RAPID7闭环漏洞安全管理解决方案

RAPID7闭环安全漏洞风险管理解决方案 RAPID7目 录1 当前漏洞风险管理方案现状32 漏洞管理解决方案分析42.1 系统架构42.2 扫描42.3 排序和修复52.4 报告（Reporting）62.5 合规和配置评估72.6 管理72.7 集成83 闭环漏洞管理解决方案93.1 Nexpose Enterprise93.2 Metasploit Pro113.3 应用安全漏洞扫描AppSpider134 总结（闭环漏洞管理解决方案）185 关于Rapid7191 当前漏洞风险管理方案现状 相当长一段时间以来，提到漏洞管理一般是指漏洞扫描器，人们印象中就是一台1U的盒子在系统上线前进行一次扫描，看扫描结果中有没有漏洞，如果有就打补丁然后再扫描一次如果证明漏洞消失或在没有解决漏洞问题的情况下依然让系统上线，然后就没有然后了。 还有一种漏洞扫描器被广泛使用的情况就是WAF产品的销售过程中，经常是先拿扫描器进行扫描，然后部署WAF后再进行扫描，再对部署WAF前后的报告进行对比，从而证明WAF的作用。 还有许多厂商拿开源漏洞扫描器进行修改就变成了自己的产品，导致漏洞扫描器市场的产品大同小异，很难有某个产品能实现对漏洞的全生命周期进行管理。 随着安全形势越来越严峻，几乎每天都有新的漏洞出现，这还不包括0day漏洞，因此漏洞扫描器需要高频率的更新，在重大漏洞出现之日起24小时内就需要完成对自己系统环境的扫描，检查自己系统是否存在此漏洞，从而可以第一时间进行修复措施。如果反应慢了，可能自己的系统早已被利用并放置了恶意程序。 漏洞管理是一件枯燥、繁琐、乏味又耗时的工作，光靠人力难以全面完成这项工作，现实需要更高自动化的管理工具，包括定时对IT环境（各种IT物理和虚拟设备）进行扫描，并根据问题的严重性进行优先级划分，然后进行各种修复措施，并需要和运维及研发乃至管理层进行正确的沟通，这就需要每个团队自己可以看懂的报告。 当系统环境变的越来越复杂时只有完美的漏洞管理系统能带来最大的收益包括为安全运维人员节省时间，为管理层提功决策辅助，避免任何人为带来的疏忽等等。2 漏洞管理解决方案分析 就目前的行势来看，漏洞管理系统有多种，常见的有网络漏洞扫描器、WEB应用扫描器、数据库系统扫描器等等。 总体来看漏洞管理系统有以下几点需要注意：2.1 系统架构 （1）灵活部署 每个组织单位都有不同的系统和网络架构，因此漏洞管理系统需要能提供灵活的部署方式并能对扫描进行完全控制。这关系到扫描速度和精确性。 （2）分布式扫描 从管理控制中心对扫描进行管理并聚合扫描数据可以变漏洞管理系统变的更高效，并可以减小对网络的影响。分布式扫描包括用来管理扫描运作、报表、等工作的中心控制台以及远程部署的扫描引擎从而可以覆盖整个IT环境。（3）内部&外部扫描 从不同的视角来看系统的表现是不同的。内部扫描可以从边界防火墙内侧评估网络，外部扫描可以从外部进行远程扫描。使用内部和外部扫描可以让您对全面了解风险所在。（4）扩展性 就像您自己的IT环境在增长和变化一样，漏洞管理系统也需要快速简单的增长。理想状态下你应当可以通过增加扫描引擎来提高漏洞管理系统的能力。（5）外部风险 集成了Project Sonar查询接口，可以很方便的通过域名查询到组织机构暴露在互联网的IP地址，并可以对这类IP地址进行分组，然后从互联网的视角对这些IP进行风险管理。2.2 扫描 漏洞扫描是识别IT环境中风险的重要技术，但高效的安全管理规划需要综合性的解决方案而不是简单的列出漏洞。（1）发现（Discovery） 在你评估和管理风险之前你需要知道你都有哪些IT资产。扫描你的整个网络来发现所有的IT资产，包括操作系统、应用程序和服务等等，这是有效漏洞管理的基本。