CN104012027A - 用于网络环境中的计算机脆弱性的基于云的扫描的***和方法 - Google Patents
用于网络环境中的计算机脆弱性的基于云的扫描的***和方法 Download PDFInfo
- Publication number
- CN104012027A CN104012027A CN201280064801.3A CN201280064801A CN104012027A CN 104012027 A CN104012027 A CN 104012027A CN 201280064801 A CN201280064801 A CN 201280064801A CN 104012027 A CN104012027 A CN 104012027A
- Authority
- CN
- China
- Prior art keywords
- port
- scanner
- scanning
- secure tunnel
- configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000005540 biological transmission Effects 0.000 claims description 23
- 239000003795 chemical substances by application Substances 0.000 description 52
- 238000004891 communication Methods 0.000 description 31
- 238000010586 diagram Methods 0.000 description 12
- 230000008859 change Effects 0.000 description 7
- 230000008878 coupling Effects 0.000 description 7
- 238000010168 coupling process Methods 0.000 description 7
- 238000005859 coupling reaction Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000000926 separation method Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 235000014161 Caesalpinia gilliesii Nutrition 0.000 description 2
- 244000003240 Caesalpinia gilliesii Species 0.000 description 2
- 230000000712 assembly Effects 0.000 description 2
- 238000000429 assembly Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000010408 sweeping Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一个实施例中的方法包括建立扫描仪与配置管理器之间的第一安全隧道以及扫描仪与扫描控制器之间的第二安全隧道,其中扫描仪位于公共网络中,并且配置管理器和扫描控制器位于专用网络中,从而通过第一安全隧道在扫描仪与配置管理器之间传递扫描仪配置信息,并且通过第二安全隧道在扫描仪与扫描控制器之间传递扫描信息。可通过将第一始发端口和第二始发端口分别转发到第一目的端口和第二目的端口,从专用网络中建立安全隧道。第一和第二始发端口可位于公共网络中,以及第一和第二目的端口可位于专用网络中。
Description
技术领域
一般来说,本公开涉及计算机网络领域,以及更具体来说,涉及用于网络环境中的计算机脆弱性的基于云的扫描的***和方法。
背景技术
计算机网络管理和支持的领域在当今社会已经变得越来越重要和复杂。计算机网络环境配置用于实际上每一个企业或组织,通常具有多个互连计算机(例如最终用户计算机、膝上型计算机、服务器、打印装置等)。在许多这类企业中,信息技术(IT)管理员可分派有维护和控制网络环境(包括主机、服务器和其它网络计算机上的可执行软件文件)的任务。随着网络环境中的可执行软件文件的数量增加,有效地控制、维护和矫正这些文件的能力能够变得更加困难。一般来说,网络的各种计算机中实现的软件的更大分集转换为管理这样的软件中的更大困难。另外,IT管理员和其它用户可希望使用有效计算机扫描方法来快速且有效地识别和消除脆弱性。当网络具有数百至数百万个节点时,扫描所有节点的许多可能的脆弱性对IT管理员提出挑战。在许多情况下,IT管理员可能必须运行覆盖数千个应用和操作***的大致30000个脆弱性检查,并且在任何给定周执行数十至数百次新的检查。因此,需要创新的工具来辅助IT管理员有效地控制和管理计算机网络环境中的计算机上的可执行软件文件和计算机扫描方法。
附图说明
为了提供对本公开及其特征和优点的更完整了解,参照结合附图的以下描述,其中相似标号表示相似部件,其中:
图1是用于网络环境中的计算机脆弱性的基于云的扫描的***的一个示范实施例的简化框图;
图2是该***的一个实施例的细节的简化框图;
图3是该***的另一个实施例的简化框图;
图4是该***的又一个实施例的简化框图;
图5是该***的又一个实施例的简化框图;
图6是该***的又一个实施例的简化框图;以及
图7是示出可与本公开的实施例关联的示例操作步骤的简化流程图。
具体实施方式
概述
一个实施例中的方法包括建立配置管理器与扫描仪之间的第一安全隧道以及扫描控制器与扫描仪之间的第二安全隧道,其中扫描仪位于公共网络中,并且配置管理器和扫描控制器位于专用网络中,从而通过第一安全隧道在扫描仪与配置管理器之间传递扫描仪配置信息,并且通过第二安全隧道在扫描仪与扫描控制器之间传递扫描信息。扫描控制器和配置管理器还可与位于专用网络中的一个或多个扫描仪进行通信。
在具体实施例中,该方法包括标识第一始发端口、第二始发端口、第一目的端口和第二目的端口,并且从专用网络中将第一始发端口转发到第一目的端口以创建第一安全隧道,以及将第二始发端口转发到第二目的端口以创建第二安全隧道。第一始发端口和第二始发端口耦合到扫描仪,第一目的端口耦合到配置管理器,以及第二目的端口耦合到扫描控制器。此外,扫描仪可包括耦合到第一始发端口的第一端口以及耦合到第二始发端口的第二端口。在更具体的实施例中,该方法可包括将扫描仪配置成通过第二端口来传递扫描信息。
在又一些实施例中,扫描仪可包括:扫描引擎,配置成基于扫描控制器所提供的扫描信息来扫描专用网络中的一个或多个资产;以及配置代理,配置成促进基于配置管理器所提供的扫描仪配置信息来配置扫描引擎。在更具体的实施例中,安全隧道可包括反向安全外壳(SSH)隧道。扫描仪还可包括SSH服务器和其它特征。
示例实施例
图1是示出用于网络环境中的计算机脆弱性的基于云的扫描的***10的一个示例实施例的简化框图。示范网络环境示出包括一个或多个扫描仪14的专用网络12,其中扫描仪14包括扫描引擎16和配置代理18以扫描各种资产20A-C的脆弱性。虽然图1中为了说明目的而仅示出三个资产,但是在本公开的广义范围之内,任何数量的资产可包含在***10中。专用网络12中的某些资产,例如资产20A可部署在专用网络12的边缘,以便对于专用网络12外部的用户和/或***可见,而某些其它资产,例如资产20B和20C可配置成是专用网络12外部的用户和/或***不可见的。例如,资产20A可以是Web服务器,以及资产20B和20C可以是专用网络12中的台式计算机。扫描控制器22和配置管理器24可分别与扫描引擎16和配置代理18进行通信。在各个实施例中,扫描控制器22和配置管理器24可位于专用网络12中的相同或不同服务器上。
