Quản lý tài sản

Tài sản xác định phạm vi CyStack VulnScan được phép phát hiện, quét, báo cáo và tính vào giới hạn sử dụng. Quản lý tài sản tốt giúp tăng độ chính xác vì phát hiện được gắn đúng hệ thống, tên máy chủ, dịch vụ và đội phụ trách.

​

Loại tài sản hỗ trợ

Giấy phép hiện tại quyết định mục tiêu nào được thêm và số lượng mục tiêu được quét. Nếu tài sản nằm ngoài phạm vi, VulnScan sẽ thông báo trước khi lượt quét bắt đầu.

​

Thêm tài sản

1. Mở Tài sản.
2. Chọn Thêm tài sản.
3. Nhập tên miền, URL, IP hoặc CIDR.
4. Đặt tên dễ hiểu nếu giá trị gốc không đủ rõ với đội xử lý.
5. Thêm nhãn như môi trường vận hành chính, môi trường thử nghiệm, PCI, hệ thống hướng khách hàng hoặc tên đơn vị phụ trách.
6. Lưu tài sản.

​

Xem chi tiết tài sản

Mở trang chi tiết tài sản trước khi chạy lượt quét đầu tiên. Cần xem:

• Tóm tắt phát hiện tài sản: mục tiêu có phân giải DNS, phản hồi và lộ dịch vụ hay không.
• Tên miền con: danh sách tên miền con phát hiện được từ tên miền gốc.
• Cổng và dịch vụ: dịch vụ TCP, web server và điểm truy cập ứng dụng.
• Công nghệ: framework, CMS, thư viện JavaScript, phần mềm máy chủ và thành phần ứng dụng.
• WAF/CDN: dịch vụ bảo vệ hoặc phân phối nội dung nếu có dấu hiệu nhận diện.
• TLS: giao thức, chứng chỉ, issuer, ngày hết hạn và trạng thái cấu hình.
• Lượt quét gần đây: liên kết tài sản với lịch sử quét và xu hướng phát hiện.

​

Tín hiệu phát hiện tài sản

VulnScan dùng nhiều kỹ thuật:

• Liệt kê DNS và tên miền con.
• Kiểm tra máy chủ đang hoạt động.
• Quét cổng và nhận diện dịch vụ.
• Kiểm tra HTTP/HTTPS.
• Nhận diện công nghệ.
• Kiểm tra chứng chỉ TLS.
• Phát hiện WAF/CDN.
• Thu thập banner dịch vụ.
• Tìm dữ liệu mô tả an toàn khi điểm truy cập lộ ra ngoài.

Mục tiêu không chỉ là tìm máy chủ, mà là tạo ngữ cảnh đủ tốt để kiểm tra lỗ hổng chính xác hơn.

​

Quản lý tên miền con

Với tên miền gốc như acme.com, bật phát hiện tên miền con khi muốn đánh giá bề mặt tấn công rộng hơn. Tên miền con có thể lộ ứng dụng bị quên, môi trường tạm, trang quản trị, API thử nghiệm, website marketing cũ hoặc hệ thống do đơn vị khác triển khai. Với tên miền lớn:

• Bắt đầu bằng phát hiện tài sản và xem lại danh sách.
• Loại trừ hệ thống ngoài phạm vi kiểm thử.
• Dùng nhãn để tách môi trường vận hành chính, môi trường thử nghiệm, hệ thống nội bộ và hệ thống do bên thứ ba lưu trữ.
• Kiểm tra giới hạn giấy phép trước khi quét toàn bộ máy chủ phát hiện được.

​

Chuẩn hóa mục tiêu

VulnScan chuẩn hóa mục tiêu trước khi lưu và quét:

• URL được tách thành scheme, host và path.
• Tên miền được đưa về dạng tên máy chủ chữ thường.
• IP và CIDR được kiểm tra định dạng.
• Mục tiêu trùng được gộp nếu đại diện cùng một tài sản.
• Phát hiện được liên kết với bản ghi tài sản thống nhất để lịch sử không bị rời rạc.

​

Khi nào nên tách tài sản

Nên tách tài sản khi đội phụ trách, mức độ quan trọng, tần suất quét hoặc thông tin xác thực khác nhau. Ví dụ:

• www.acme.com và admin.acme.com thuộc hai đội khác nhau.
• api.acme.com cần API token, còn www.acme.com là hệ thống công khai.
• 203.0.113.0/28 chứa cả hệ thống vận hành chính và dịch vụ thử nghiệm.
• Ứng dụng thuộc PCI cần quy trình báo cáo riêng.

​

Checklist tài sản

• Mục tiêu thuộc phạm vi giấy phép.
• Tên tài sản dễ hiểu với người không làm bảo mật.
• Nhãn thể hiện môi trường và đội phụ trách.
• Kết quả phát hiện tài sản khớp với kỳ vọng.
• Dịch vụ bất thường được xem lại trước khi quét.
• Thông tin xác thực đã chuẩn bị nếu ứng dụng cần đăng nhập.
• Lượt quét đầu tiên giới hạn phạm vi trước khi mở rộng toàn bộ tên miền con.