并且资产应该可以根据多种属性进行自动分类，而不仅仅是基于IP地址，并且随着时间的流逝可以被方便的进行跟踪。（2）统一漏洞和配置评估 通过一次评估扫描发现资产、漏洞和错误配置可以 最小限度的减少对网络的影响，减少扫描时间和管理负荷。并且解决方案也应当为漏洞和配置评估提供统一的用户界面和报表，从而可以拥有关于安全风险和合规要求的完整视图。（3）认证(登录)扫描（Authenticated Scans） 登录资产进行深度扫描使你可以拥有对风险的更高可视度，可以提从更多的信息，例如设备配置。相比而言远程扫描仅仅提供一个外部的视角。（4）虚拟化和云环境 虚拟化和云技术使组织单位可以按需配置资源，同时也造成一个安全上的挑战因为大部分的解决方案不能区分扫描的是真实还是物理资产。漏洞管理解决方案应该可以动态发现和评估虚拟和云资产的风险。（5）扫描频率 网络环境不是一成不变的，相反稍微大一些的IT环境都会经常有各种各样的变化。通过定期的扫描你可以确保安全风险会被及时发现并修复。扫描应该至少每月一次或每周一次甚至每天，并且在设定到一个特定的时间窗口最小化对网络的影响。2.3 排序和修复 对于安全团队来讲一个经常遇到的挑战是决策哪个漏洞和资产需要第一时间关注和处理，并建立一个有效的工作流来尽快的定位它们。（1）风险评分 当一个组织IT环境中的漏洞数量达到数以千计甚至更多时，你就需要一个高级的风险评分算法秋找出哪些漏洞需要优先处理。简单的使用CVSS评分系统不足以对漏洞进行优先排序。风险评分应当考虑到威胁衡量标准，例如是否有已公开的漏洞利用和恶意软件，以及漏洞出现的时间。（2）业务关联（Business Context） 有效的漏洞排序解决方案需要更多关于IT资产的信息，例如所处的地理位置、角色职责、资产所有者以及其他和业务相关的重要性。这种业务相关的商业智能使你可以对重要业务系统和数据进行修复优先排序。解决方案还应当提供基于一个资产的重要性自动修改风险评分的能力。（3）漏洞验证 扫描和渗透测试集成可以使你快速验证扫描出的漏洞是否会带来真正的风险。这可以使验证过的漏洞能得到及时的关注和修复，并可以对那些不可被利用的漏洞设置例外。漏洞管理系统和渗透测试系统的集成需要是高度自动化的并且数据是可以无缝的在2个系统中进行传输。（4）修复方案 当你找到并对风险进行排序之后，需要人力去修复它们。对于高效的修复工作流程，使用报表系统使你可以创建更高效的修复报告来减少整体风险。这就要求执行修复方案的人员能明白报告中描述的修复步骤，所需要的修复时间，以及相关的补丁、下载项和参考指南。（5）修复作业 发现风险和分配修复任务之间的延迟意味着资产未受保护的时间。每次扫描完成后根据业务关系修复计划应该自动的发送给资产的所有者进行立即修复。2.4 报告（Reporting） 漏洞扫描可以产生大量的信息，因此识别什么真正重要非常关键，并且需要是清楚、精确和可执行的形式。（1）疏理过的报告（Consolidated Reporting） 在同一个用户界面，通过聚合从每个扫描引擎收集来的数据进来整理成报告，你可以集中管理优先排序和修复的工作流，而且可以分析组织的安全风险和合规情况。解决方案应当表现漏洞、配置、策略合规以及其他资产信息例如安装的应用和应用的服务。（2）报告模板和定制 随系统自带的报告模板应当可以满足各种不同用户的需要，例如针对管理层的报告展示风险态势，IT运营报告要展示详细的修复步骤。并且模板应当是完全可以定制的，并支持各种格式，这样就可以调整模板来满足组织的需要。（3）报告计划和分发 扫描完成后报告越及时的发给相关人员越能快速的修复漏洞或辅助进行决策支持。每次扫描或周期性的扫描完成后可以基于专属性质生成报告和进行分发。解决方案应当可以允许你指定报告应该通过电子邮件发给谁，同时可以通过用户界面访问这些报告。