专用网络12可通过防火墙28与公共网络26分隔。图1中,虽然示出防火墙28,但是可以理解,将专用网络12与公共网络26分隔的任何安全特征可用于***10中,而没有背离本公开的广义范围。例如,交换机、路由器、分组过滤器等可将专用网络12与公共网络26分隔。扫描仪30可位于专用网络26中。仅为了说明而不是作为限制,图1中示出一个扫描仪,以及在本公开的范围之内,任何数量的扫描仪可部署在专用网络12外部。扫描仪30可包括扫描引擎32和配置代理34。在各个实施例中,扫描引擎32和配置代理34在功能上可分别基本上相当于扫描引擎16和配置代理18。***10的实施例提供建立配置管理器24与扫描仪30之间的安全隧道36。***10的实施例还提供建立扫描控制器22与扫描仪30之间的安全隧道38。在一些情况下,能够对基于公共网络的扫描仪30的扫描引擎32和配置代理34与基于专用网络的扫描控制器22和配置管理器24之间的通信建立单个安全隧道而不是两个不同隧道36、38(如以下更详细论述)。
如本文所使用的“安全隧道”包含通信协议,其保护通信信道免受不需要的和/或未经授权侵入和脆弱性、例如分组嗅探、数据泄漏、在运送中的同时的未经授权修改等。在图1所示的实施例中,各安全隧道能够包括反向安全外壳(SSH)隧道。SSH是用于通过例如运行SSH服务器程序的网络元件(例如SSH服务器40)与运行SSH客户端程序的另一个网络元件(例如SSH客户端42)之间的不安全网络(例如公共网络26)的安全通信(例如数据通信、远程外壳服务、远程登录、命令执行和其它安全网络服务)的网络协议。任何其它安全隧道(例如SSL、IPSec等)可适当地用于***10中,而没有背离本公开的广义范围。为了说明目的,本文中结合***10的实施例来描述反向SSH隧道。
扫描控制器22可配置成向扫描引擎16提供一个或多个扫描指令(和其它扫描信息),并且通过专用网络12中的专用内部网络连接(例如以太网、无线连接等)接受来自扫描引擎16的扫描结果。扫描控制器22能够接受扫描请求(例如来自用户、网络管理员等),将其假脱机输出给各种扫描仪14,监测扫描仪14,并且接受来自扫描仪14的扫描结果。例如,扫描控制器22能够调度对资产20A-C的扫描,并且适当地向扫描引擎16分配扫描指令。
按照***10的实施例,扫描控制器22还可配置成向扫描引擎32提供一个或多个扫描指令(和其它扫描信息),并且通过安全隧道(例如安全隧道38)接受来自扫描引擎32的扫描结果(和其它扫描信息)。扫描引擎16、32能够包括程序逻辑以按照从扫描控制器22所指示的扫描指令(和其它扫描信息)来扫描资产20A-C。这样的逻辑在与来自扫描控制器22的其它扫描信息相结合时能够用来执行扫描,包括例如检测开放端口、确定正运行的服务、识别操作***、记录MAC地址、主机名称以及与资产有关的其它信息;对于它在扫描资产上找到的数据处理并且模式匹配脆弱性定义;模拟恶意用户或***访问资产并且监测作为模拟攻击的结果的资产的响应等;以及其它示例。
配置管理器24可配置成通过专用网络12中的专用内部网络连接向配置代理18提供一个或多个扫描仪配置。此外,配置管理器24能够通过安全隧道(例如安全隧道36)向一个或多个远程提供的或者基于云的扫描仪(例如扫描仪30)的配置代理(例如配置代理34)提供扫描仪配置。配置代理18和34可作为平台进行操作以便:实现分别由扫描引擎16和32所使用的配置数据的变更,以更新诸如测试和脚本之类的内容;更新/修正扫描引擎16和32或者配置代理可执行或配置,并且然后在需要时将其重新启动;修正相应扫描仪上的***操作***(OS)或者任何其它软件;或者维护扫描仪14和30所需的任何其它管理操作。在示例实施例中,配置代理18和32可使用“拉”方法从配置管理器24接收扫描仪配置信息。例如,配置代理18可在接收任何扫描仪配置信息之前,通过内部网络连接向配置管理器24自行认证。
扫描引擎16和32一般可频繁地更新以实现新OS检测指纹技术,并且提供新测试以检测资产上的脆弱性的存在。更新扫描引擎16和32可分别通过代理18和34来促进。配置代理18和34能够与配置管理器24进行通信,以分别得到扫描引擎16和32的配置设置。例如,配置代理18能够从配置管理器24得到更新补丁,并且促进扫描引擎16上的补丁的执行。按照本公开的实施例,配置管理器24还可配置成通过安全隧道36向配置代理34提供一个或多个扫描仪配置(和其它扫描仪配置信息)。扫描仪配置可用来更新诸如测试和脚本之类的内容;更新/修正扫描引擎16和32或者配置代理可执行或配置,并且然后在需要时将其重新启动;修正相应扫描仪上的***OS或者任何其它软件;或者维护扫描仪14和30所需的任何其它管理操作。
虽然扫描引擎32和16均配置成扫描资产(例如资产20A-C),但是与扫描引擎16相比,扫描引擎32可以能够基于其在专用网络12外部的位置来扫描不同或附加的脆弱性。例如,资产20A可以是位于专用网络12中的电子邮件服务器。对位于专用网络12外部(或周边上或者DMZ中)的装置,资产20A上只有某些端口可以是可见的。此外,防火墙28可防止专用网络12外部的用户/***访问资产20A中的其它端口。相比之下,对位于专用网络12内部的装置,资产20A上基本所有端口可以是可见的。与位于专用网络12内的扫描引擎16相比,恶意用户或***(例如黑客或者位于专用网络12外部的其它威胁)可具有资产20A的基本上不同的视图。因此,对外部用户或***可见的脆弱性因扫描引擎16在专用网络12中的位置而被其忽略(例如,扫描引擎的视图是从专用网络中而不是专用网络外部)。另一方面,位于专用网络12外部的扫描引擎32可具有与外部用户或***基本上相似的资产20A的视图,由此提供资产的附加视图,并且使扫描更完整并且更有价值。
在另一个示例中,资产20B可以是专用网络12中的打印机,并且大概是专用网络12外部的装置不可访问的。通过使用扫描引擎32来扫描(或者尝试扫描)资产20B,可发现资产20B中的任何脆弱性、例如未经授权的外部可见端口。因此,原本会被忽视的无意地暴露的***中的脆弱性可被位于公共云26中的扫描引擎32发现。另一个示例是允许机器或应用的远程配置的服务器配置端口。可从专用网络12内准许远程配置,其中预计可适当地管理机器或应用;但是,如果同一端口从专用网络12外部是可见的,则外部用户/***(例如黑客)可以能够访问该机器并且在没有授权的情况下改变配置。
图1所示的网络环境一般可配置或者布置成表示能够以电子方式交换分组的任何通信架构。另外,专用网络12和公共网络26也可配置成与其它网络(例如其它LAN)交换分组。其它常见网络元件(例如电子邮件网关、Web网关、路由器、交换机、负荷平衡器、防火墙等)也可在适当的情况下并且基于特定需要在网络中提供。
针对本公开的各个实施例使用某些术语。“资产”可以是任何电子装置、网络元件、移动装置、最终用户计算机、台式计算机、膝上型计算机、客户端、服务器、同等、服务、应用或者能够通过网络中的通信信道来发送、接收或转发信息的其它对象。如本文所使用的“扫描信息”包括扫描指令(例如指向要测试的脆弱性、要运行的脆弱性脚本以及要执行以产生网络安全分数的计算的指令)、扫描目标(例如资产20A-C)、扫描配置、要运行的测试、资产解析数据(例如取得IP并且返回主机名称和操作***(OS))、扫描结果以及可用来扫描资产(例如资产20A-C)并且分析扫描结果的任何其它信息。如本文所使用的“扫描仪配置信息”包括扫描仪组件配置(例如扫描引擎、SSH服务器程序、操作***等的配置)、扫描仪可执行的新版本、修复扫描仪上的脆弱性的OS更新、要注意的新应用编程接口、脆弱性列表、证书、更新、通信端口以及可用于管理和维护扫描仪(例如扫描仪14、扫描仪30等)的任何其它配置信息。
