web应用防火墙形成一体化联动,让扫描输出的报表成为Web应用防火墙下一步进行Web服务器安全加固的定向策略,但由于扫描报告可能存在的误报,根本无法让整改方对其形成的加固策略完全放心,可接受性较差。如若新发展的Web扫描产品既能具备与安全防护产品达到手动、自动双重联动机制,又能允许整改方对扫描报告中的漏洞清单进行批量可视化验证确认后,任意指定待修补的漏洞对象,从而随需生成精准的防护策略,形成目标系统的虚拟加固补丁,轻松实现无忧修补,让网站运维人员补丁修补的恐惧之感不复存在。
4. 结束语
Web威胁已成为当前信息安全建设的主要威胁之一,对Web漏洞的发现、跟踪及处理已成为从根本上缓解Web威胁和健壮Web系统的重要手段。而Web漏洞扫描产品通过融合网站安全运维理念,从聚焦风险分布的资产识别、保障业务持续运行的无损式扫描、确保漏洞权威可信的场景全过程可视化重现、聚焦网站风险态势变化的漏洞跟踪机制,实现与网站评估业务的携手发展,紧密相连。同时配以大道至简的用户体验,让其在大规模网站评估和快速整改方面,轻松消除愈发严格的检查制度所带来的忧虑,助Web安全评估工作一臂之力。