（4）资产和漏洞过滤 哪些系统可能会受到一个新的0day漏洞的影响？资产和漏洞过滤可以被用来回签这个复杂的安全问题，并可以快速的洞察组织中的IT安全风险。你应当可以基于平台、软件、协议、漏洞类型和受影响的服务按风险等级和分类来过滤漏洞。（5）资产组 资产应当可以按照技术属性进行分组，例如操作系统或用户定义的属性例如位置、所有者和重要性。解决方案应当可以基于新发现的资产和资产信息自动对分组进行更新，并且可以基于这些分组进行报告生成。（6）数据库查询 有时你可能需要对资产和漏洞数据执行高级的分析。解决方案需要支持直接在系统中运行SQL查询并可以按照标准格式输出用来创建pivot表、定制图表和图形的结果。2.5 合规和配置评估 不安全的配置和遗漏的控制可能会导致风险，因此有些漏洞管理解决方案会提供配置、控制和策略合规的扫描功能。（1）合规评估 对于许多安全标准来讲漏洞评估是一个关键要求，例如支付卡行业数据标准（PCI DSS）。内嵌的扫描模板可以方便的满足这样的合规要求。对于PCI合规来讲，漏洞管理系统解决方案需要是PCI委员会认可的扫描器厂商（Approved Scanning Vendor, ASV）。（2）配置评估 您需要确保您的系统安全地按照行业标准和最佳实际经验进行了配置，这在统一安全评估解决方案中是很关键的部分之一。配置和合规评估应该和漏洞扫描在同一个用户接口同时进行。另外，为了满足您特定的要求配置，配置策略应该是可以通过用户接口进行完全可定制的。（3）控制评估 大部分的组织都会投入大量的时间和资源调整安全控制用来对抗所面对的威胁。评估这些安全控制的有效性很重要，要求这些评估是基于行业的最佳实践经验。漏洞管理解决方案应该可以评估这些安全控制的有效性。2.6 管理（1）基于角色的访问管理 在您的组织里不同的用户组可能需要不同的对扫描数据的访问级别。解决方案的基于角色的访问控制（RBACs）应该支持内嵌的角色，具有修改和增加新角色、资产组、报告和其他管理功能的能力。（2）例外管理 您经常会遇到某些漏洞不能修复或者是对于业务来讲是可接受的风险。那么对于提交这些例外给上级进行审批的工作流就应该可以自动化完成，以便于审计和管理。您应该可以在实例、资产、扫描组或全局层面创建例外，并添加这个例外的原因。（3）应用程序更新 定期的应用更新确保您能使用最新的功能和性能增强。您应该可以选择自动更新和手动更新。（4）漏洞更新 为了能在第一时间掌握风险，要求漏洞管理系统能提供快速的更新。比如定期每周更新，或在重要漏洞出现后的24小时内进行更新，从而可以及时的进行漏洞检查。定期的厂商漏洞更新，例如微软的星期二补丁漏洞计划（每月的第二个星期二），应该在每次更新后的24小时内完成更新，并提供SLA保障。2.7 集成（1）虚拟和云环境 漏洞管理解决方案应该可以和虚拟化云平台进行集成，例如VMware，从而可以在虚拟环境中进行动态发现和评估虚拟资产。漏洞管理系统应该可以提供虚拟机版本便于在虚拟环境中部署，并可支持在Windows和Linux操作系统上部署。如果能和虚拟化平台有官方认证的集成更好，例如和VMware进行底层集成。（2）IT安全解决方案 漏洞管理系统应该内嵌和其他安全解决方案的集成能力，例如网络拓扑工具、IDS/IPS、IT GRC、SIEM系统。这些集成可以提供集成报表和管理能力，并提供相关信息从而可以提供报警的精确性，减少误判。（3）企业级Ticketing系统 漏洞管理系统应具有一定的Ticketing集成能力，例如BMC、ServiceNow。通过这种集成您 的IT运营团队可以很方便的解决问题，并可以跟踪进度。（4）定制集成 有时您可能需要开发新的系统进行集成或者增强现在的集成能力，漏洞管理系统应提供双向的API，从面所有主要功能都可以进行定制。