如本文所使用的术语“脆弱性”包含任何***(例如资产中的硬件或软件,包括操作***、应用、文件、芯片集、硬件实现的计算逻辑、配置设置等)中的瑕疵、条件、安全风险或弱点,其可能引起对***的未经授权访问以及***的安全策略、组织标准、行业标准、政府标准等的可能的安全违背或违反。脆弱性能够存在于例如***安全过程、***设计、操作***、开放端口、内部控制、硬件配置、应用、配置设置等中,其可能被实施(意外触发或有意利用)并且可能引起这类违背或违反。脆弱性的示例包括:CVE-2011-2460,是Adobe Flash Player中的瑕疵,其允许黑客运行任意代码或者经由未指定向量引起拒绝服务;CVE-2011-2016,是Windows Mail中的非置信搜索路径脆弱性,其允许本地用户经由工作目录中的特洛伊木马DLL来获得特权;以及数万个其它脆弱性。
如本文所使用的“专用网络”包含通过诸如防火墙、网络地址转换(NAT)等的安全特征与其它网络分隔的任何网络。专用网络的示例包括企业、办公室和家庭网络。专用网络中的资产通常是那个网络中的用户易于访问的。另一方面,专用网络中的资产不是专用网络外部的用户/***一般可访问(或者甚至可见)的。
除了专用网络之外的任何网络包含在术语“公共网络”中。公共网络可包含:全公共网络,例如因特网;半专用(或社区)网络,其中不同的企业共享云基础设施,并且云基础设施中的至少部分资产是来自云中和外部的用户易于访问的;以及显然不是专用网络的部分的其它网络。一般在公共网络中,大量资产通常是任何用户可访问的(并且可查看的)。例如,在因特网网络中,因特网中的所有资产通常是所有用户可访问的。因此,专用云12中的资产可访问公共云26中的资产;但是,公共云26中的资产不可访问(或者甚至看到)专用云12中的资产,除非专用云12中的资产专门配置成是外部可访问或可见的。专用网络中的这类专门配置的资产的示例包括电子邮件和Web服务器。
为了说明***10的技术,重要的是了解可存在于给定网络(例如图1所示网络)中的活动和安全问题。以下基本信息可被看作是可正确说明本公开的基础。此类信息完全是仅为了说明而提供,并且相应地不应当被理解为限制本公开的广义范围及其潜在应用。
组织(例如商业、学校、政府组织等)以及家庭中的典型网络环境包括多个计算机,例如最终用户台式计算机、膝上型计算机、服务器、网络器件等,其中各计算机具有已安装的可执行软件集合。在大组织中,网络环境可包括数百或数千台计算机,其能够跨越不同大楼、城市和/或全球的地理区域。IT管理员常常分派有以最小化或者消除对组织的活动的中断的方式、来维护这些计算机及其软件的特别职责。
IT管理员在管理网络环境时面临的一个困难是确保其组织的网络安全性符合风险合规中的规章和行业标准。公司在相当大的压力下保护顾客信息、顾客隐私和敏感商业信息免受来自网络罪犯、竞争对手和网络黑客的威胁。例如,商业伙伴可要求在实现和执行IT策略、过程以及围绕关键资产和敏感信息的控制方面的越来越严格的合规。有效风险管理可需要对公司资产和商业过程的准确和综合的可见性这种可见性可包括与网络中的脆弱性(例如操作***或应用可利用的瑕疵)有关的详细信息。
当前可用风险管理软件程序能够维护脆弱性的最新数据库、检测脆弱性、执行趋势分析并且提供结果的报告。这类风险管理软件程序的大多数驻留在专用网络中,并且扫描专用网络中的资产。专用网络中的许多资产凭借其功能可以是外部(对公共网络)可见的。例如,电子邮件和Web服务器除了专用网络中的用户之外也可以是公共网络中的用户可见的。与提供给内部用户的视图相比,这类资产向外部用户提供不同的视图。例如,内部用户可以能够查看该资产的基本上所有端口。相比之下,外部用户可以能够仅查看一个端口。通过从专用网络中扫描资产,可能难以(如果不是不可能的话)得到资产的外部视图并且检查可由外部用户利用的脆弱性。位于公共网络中的扫描仪可以能够得到资产的外部视图;但是,专用网络的当前安全特征(例如防火墙)不准许位于专用网络外部(例如云中)的扫描仪使用典型通信技术来与位于专用网络中的扫描控制器和其它***进行接口,并且向专用网络(例如位于企业中的扫描控制器)提供扫描结果或者从其中动态地获得扫描配置。
用于建立扫描引擎的部署方法能够包括将扫描引擎部署在专用网络(例如客户环境)外部,其中扫描控制器在专用网络内部;以及将扫描引擎部署在专用网络内部,其中扫描控制器也在内部。在两种情况下,存在可规避以便获得工作***的潜在通信难题。扫描引擎应当能够与配置管理器和扫描控制器进行通信,但是通信可因各种防火墙、路由器和代理而被阻断。
专用网络的安全特征(例如防火墙和NAT)防止位于公共网络的网络元件(例如扫描引擎)发起与专用网络中的网络元件(例如扫描控制器)的通信。另一方面,安全特征可准许位于专用网络中的网络元件发起与公共网络中的资产的通信。然而,虚拟专用网络(VPN)和反向SSH隧道能够准许专用网络外部的网络元件保持与专用网络中的网络元件的通信(跨越防火墙和/或NAT)。但是,VPN提供网络到网络连通性;在公共网络与专用网络之间使能VPN的情况下,位于公共网络中的任何网络元件可以能够连接到位于专用网络中的任何其它网络元件。如果VPN解决方案将要部署在位于公共网络(例如因特网云)中的扫描引擎上,则来自云中的任何用户可以能够访问位于专用网络中的装置,由此损害专用网络的安全性。
反向SSH隧道也能够准许专用网络外部的网络元件发起与专用网络中的资产的通信,同时与VPN相比提供更有针对性和精确的隧穿解决方案。常规SSH隧穿打开本地机器(例如在专用网络中)上的端口,并且将连接从本地机器上的那个端口转发到该连接的另一端(例如公共网络中)的远程机器上的对应端口。对本地机器上的端口的通信跨越SSH隧道被转发到远程机器上的对应端口。在“反向”SSH隧道中,端口在远程机器(例如在公共网络中)上被打开,并且转发到本地机器(例如在专用网络中)上的对应端口。对远程机器上的端口的通信跨越反向SSH隧道被转发到专用网络中的本机器上的对应端口。此外,与作为网络到网络连接的VPN连接不同,反向SSH隧道是点对点连接。
运行SSH服务器程序的SSH服务器能够跨越SSH隧道来连接到运行SSH客户端程序的SSH客户端。SSH服务器程序(又称作SSH监督程序)准许SSH服务器使用SSH协议从远程计算机接受连接。SSH客户端程序准许SSH客户端使用SSH协议来连接到远程计算机。SSH能够使用公共密钥密码学来认证远程计算机,并且在某些情况下允许它认证用户。任何人能够产生不同密钥的匹配对(公共和私有)。公共密钥放置于所有计算机上,其允许对匹配私有密钥的拥有者(拥有者将私有密钥保持为秘密的)的访问。SSH通常用来登录到远程机器并且运行命令,以及它还支持隧穿;转发TCP端口和X11连接;使用关联SSH文件传输(SFTP)或安全副本(SCP)协议的文件传输;以及其它功能性和特征。