3 闭环漏洞管理解决方案3.1 Nexpose Enterprise Rapid7 Nexpose 企业版是一款安全风险智能解决方案,它能够前摄性地为整个漏洞管理周期提供支 持,包括发现、检测、验证、风险分类、影响分析、报告和消减风险。Nexpose 企业版专为拥有大型网 络和虚拟化基础设施部署的企业而设计,这些企业对可扩展性、性能、可定制性以及部署灵活性的要求 极为严格，Nexpose 企业版能帮助它们有效改善风险态势。 （1）采取全面漏洞管理方法 Nexpose 推动安全风险智能信息收集,为您制定更有效的企业安全决策提供深入洞察力。 l 100%扫描您的IT基础设施 彻底扫描 IPv4 和 IPv6 网络的物理和虚拟环境中的数据库、应用程序、网络应用和网络设备,以确保您了解存在的所有漏洞。 l 准确理解您真正的风险曝露 Nexpose 利用持续的物理和虚拟资产发现以及关于恶意软件和漏洞利用程序曝光的集成信息,为您提供 对于最重大风险的深入了解。 l 迅速准确地确定漏洞的优先级 扫描可以发现成千上万个漏洞，利用 Rapid7 Real RiskTM 和 170+ 个漏洞过滤器，Nexpose 可有效地为您的修复措施排列优先顺序。 l 验证漏洞是否可被利用 通过整合 Metasploit，您的安全团队能够自动验证漏洞是否可以被利用，从而让您对已证明为可利用的资产和漏洞进行重要性排序。 （2）通过在企业部署中得以验证,Nexpose 企业版提供以下核心功能 l 无与伦比的统一漏洞扫描广度 通过对大量平台中的网络、操作系统、应用程序、网络应用和数 据库进行超过 130,000 项漏洞检测,可扫描多于 60,000 个漏洞。 l 不间断的漏洞更新 自动提供漏洞更新,无需用户干预。在24小时内及时提供“微软周二补丁日”发布的漏洞更新,以随时掌握不断变化的各种威胁的最新动态。 l Rapid7 Real RiskTM 通过合并漏洞利用程序曝光、恶意软件曝光和临时风险评分,以及 CVSS v2分数等相关信息,清晰了解每个独特环境的实际风险。 l 全面的合规和政策检查 检查您的系统是否符合企业或监管政策要求,例如 PCI、HIPAA、 NERC 或 FISMA。 l 强大的安全配置评估 集中管理和修改您的政策,轻松检测您的环境中的不安全配置。查看政策 面板,报告对各项条例和审计方针的合规情况(例如 FDCC、USGCB 和 CIS 基准)。 l 分配逐步修复计划 轻松创建并自动分配短期、可实践的分步骤补救计划,以帮助 IT 团队专注于降低对您的企业有 重要影响的风险。 l 虚拟资产的持续发现 与VMware 中心的原生整合,让Nexpose 能够提供对所有虚拟资产的实时可见性,以及对于这些资产的威胁曝光的深入了解。 l 创建和管理动态组 管理员可以根据自定义风险策略或其他标准对资产进行分组,进而跟踪和流 线化补救措施。 l DHCP集成 可以和DHCP系统进行集成每10秒钟查询一次DHCP日志，从而可以快速的定位到哪些机器是新接入网络的，需要进行及时的扫描，降低新设备接入网络带来的风险。l 分布式扫描 免费的无限制的扫描引擎，可以帮助大型组织实现全球分布式部署，实现在24小时扫描数以万的主机。l 稳健的预定义和可定制报告与面板 通过利用数十项可直接使用的报告和查看执行面板获得对于您的安全态势的即时了解。联机创建更多报告,或者从社区报告模板库中直接添加。 l 对风险态势变化的深入了解 借助包含资产和已发现的漏洞、恶意软件和漏洞利用程序曝光、漏 洞严重性，以及已发现的漏洞时间长度在内的关键趋势，来轻松地跟踪您的安全态势和变化。 l 端到端的企业工作流支持 管理和帮助对端至端的漏洞管理周期进行自动化升级,包括智能发现 、风险监测、测试和验证,以及可实施的报告和补救。