在一些情况下,位于公共网络中的服务器或其它装置不能发起与位于专用网络中的另一个服务器的通信以便由此建立SSH隧道。相应地,在这类情况下,可建立从专用网络中的服务器到公共网络中的服务器的反向SSH隧道。从SSH客户端(位于专用网络中),SSH服务器(位于公共网络中)上的始发端口可开放以供监听,以及到始发端口的所有连接可转发到SSH客户端上的目的端口。在许多操作***中,SSH客户端上诸如以下所示之类的命令可设置反向SSH端口从IP地址1.1.1.1的SSH服务器remotehost上的始发端口10002转发到SSH客户端上的示例目的端口22:ssh –R remotehost:10002 localhost:22
1.1.1.1。到在1.1.1.1的始发端口10002的所有连接被转发到专用网络中的受保护SSH客户端上的目的端口22。
当前可用的扫描技术可实现云上的扫描控制器,并且扫描控制器能够例如使用SSL来控制位于专用网络中的一个或多个扫描引擎。但是,如果扫描控制器处于专用网络中,则这类扫描***不能工作,如许多传统企业扫描***中的情况那样。此外,当前可用的扫描技术还实现基于云的扫描,其中包括扫描控制器和扫描引擎的扫描***位于公共网络中,并且能够扫描专用网络中的资产的某些有限数量的脆弱性。这类扫描仪通常不能访问专用网络中不是外部可见的资产;它们还与部署在专用网络中的任何扫描***分离地操作。由于各种原因(例如改进的扫描、效率、值等),许多用户可期望具有传统扫描***,其中扫描控制器和至少部分扫描引擎位于专用网络中,而也由内部扫描控制器所控制的其它扫描引擎位于专用网络外部,以提供某些资产的外部视图。
图1概述的***10能够解决这些问题中的许多问题。按照本公开的一个实施例,可在扫描仪30(位于公共网络26中)与位于专用网络12中的配置管理器24和扫描控制器22之间建立一个或多个安全隧道(例如安全隧道36、38)。在本公开的一个实施例中,安全隧道(例如安全隧道36、安全隧道38)能够包括反向SSH隧道。在诸如图1的具体示例实施例所示之类的一个具体示例中,第一安全隧道36能够在配置管理器24与配置代理34之间建立;以及第二安全隧道38能够在扫描控制器22与扫描引擎32之间建立。按照本公开的实施例,通信由扫描仪30发起,并且穿过安全隧道36和38。
按照一个示例实施例,还可通过连接44a(例如从SSH客户端42到SSH服务器40)创建从专用网络12中到公共网络26的安全隧道36,以及配置代理34随后可通过连接44b(例如从SSH服务器40到SSH客户端42)经由安全隧道36发起并且保持通信。还可通过连接46a(例如从SSH客户端42到SSH服务器40)创建从专用网络12中到公共网络26的安全隧道38,以及扫描引擎32随后可通过连接46b(例如从SSH服务器40到SSH客户端42)经由安全隧道38发起并且保持通信。扫描引擎32与扫描控制器22之间以及配置代理34与配置管理器24之间的通信可以是请求/响应类型,其中扫描引擎32和配置代理34分别向扫描控制器22和配置管理器24请求信息,并且作为回报得到响应。
虽然图1的示例示出在扫描引擎32与扫描控制器22以及配置代理34与配置管理器24的每个之间所建立的两个独立反向SSH隧道,但是其它实施例能够采用备选架构,而没有背离本公开的主题或者针对通过安全隧道的建立、保持和通信所述的原理。例如,在一些情况下,扫描控制器22和配置管理器24能够实现为专用网络12上处理扫描控制器22和配置管理器24的组合功能性的单个组件。此外,单个安全隧道(例如单个反向SSH隧道)能够在组合扫描控制器和配置管理器以及扫描仪30的扫描引擎32和配置代理34之间来建立。在另一个示例中,能够通过提供专用网络12中与扫描控制器22和配置管理器24协作起作用并且将通过单个安全隧道所接收的业务从扫描引擎32和配置代理34分别路由到扫描控制器22和配置管理器24的附加通信管理器组件(未示出),来建立单个反向SSH隧道以代替两个独立隧道。类似地,通过管理器组件还能够确保来自扫描控制器22或配置管理器24的通信通过实现扫描控制器22与配置管理器24和扫描仪之间的通信的单个安全隧道分别被送往并且适当地转发到扫描引擎32和配置代理34,以及其它潜在实现。
在上述实现的任一个中,某些扫描***,在***10的实施例中包括配置管理器24和扫描控制器22,可通过不同端口来与扫描仪(例如扫描仪14和30)进行通信。在一个示例实施例中,配置代理18和34可在扫描之前发起与配置管理器24的通信。类似地,扫描引擎16和32可在扫描之前发起与扫描控制器22的通信。在其它情况下,扫描控制器22能够发起与相应扫描引擎16、32的通信,以及类似地,配置管理器24能够发起与相应配置代理18、34的通信。此外,配置管理器24能够监听特定端口(例如用于直接因特网消息封装(DIME)/SSL连接的端口号“3803”);同样,扫描控制器22能够监听另一个特定端口(例如超文本传输协议(HTTP)/SSL连接的端口号“3801”)。
在另一个示例中,在示例IP地址1.1.1.1的配置管理器24可配置成通过端口号“3801”来传递扫描仪配置信息,以及也在示例IP地址1.1.1.1的扫描控制器22可配置成通过端口号“3803”来传递扫描信息。在专用网络12内部,配置代理18通常通过在1.1.1.1的端口号“3801”检查更新,以及扫描引擎16通常通过在1.1.1.1的端口“3803”检查扫描指令。
按照***10的实施例,在专用网络12外部(例如在公共网络26中),配置代理34和扫描引擎32可配置成通过本地端口而不是通过远程端口分别检查配置信息和扫描信息。例如,配置代理34可配置成监听本地端口(例如端口号“38010”),以及扫描引擎32可配置成监听另一个本地端口号(例如端口号“38010”)。在各个实施例中,配置代理34上的本地端口(例如localhost: 38010)可通过用于传递扫描仪配置信息的安全隧道36来转发到配置管理器24上的另一个端口(例如在1.1.1.1的端口号3801)。同样,扫描引擎32上的本地端口(例如localhost: 38030)可通过用于传递扫描信息的安全隧道38来转发到扫描控制器22上的对应端口(例如在1.1.1.1的端口号3803)。
在各个实施例中,促进安全隧道36和38的创建的组件(例如OpenSSH等)可安装在扫描仪30上。配置有这类组件的扫描仪30可以是一般可重新分配的(例如,作为磁盘镜像、虚拟机、云实例、例如Amazon云实例(AMI)等)。对应客户端软件(例如SSH客户端)可安装在专用网络12中的装置上,以促进安全隧道36和38的创建。例如,例如ssh –TNfR 38010: localhost: 3801
remote.engine.com的命令可创建从本地配置管理器端口(例如端口号“3801”)到配置代理34上的远程引擎端口(例如端口号“38010”)的反向隧道36。类似地,命令、例如ssh –TNfR 38030: localhost: 3803
remote.engine.com可创建从本地扫描控制器端口(例如端口号“3803”)到扫描引擎32上的远程端口(例如端口号“38030”)的反向隧道38。到专用网络12中的连接则能够通过任一个隧道36或38从公共网络26发起,但是从扫描仪30的角度来看,扫描仪30通过安全隧道36和38发起到扫描控制器22和配置管理器24的通信。
转到图1的基础设施,示例网络环境可配置为一个或多个网络,并且可采取任何形式来形成,包括但不限于局域网(LAN)、无线局域网(WLAN)、城域网(MAN)、广域网(WAN)、虚拟专用网络(VPN)、内联网、外联网、促进网络中的通信的任何其它适当架构或***或者它们的任何组合。在一些实施例中,通信链路可表示支持LAN环境的任何电子链路,例如电缆、以太网、无线技术(例如IEEE 802.11x)、ATM、光纤等,或者它们的任何适当组合。在其它实施例中,通信链路可表示通过适当介质(例如数字用户线(DSL)、电话线路、T1线路、T3线路、无线、卫星、光纤、电缆、以太网等或者它们的任何组合)和/或通过任何附加网络、例如广域网(例如因特网)的远程连接。
另外,网关、路由器、交换机以及任何其它适当网络元件可用来促进各种节点之间的电子通信。注意,图1所示的网络可包括能够进行用于网络中的分组的传输和/或接收的传输控制协议/因特网协议(TCP/IP)通信的配置。网络还可在适当的情况下并且基于特定需要来结合与用户数据报协议/IP(UDP/IP)或者任何其它适当协议进行操作。为了易于描述,图1中仅示出几个资产和网络。在本公开的广义范围之内,任何数量的资产和网络可包含在***10中。
扫描仪30可在公共网络26中的物理或虚拟化硬件上实现,或者可在配置成扫描网络或资产的专用装置上实现。在其它优点之中,使用虚拟机来实现扫描仪30能够允许多种***或资产的任一个的扫描仪的动态预备,由此利用基于云的可扩展性,并且准许扫描仪30的按需预备和缩放。在各个实施例中,配置代理34可耦合到或集成到扫描引擎32中或者与其进行通信。在一个实施例中,配置代理34可以是软件应用(或者软件应用的一部分),其周期地轮询配置管理器24用于更新和其它扫描仪配置信息。在一些实施例中,因为并且当从配置管理器24接收这类更新时,配置代理34可在扫描引擎32上自动执行更新和其它扫描配置变更。在其它实施例中,配置代理34可在扫描之前在扫描引擎32上执行更新和其它扫描配置变更。在又一些实施例中,配置代理34可按照用户指定规则来执行更新和其它扫描配置变更。
在一些实施例中,扫描仪30能够是由扫描引擎32和配置代理34组成的逻辑对象。在其它实施例中,扫描仪30能够是物理机器,其包括扫描引擎32和配置代理34以及其自己的SSH服务器40的实例。例如,扫描仪30可在也运行SSH服务器程序的服务器或虚拟机上实现。在另一个示例实施例中,扫描仪30可包括SSH服务器程序。在又一些实施例中,扫描仪30可在与SSH服务器40分离的装置上实现。例如,扫描仪30可以是独立网络设备,其连接到运行SSH服务器程序的服务器。在本公开的广义范围之内,各种这类组合是可能的。
图1的***10中未示出的是硬件,其可采取控制台、用户接口、处理器、存储器元件、存储器管理单元(MMU)、附加对称多处理(SMP)元件、外设部件互连(PCI)总线及对应的桥、小型计算机***接口(SCSI)/集成驱动电子(IDE)元件等的形式来适当地耦合到扫描仪30。另外,还可包括适当的调制解调器和/或网络适配器,以允许网络接入。任何适当的操作***也可配置在扫描仪30中,以便适当地管理其中的硬件组件的操作。扫描仪30可包括任何其它适当硬件、软件、组件、模块、接口或者促进其操作的对象。这可包括促进本文详述的操作的适当算法和通信协议。
转到图2,图2是示出***10的一个实施例的细节的简化框图。除了扫描引擎32和配置代理34之外,扫描仪30还能够包括存储器元件44和处理器46。端口50和52可以是在扫描仪30中提供(或者与其耦合或者以其它方式与其是可通信的)的多个端口的两个。在一些实施例中,端口50和52可以是物理端口;在其它实施例中,端口50和52可以是虚拟端口。在一个示例实施例中,扫描仪30可在网络元件(例如服务器)上实现。在另一个实施例中,扫描仪30可以是位于公共网络26中的独立服务设备。扫描仪30上的端口50和52可分别与SSH服务器40中的始发端口54和56进行通信。SSH客户端42可包括目的端口58和60,其可分别用来建立与始发端口54和56的安全隧道36和38。SSH客户端42上的目的端口58和60可分别与配置管理器24上的对应端口62和扫描控制器22上的端口64进行通信(或者耦合)。
在***10的一些实施例中,端口54可与端口50相结合,以及端口56可与端口52相结合。例如在运行SSH监督程序的服务器(例如SSH服务器40)上实现扫描仪30的实施例中,情况会是这样。在一些实施例中,端口58和60可分别与端口62和64相结合。例如在包括扫描控制器22和配置管理器24的服务器执行SSH客户端42的功能(例如使用SSH协议来连接到远程计算机)的实施例中,情况会是这样。虽然图2所示的实施例使用SSH服务器40和SSH客户端42,但是可以理解,在***10中替代地可使用能够建立安全通信信道的任何网络元件,而没有背离本公开的范围。
在只为了说明某些原理所提供的一个具体示例中,端口50编号为“38010”,以及端口52编号为“38030”。按照***10的一个实施例,配置代理34可配置成在端口50上监听,其耦合到始发端口54。在一个实施例中,扫描仪30可在公共网络26中部署之前预先配置,以监听其环回网络接口(例如localhost,127.0.0.1等)上的端口50。扫描仪30可部署在公共网络26中(例如安装在公共网络26中的服务器上),并且耦合到SSH服务器40,使得端口50和52分别耦合到始发端口54和56。例如,端口50和52可分别连接(在物理上或者虚拟地)到始发端口54和56。
一般来说,配置管理器24可配置成通过端口62进行通信,以及扫描控制器22可配置成通过端口64进行通信。在一个示例实施例中,端口64可编号为“3801”,以及端口64可编号为“3803”。专用网络12中的所有配置代理(例如配置代理18)可通过端口号“3801”与配置管理器24进行通信,而专用网络12中的所有扫描引擎(例如扫描引擎16)可通过端口号“3803”与扫描控制器22进行通信。在一个示例实施例中,SSH客户端42上的目的端口58和60可分别耦合(在物理上或者虚拟地)到端口62和64。
从专用网络12中(例如从SSH客户端42),安全隧道36可通过连接44a(例如使用诸如 ssh-R remotehost: 38010 localhost: 3801
remote_host_IP的命令)来创建,使得始发端口54可转发到目的端口58。随后,对端口50的所有通信可传输到始发端口54,从其中它通过连接44b隧穿到目的端口58以及到端口62上。与位于专用网络12中的配置代理(例如配置代理18)不同,配置代理34可配置成通过在localhost的端口50(例如端口号“38010”)而不是在配置管理器的IP地址的端口62(例如端口号“3801”)来轮询配置管理器。例如,配置代理34可通过端口50向配置管理器24自行认证。
在各个实施例中,配置管理器24可配置成认识到配置代理34位于专用网络12外部。配置管理器24可指示配置代理34将扫描引擎32配置成监听在扫描仪30的端口52(例如端口号“38030”)的扫描信息,而不是监听在位于专用网络12中的扫描引擎(例如扫描引擎16)的扫描控制器的IP地址的端口64(例如端口号“3803”)。从专用网络12中(例如从SSH客户端42),安全隧道38可通过连接46a(例如使用诸如 ssh -R remotehost: 38030 localhost: 3803
remote_host_IP的命令)来创建,使得始发端口56可转发到目的端口60。扫描控制器22可通过耦合到目的端口60的端口64(例如端口号“3803”)来发送扫描信息。扫描信息可通过连接46b经由安全隧道38隧穿到始发端口56,从其中它由扫描引擎32通过端口52(例如端口号“38030”)来接收。在端口52上监听的扫描引擎32可获得扫描信息,并且相应地继续扫描资产。