利用审批和逐步升级来有效管理例外情况 和越权政策。 l 强大的管理功能 支持对地理或组织上分散的网络环境进行集中管理，提供基于角色访问授权的 管理和报告，并整合活动目录、Kerbos 或任何一种 LDAP 兼容目录。 l 广泛的企业整合 Nexpose 企业版以预建集成和 Nexpose 的基于 XML 的开放式 API 为基础，可以与许多第三方安全、合规和风险管理解决方案进行整合。 l 开箱即用的 Metasploit 集成 配合 Metasploit 为您提供远程扫描控制、漏洞利用程序识别，以 及自动化开发功能。 l 灵活的部署模型 以软件、硬件设备、虚拟设备、受托管服务或私有云的方式灵活地部署,以满足您的独特安全评估需求。 3.2 Metasploit Pro 恶意攻击者正在测试您组织的防护能力。一旦他们进入您的网络，他们一般总是在您的网络中进行数月的数 据搜集或其他恶意活动。使用Metasploit专业版模拟可控的攻击测试您网络的防护能力，您可以领先于恶意 攻击者采取必要的动作。Metasploit专业版通过管理您的数据和安全的自动攻击、验证由Nexpose发现的漏洞 大大减少您在渗透测试工作量，并且可以帮助您对补救工作进行优先级划分；通过模拟钓鱼攻击可以管理您 组织里用户的安全意识，减少遭受APT攻击的风险。 （1）渗透测试:领先于别人之前测试您组织的防护能力 IT安全部门几乎花费他们所有时间用来建设和维护防护系统来保护他们的数据。往往只有企业单位被攻击了 他们才会发现哪里是他们的真正弱点。 渗透测试通过模拟现实世界的真实攻击来识别您防护能力的弱点。 Metasploit专业版帮助您进行渗透测试, 例如使用渗透模块、密码审计、攻击Web应用、发送钓鱼邮件等。 Metasploit是渗透测试的最佳工具，原因如下。l 渗透测试的事实标准 Metasloit 专业版基于拥有 20 万用户和贡献者的 Metasploit 项目,这也就使 Metasploit 成了渗透测试的事实标准。安全研究者们新开发的渗透攻击方法经常会写成一个 Metasploit 的模块,因此 Metaploit 用户立即可以使用这些模块。Metasploit 的攻击方法和载荷都通过实验室和真 实环境的测试验证。 l Windows, Red Hat, Ubuntu, Kali Linux 选择您喜欢的平台进行渗透测试,不要把您自己限制于 Windows 机器。在 Kali Linux 上可以把来自其他工具的输出导入到 Metasploit 的数据库。l 灵活、开放平台 您可以编写您自己的攻击代码和模块，然后把它们导入到 Metasploit 专业版，从而进行适合您自己环境的渗透测试。 l 高扩展性 在一个项目中可以评估多达 1 万台主机的安全性。l 安全控制测试 使用 Metasploit 的 MetaModules 测试您的安全控制的有效性,这些功能模块可以大大简 化复杂的任务例如密码测试或防火墙出口测试。l 可自由选择 Web 界面或命令行 Metasploit 专业版提供一个友好的命令行界面和一个高级的命令行接口 “Pro Console”。选择您喜欢的界面或者在它们之间进行自由切换。 （2）漏洞验证:了解哪些漏洞带来真正的风险 漏洞扫描器可以扫描安装的软件以及所存在的漏洞，但它并不能确定这些漏洞是否会给您特定的网络环境带来真正的风险。这可能会比较危险或没有作用因为IT部门需要在相同优先级的情况下修补所有漏洞。 漏洞验证帮助您确定是否一个漏洞会给您的环境带来高 风险。 它专注于那些已知公开攻击方法的漏洞，通过这 些攻击方法即使不具有丰富经验的攻击者也可以轻松进 入您网络。 