扫描资产可通过安全隧道36和38外部的常规通信信道进行。例如,扫描仪30可通过公共网络26(即,安全隧道外部)执行扫描,以便模拟装置尝试使用公共网络26(例如因特网)来访问专用网络12的某些文件、资产、网络等。扫描结果能够由扫描仪30响应扫描的执行以及报告扫描结果来生成。在扫描之后,扫描引擎32则可通过端口52来传递扫描结果,其通过安全隧道38通过端口64被隧穿到扫描控制器22,以供扫描控制器22例如结合从其它扫描仪,包括***(例如设在专用网络12中)内部的扫描仪(例如扫描仪14)所执行的其它扫描所接收的其它扫描结果进行考虑。
转到图3,图3是示出***10的一个实施例的简化框图。专用网络70可包括多个资产20A-C。扫描仪30可位于云72中,其可设在公共网络中。两个安全隧道74可形成扫描仪30与专用网络70中的扫描控制器和配置管理器(未示出)之间的点对点连接。使用通过安全隧道74所提供的扫描仪配置信息和扫描信息,扫描仪30可扫描专用网络70中的多个资产20A-C。虽然图3中仅示出几个资产,但是可以理解,在本公开的广义范围之内,任何数量的资产可用于***10中。
转到图4,图4是示出***10的另一个实施例的简化框图。(例如两个不同企业的)两个专用网络70A和70B可与云72(其可包括公共网络)中提供的扫描仪30A、30B和30C进行通信。按照一个实施例,扫描仪30A可形成将扫描仪30A与专用网络70A中的扫描控制器和配置管理器(未示出)点对点连接的两个安全隧道74A。类似地,扫描仪30B可形成将扫描仪30B与专用网络70B中的扫描控制器和配置管理器(未示出)点对点连接的两个安全隧道74B。扫描仪30C可形成将扫描仪30C与专用网络70B中的扫描控制器和配置管理器点对点连接的两个安全隧道74C。配置准许各扫描仪30A-C通过唯一端口与相应专用网络中的对应扫描控制器和配置管理器进行通信。因此,各扫描仪30A-C可配置用于对应专用网络70A和70B的每个中。在一个实施例中,扫描仪30A可专门配置用于专用网络70A,而不可与那种配置中的任何其它专用网络一起使用。在另一个实施例中,扫描仪30A可最初配置用于专用网络70A。基于扫描负荷和适当的其它考虑因素,扫描仪30A可重新配置(例如,作为能够被动态提供以采用另一个专用网络(例如70B)的配置来替代一个专用网络(例如70A)的配置的虚拟机)为形成与专用网络70B的两个安全隧道74D。
转到图5,图5是示出***10的又一个实施例的简化框图。扫描仪30A和30B可分别位于不同的云72A和72B中。实现云72A和72B的相应装置和***可在地理上分离;例如,云72A可位于美国,而云72B可位于中国。两组分离隧道74A和74B可在相应扫描仪30A和30B之间关于专用网络70建立。在各个实施例中,可期望从不同地理位置来扫描专用网络70中的资产(例如,以便确定在从一个位置来访问时、与另一位置相比是否存在任何附加脆弱性)。扫描仪30A和30B可用来扫描专用网络70中的资产,例如以便提供从不同地理位置的访问的脆弱性的比较。
转到图6,图6是示出***10的又一个示例实施例的简化框图。扫描引擎服务78可在云72中提供。扫描仪30A-D的集群可通过扫描引擎服务78来管理。多个专用网络70A、70B和70C(例如属于不同企业)可使用扫描引擎服务78。各扫描仪30A、30B、30C或30D可由多个专用网络(例如70A和70B或70A-C等)共享。位于专用网络12中的相应扫描控制器和其它扫描组件可使用扫描引擎服务78所提供的扫描服务,而不是使用(和配置)特定扫描仪。
转到图7,图7是示出可与本公开的实施例关联的操作步骤的简化流程图。操作100在***10被激活时在102开始。在104,扫描仪30可部署在专用网络26中。在106,扫描仪30可配置成在扫描仪30的第一端口(例如端口50)上传递扫描仪配置信息。在各个实施例中,扫描仪30可预先配置(例如在工厂、软件开发站点、在云上开始等)成通过用于扫描仪配置信息的第一端口进行通信。在108,可在公共网络26中标识第一始发端口(例如端口54)和第二始发端口(例如端口56)。在一些实施例中,第一始发端口可与第一端口相同,以及第二始发端口可与第二端口相同。在其它实施例中,第一始发端口和第一端口可以是单个装置上的独立端口;同样,第二始发端口和第二端口可以是单个装置上的独立端口。在又一些实施例中,第一始发端口可位于与第一端口所在的装置分离并且不同的装置上。同样,第二始发端口可位于与第二端口所在的装置分离并且不同的装置上。“标识”包括确定端口所在的装置的IP地址以及端口号。
在110,在扫描仪30的第一端口(例如端口50)耦合到第一始发端口(例如端口54),以及第二端口(例如端口52)耦合到第二始发端口(例如端口56)。在一些实施例中,耦合能够是物理的(例如通过附连导线或者无线连接)或者虚拟的(例如通过适当的命令)。耦合端口能够实现所耦合的端口之间的一对一通信,使得在一个端口的数据跨通信链路直接转换到所耦合的端口,而无需高级通信技术,例如端口转发。
在112,在专用网络12中标识第一目的端口(例如端口58)和第二目的端口(例如端口60)。在114,第一目的端口(例如端口58)耦合到在配置管理器24的第三端口(例如端口62),以及第二目的端口(例如端口60)耦合到在扫描控制器22的第四端口(例如端口64)。在一些实施例中,第一目的端口可与第三端口相同,以及第二目的端口可与第四端口相同。在其它实施例中,第一目的端口和第三端口可以是单个装置上的独立端口;同样,第二目的端口和第四端口可以是单个装置上的独立端口。在又一些实施例中,第一目的端口可位于与第三端口所在的装置分离并且不同的装置上。同样,第二目的端口可位于与第四端口所在的装置分离并且不同的装置上。
在116,从专用网络12中,第一始发端口(例如端口54)可通过第一安全隧道(例如安全隧道36)转发到第一目的端口。因此,在第一始发端口(例如端口54)所接收的所有通信可跨第一安全隧道转发到第一目的端口(例如端口58)。因为第一始发端口(例如端口54)耦合到在扫描仪30的第一端口(例如端口50),并且第一目的端口(例如端口58)耦合到在配置管理器24的第三端口(例如端口62),所以通过第一端口(例如端口50)的所有通信通过第一安全隧道(例如安全隧道36)转发到第三端口(例如端口64)。
在118,扫描仪配置信息可在扫描仪30中的配置管理器24与配置代理34之间通过第一安全隧道来传递。例如,配置代理34可通过端口50(例如localhost: 38010)向配置管理器24自行认证或者轮询配置管理器24。配置管理器24可通过端口62(例如端口号3801)来传递扫描仪配置信息。由配置管理器24通过端口62所提供的扫描仪配置信息通过第一安全隧道(例如安全隧道36)来隧穿,并且由配置代理34获得。在一些实施例中,配置管理器24可认识到扫描仪位于专用网络12外部,并且可指示扫描仪30通过第二端口(例如端口52)来传递扫描信息。
在120,扫描仪30可配置成通过第二端口(例如端口52)来传递扫描信息。在122,从专用网络12中,第二始发端口(例如端口56)可转发到第二目的端口(例如端口60)以创建第二安全隧道(例如安全隧道138)。因此,在第二始发端口(例如端口56)所接收的所有通信可跨第二安全隧道(例如安全隧道30)转发到第二目的端口(例如端口60)。因为第二始发端口(例如端口56)耦合到在扫描仪30的第二端口(例如端口52),并且第二目的端口(例如端口60)耦合到在扫描控制器22的第四端口(例如端口64),所以通过第二端口(例如端口52)的所有通信通过第二安全隧道(例如安全隧道38)转发到第四端口(例如端口64)。
在124,可确定(例如在扫描控制器22)是否可执行对资产的外部扫描。如果选择外部扫描,则扫描控制器22可通过第二安全隧道(例如安全隧道38)将扫描信息传递给位于公共网络26的扫描仪30中的扫描引擎32。扫描仪30可按照扫描控制器22所提供的扫描指令和其它扫描信息来执行资产的外部扫描。扫描引擎32可通过第二安全隧道(例如安全隧道38)将扫描结果和其它扫描信息传递给扫描控制器22。
另一方面,如果选择内部扫描,则扫描控制器22可通过内部网络连接将扫描信息传递给位于专用网络12的扫描仪14中的扫描引擎18。扫描仪14可按照扫描控制器22所提供的扫描指令和其它扫描信息来执行资产的内部扫描。扫描引擎18可通过内部网络连接将扫描结果和其它扫描信息传递给扫描控制器22。操作在130结束。
注意,在本说明书中,提到“一个实施例”、“示例实施例”、“实施例”、“另一个实施例”、“一些实施例”、“各个实施例”、“其它实施例”、“备选实施例”等中包含的各种特征(例如元件、结构、模块、组件、步骤、操作、特性等)旨在表示任何这类特征包含在本公开的一个或多个实施例中,但是可能或者可能不一定组合在相同实施例中。此外,词语“优化”及相关术语是表示所指定结果的速度和/或效率的改进的专门术语,而不是要表示用于实现所指定结果的过程已经实现或者能够实现“最佳”或完全快速/完全有效状态。
如本文中的附图所示的选项仅用于示例目的。将会理解,许多其它选项(其至少一部分在本说明书中详述)可组合或者排除各个附图的选项来提供。用于实现本文所述操作的软件能够在各种位置(例如,公司IT总部、最终用户计算机、云中的分布式服务器等)提供。在一些实施例中,这个软件可从web服务器接收或下载(例如,在对独立网络、装置服务器等购买单独最终用户许可证的上下文中)以便提供这个***。在一个示例实施例中,这个软件驻留在寻求被保护以免于安全性攻击(或者被保护以免于数据的不希望或者未经授权操纵)的一个或多个计算机和/或web主机中。
在各个实施例中,***10的软件可涉及专有元件(例如作为采用McAfee®Vulnerability Manager(MVM)软件、McAfee®
ePolicy Orchestrator(ePO)软件等的网络安全解决方案的一部分),其可能在这些标识的元件中(或附近)提供,或者在任何其它装置、服务器、网络设备、控制台、防火墙、交换机、信息技术(IT)装置分布式服务器等中提供,或者作为补充解决方案来提供或者以其它方式在网络中提供。
在某些示例实施例中,如本文所述的活动可通过软件来实现。这可包括扫描仪30和其它网络元件(例如扫描引擎16)中提供的软件。这些元件和/或模块能够相互协作以便执行如本文所述的与分组的计算机脆弱性相关的活动。在其它实施例中,这些特征可在这些元件的外部提供、包含在其它装置中以实现这些计划的功能性或者按照任何适当方式来合并。例如,与各种元件关联的处理器的一部分可被去除或者以其它方式来合并,使得单个处理器和单个存储器位置负责某些活动。在一般意义上,附图所示的布置在其表示中可以是更加逻辑的,而物理架构可包括这些元件的各种置换、组合和/或混合。
在各个实施例中,这些元件的部分或全部包括软件(或者往复式软件),其能够协调、管理或者协作以便实现如本文概述的操作。这些元件的一个或多个可包括任何适当算法、硬件、软件、组件、模块、接口或者促进其操作的对象。在涉及软件的实施例中,这种配置可包含在一个或多个有形介质(其可包含非暂时介质(例如,提供在专用集成电路(ASIC)中的嵌入式逻辑、数字信号处理器(DSP)指令、将要由处理器或者其它类似机器所运行的软件(潜在地包含对象代码和源代码)等)中编码的逻辑。
在这些实例的一部分中,一个或多个存储器元件(例如存储器元件44)能够存储用于运行本文所述操作的数据。这包括存储器元件,其能够存储被运行以执行本说明书中所述活动的软件、逻辑、代码或处理器指令。处理器能够运行与数据关联的任何类型的指令,以便实现本说明书中详述的操作。在一个示例中,处理器46可将元件或产品(例如数据)从一种状态或方面变换成另一种状态或方面。在另一个示例中,本文所述的活动可采用固定逻辑或者可编程逻辑(例如由处理器所运行的软件/计算机指令)来实现,以及本文所述的元件可能是某种类型的可编程处理器、可编程数字逻辑(例如现场可编程门阵列(FPGA)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM))、包括数字逻辑、软件、代码、电子指令的ASIC、闪速存储器、光盘、CD-ROM、DVD ROM、磁卡或光卡、适合于存储电子指令的其它类型的机器可读介质或者它们的任何适当组合。
***10和***10中的其它关联组件能够包括用于存储如本文所述信息的一个或多个存储器元件(例如存储器元件44)。信息可在适当的情况下并且基于特定需要来保持在任何适当类型的存储器元件(例如,随机存取存储器(RAM)、只读存储器(ROM)、现场可编程门阵列(FPGA)、可擦可编程只读存储器(EPROM)、电可擦可编程ROM(EEPROM)等)、软件、硬件或者任何其它适当组件、装置、元件或对象中。在***10中被跟踪、发送、接收或存储的信息可基于特定需要和实施例而在任何数据库、寄存器、表、高速缓存、队列、控制列表或者存储结构中提供,其全部可在任何适当时帧中引用。本文所述的存储器项的任一个应当被理解为包含在广义术语‘存储器元件’中。类似地,本说明书中所述的潜在处理元件、模块和机器中的任一个应当被理解为包含在广义术语‘处理器’中。计算机的每个还可包括适当接口以用于在网络环境中接收、传送和/或传递数据或信息。
注意,对于本文所提供的许多示例,可在两个、三个、四个或者更多网络元件方面来描述交互。但是,这仅为了清楚起见和举例而进行。应当理解,***能够按照任何适当方式来合并。按照类似设计备选方案,附图的所示计算机、模块、组件和元件的任一个可按照各种可能的配置相组合,其在本说明书的广义范围之内全部是清楚的。在某些情况下,通过仅引用有限数量的网络元件,可以更易于描述给定的流程集合的功能性的一个或多个。应当理解,附图(及对应教导)的***是易于可缩放的,并且能够适应大量组件以及更复杂/尖端的布置和配置。相应地,所提供的示例不应当限制潜在地适用于其它无数架构的***10的范围或者约束其广义教导。
重要的是还要注意,参照前面附图所述的操作仅示出可由***运行或者在***中运行的可能情况的一部分。这些操作的一部分可适当地删除或去除,或者这些步骤可被相当大的修改或改变,而不背离所述概念的范围。另外,这些操作的定时可相当大地改变,并且仍然实现本公开所教导的结果。为了示例和论述目的而提供了前面的操作流程。***提供大量灵活性,因为可提供任何适当布置、时序、配置和定时机制,而不背离所述概念的教导。
Claims (22)
1. 一种方法,包括:
建立配置管理器与扫描仪之间的第一安全隧道以及扫描控制器与所述扫描仪之间的第二安全隧道,其中所述扫描仪位于公共网络中,并且所述配置管理器和所述扫描控制器位于专用网络中;
通过所述第一安全隧道在所述扫描仪与所述配置管理器之间传递扫描仪配置信息;以及
通过所述第二安全隧道在所述扫描仪与所述扫描控制器之间传递扫描信息。
2. 如权利要求1所述的方法,其中,各安全隧道是反向安全外壳(SSH)隧道。
3. 如权利要求1所述的方法,其中,建立所述第一安全隧道和所述第二安全隧道包括:
标识第一始发端口、第二始发端口、第一目的端口和第二目的端口,其中所述第一始发端口和第二始发端口耦合到所述扫描仪,所述第一目的端口耦合到所述配置管理器,并且所述第二目的端口耦合到所述扫描控制器;以及
从所述专用网络中将所述第一始发端口转发到所述第一目的端口以创建所述第一安全隧道,并且将所述第二始发端口转发到所述第二目的端口以创建所述第二安全隧道。