Metasploit专业版简化和加快漏洞验证，对漏洞验证过 程进行逐步指导。结果可以返回给Nexpose，Nexpose 可以利用这些结果生成报告，并对漏洞进行等级划分后 生成非常详细的修复计划。 为什么Metasploit是漏洞验证的最佳解决方案: l 全球唯一的闭环解决方案 只有 Rapid7 提供闭环的漏洞验证，返回的成功验证信息和漏洞例外可在漏洞管理系统中进行报告生成、补救计划生成、趋势分析。 l 抓取现有的扫描数据 不同于其他解决方案需要手工的 XML 导入导出漏洞数据，Metasploit 专业版可以 直接从 Nexpose 中抓取现有的扫描数据。 l Metaploit 专业版是 Rapid7 的产品 拥有 20 万用户和贡献者的全球最大的公开的高质量攻击测试开源项目 Metasploit 是 Rapid7 公司的。 （3）安全意识管理:测试用户的钓鱼漏洞 用户往往是安全链中的薄弱环节，会导致组织暴露于攻击之中。近年来钓鱼攻击越来越多。一些组织已经指导终端用户进行培训但发现确定确定他们的用户是如何真正被攻击利用的以及哪些用户带来的风险最大却比 较困难。 为什么Metasploit是管理钓鱼风险的最佳解决方案: l 衡量整体用户意识和交付培训的唯一渗透测试解决 方案 不同于其它渗透测试解决方案,Metasploit 专业版社交工程报告在测试过程中每一步都提供转 换率。只有 Metasploit 在社交工程测试过程中每一 步都针对如何定位风险提供建议。当用户采取了一 个危险动作时,他们会被重定向到一个培训站点。 l 独一无二的、用户风险高度可见 通过 Metasploit专业版和 UserInsight 的集成,安全分析师可以全面了解一个用户的帐户、网络活动、云服务、移动设 备以及被钓鱼的风险,把散布在整个系统中的信息统一起来。 l 唯一可以测试您技术管控的模拟钓鱼解决方案 一些模拟钓鱼服务仅仅可以衡量用户的意识，Metasploit 专业版还可以衡量技术管控的有效性。如果需要，钓鱼 Web 页面或邮件附件可包含测试补丁级别、安 全配置和基于网络的防护的攻击。 3.3 应用安全漏洞扫描AppSpider 众所周知，WEB应用已经是黑客攻击目标好多年了。从2000年第一个SQL注入漏洞被发现以来，我们已经对应用安全有了很好的理解。在这个领域有许多专家和工具在帮助我们，我们也拥有了著名的OWASP组织，我们也有了政府合规性要求。但是为什么应用安全形式依然很严峻呢？ 答案是应用安全是一个非常动态的环境，任何事物都在变化，不断地快速地变化。自从90年代末以来，攻击者有非常显著的进化（躁动不安的年青人从地下室开始进行攻击）。如今，我们更关心熟练的、精心组织的攻击，黑客主义攻击能使我们变的很尴尬，使我们的名誉受损，政府资助的攻击，金钱驱使的信息战以及内部安全威胁。从OWASP TOP 10攻击排行这些年的变化我们就能看出攻击是如何进化的。从2004年开始OWASP发布了4次TOP 10攻击排行。请记住这只是攻击类别。XSS是攻击的一种类别，现实世界中有数以千计甚至数以百万计的XSS漏洞存在。 尽管如此，这个表格还是让人有一点迷惑的 - 攻击在进化，我们来看看XSS是如何进化的。 下图表展示了应用是如何进化的，从上世纪90年代的静态HTML页面到2005年有了Javascript，再到2010年有了Web 2.0的概念直到今天有了人们叫做Web 3.0或后端运行RESTful服务的富互联网应用，包括移动应用。199019952000200520102015HTMLStatic PagesCGIWeb 2.0 (AJAX) Web 3.0 & Mobile(JSON, REST, AMF, SOAP)Application Frameworks2020JavaScript Complexity 这种情况必然会造成安全管理人员跟不上应用程序技术的发展，原因如下：l 由于种种原因在没有形成标准并且安全人员没有相应的培训之前一些新技术就已经流行了。例如你可以找到关于HTML和Javascript的SQL注入漏洞的资料，但很有关于AJAX和web services的SQL注入漏洞资料。l 另外，安全专家们都很忙。没有充足的时间去学习这些突然出现的新技术。l 最后，攻击和应用的进化速度比大部分的人和工具更快 事实是：我们需要更多的自动化。（1）走近AppSpider之-了解你的弱点 为现代世界的应用评估而生。 我们可以看到现代技术越来越多。考虑您的DAST或扫描器的覆盖范围变的很重要。因为你的应用可以使用更多的新技术，你的DAST的覆盖范围在缩小。DAST工具需要可能应付各种新技术。APPSPIDER不仅可以应付当今经常使用的各种技术，而且是面向未来的，即便是未知的新技术也可以应付。我们来看些例子。 先来看看AJAX的工作怀情况，当你在搜索框中进行输入时你可以看到匹配提示，这种情景的背后是一个AJAX页面实时的发送请求到后端的服务器从而取得更多的数据。如此以来用户一直是在同一个页面，但是应用却在发送请求和接收响应。我们来看更多的例子。 锁住后门。我们提起要锁住后门是因为后门经常被忽略。RESTful接口是web services常用的形式。它们经常用来驱动AJAX应用。它们也经常被用来驱动移动应用的后端，比如当你想发送一条微博，它使用了RESTful接口来实现。而且web serivces or RESTful 接口经常被用在B2B应用中，比如象淘宝的库存管理，来实现库存的查看。RESTful接口和JSON, XML SOAP, CSVs, GWT类似。格式的不同使很多安全专家还不熟悉它们，在这些接口中你会发现老朋友SQL注入，但看起来稍有不同。你需要一个可以应付这些web service的扫描器。你应该通过查看扫描日志查看你的DAST是否支持。 由于应用被AJAX和web services驱动，真相就隐藏在了背后。安全专家们必须要知道背后发生了什么。象淘宝一样的站点有数以百万计的链接，安全专家需要他们的扫描器在不影响应用并在一定的时间内完成一次有效的扫描。对于这样的情况，扫描需要可以横跨许多应用进行并发式扫描。（2）抓住重点 AppSpider提供交互式报告系统，可以方便快捷的和报告系统进行交互，报告适用于安全团队、运维团队、开发团队以及管理团队。可以进行深度的分析、攻击重放、快速修复，并且满足合规要求如PCI。（3）提升维度 自动生成WAF/IPS的虚拟补丁（规则），传统的做法只是启用WAF/IPS的默认策略，而AppSpider可以生成定制规则，从而更有效的交少误判。 当前支持的WAF产品： Imperva SecureSphere F5 ASM Barracuda WAF ModSecurity Citrix NetScaler DenyAll rWeb Fortinet* 支持的IPS产品： Cisco SourceFire CheckPoint* Fortinet* Nitro Security 其他基于SNORT技术的IPS 与WAF/IPS集成带来的好处：l 为WAF和IPS生成规则和过滤器l 提高WAF和IPS的效果l 从AppSpider中导入规则可以节省时间提高效率4 总结（闭环漏洞管理解决方案） 漏洞扫描器可以评估您网络系统中安装的软件系统和其可能存在的漏洞，但并不能确定这些漏 洞是否会给贵组织造成风险。这不仅仅是效率不高的问题,而且可能会在IT安全部门花大量时间修复那些并不会造成真正风险的安全问题的同时使您的组织处于容易被攻击的危险之中。 漏洞验证可以通过确