4. 如权利要求3所述的方法,其中,所述扫描仪包括耦合到所述第一始发端口的第一端口以及耦合到所述第二始发端口的第二端口。
5. 如权利要求4所述的方法,还包括:
将所述扫描仪配置成通过所述第二端口传递扫描信息。
6. 如权利要求1所述的方法,其中,所述扫描仪包括:
扫描引擎,配置成基于所述扫描控制器提供的扫描信息来扫描所述专用网络中的一个或多个资产;以及
配置代理,配置成促进基于所述配置管理器提供的扫描仪配置信息来配置所述扫描引擎。
7. 如权利要求6所述的方法,其中,所述扫描仪还包括:SSH服务器。
8. 如权利要求1所述的方法,其中,所述扫描控制器和所述配置管理器与位于所述专用网络中的一个或多个扫描仪进行通信。
9. 如权利要求1所述的方法,其中,所述第一和第二安全隧道是相同隧道。
10. 如权利要求1所述的方法,其中,所述第一安全隧道与所述第二安全隧道不同。
11. 一种设备,包括:
扫描引擎;
配置代理;
第一端口;
第二端口;
存储器元件,配置成存储数据;以及
处理器,可操作以运行与所述数据关联的指令,其中所述设备配置用于:
建立配置管理器与所述配置代理之间的第一安全隧道以及扫描控制器与所述扫描引擎之间的第二安全隧道,其中所述设备位于公共网络中,并且所述配置管理器和所述扫描控制器位于专用网络中;
通过所述第一安全隧道在所述配置代理与所述配置管理器之间传递扫描仪配置信息;以及
通过所述第二安全隧道在所述扫描引擎与所述扫描控制器之间传递扫描信息。
12. 如权利要求11所述的设备,其中,各安全隧道是反向安全外壳(SSH)隧道。
13. 如权利要求11所述的设备,其中,所述扫描引擎配置成基于所述扫描控制器提供的扫描信息来扫描所述专用网络中的一个或多个资产,以及所述配置代理配置成促进基于配置管理器所提供的扫描仪配置信息来配置所述扫描引擎。
14. 如权利要求11所述的设备,其中,建立所述第一安全隧道和所述第二安全隧道包括:
标识第一始发端口、第二始发端口、第一目的端口和第二目的端口,其中所述第一始发端口和第二始发端口耦合到所述设备,所述第一目的端口耦合到所述配置管理器,并且所述第二目的端口耦合到所述扫描控制器;以及
从所述专用网络中将所述第一始发端口转发到所述第一目的端口以创建所述第一安全隧道,并且将所述第二始发端口转发到所述第二目的端口以创建所述第二安全隧道。
15. 如权利要求14所述的设备,其中,所述第一端口耦合到所述第一始发端口,以及所述第二端口耦合到所述第二始发端口。
16. 如权利要求15所述的设备,还配置用于:
通过所述第二端口传递扫描信息。
17. 一种在非暂时介质中编码的逻辑,所述逻辑包括用于执行的代码并且在由处理器运行时可操作以执行包括下列步骤的操作:
建立配置管理器与扫描仪之间的第一安全隧道以及扫描控制器与所述扫描仪之间的第二安全隧道,其中所述扫描仪位于公共网络中,并且所述配置管理器和所述扫描控制器位于专用网络中;
通过所述第一安全隧道在所述扫描仪与所述配置管理器之间传递扫描仪配置信息;以及
通过所述第二安全隧道在所述扫描仪与所述扫描控制器之间传递扫描信息。
18. 如权利要求17所述的逻辑,其中,各安全隧道是反向安全外壳(SSH)隧道。
19. 如权利要求17所述的逻辑,其中,所述扫描仪包括:
扫描引擎,配置成基于所述扫描控制器提供的扫描信息来扫描所述专用网络中的一个或多个资产;以及
配置代理,配置成促进基于所述配置管理器提供的扫描仪配置信息来配置所述扫描引擎。
20. 如权利要求17所述的逻辑,其中,建立所述第一安全隧道和所述第二安全隧道包括:
标识第一始发端口、第二始发端口、第一目的端口和第二目的端口,其中所述第一始发端口和第二始发端口耦合到所述扫描仪,所述第一目的端口耦合到所述配置管理器,并且所述第二目的端口耦合到所述扫描控制器;以及
从所述专用网络中将所述第一始发端口转发到所述第一目的端口以创建所述第一安全隧道,并且将所述第二始发端口转发到所述第二目的端口以创建所述第二安全隧道。
21. 如权利要求20所述的逻辑,其中,所述扫描仪包括耦合到所述第一始发端口的第一端口以及耦合到所述第二始发端口的第二端口。
22. 如权利要求21所述的逻辑,所述操作还包括:
将所述扫描仪配置成通过所述第二端口传递扫描信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/340457 | 2011-12-29 | ||
| US13/340,457 US8595822B2 (en) | 2011-12-29 | 2011-12-29 | System and method for cloud based scanning for computer vulnerabilities in a network environment |
| PCT/US2012/067064 WO2013101386A1 (en) | 2011-12-29 | 2012-11-29 | System and method for cloud based scanning for computer vulnerabilities in a network environment |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104012027A true CN104012027A (zh) | 2014-08-27 |
Family
ID=48696084
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280064801.3A Pending CN104012027A (zh) | 2011-12-29 | 2012-11-29 | 用于网络环境中的计算机脆弱性的基于云的扫描的***和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8595822B2 (zh) |
| EP (1) | EP2798768B1 (zh) |
| CN (1) | CN104012027A (zh) |
| WO (1) | WO2013101386A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106201366A (zh) * | 2014-10-24 | 2016-12-07 | 富士施乐株式会社 | 图像处理装置、***和图像处理方法 |
| CN111988311A (zh) * | 2020-08-18 | 2020-11-24 | 华中科技大学 | 一种公共网络环境下nmap网络扫描攻击行为的检测方法 |
| CN114629678A (zh) * | 2021-12-31 | 2022-06-14 | 绿盟科技集团股份有限公司 | 一种基于tls的内网穿透方法及装置 |
Families Citing this family (67)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9544143B2 (en) * | 2010-03-03 | 2017-01-10 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions |
| US9532222B2 (en) | 2010-03-03 | 2016-12-27 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions after additional agent verification |
| US8510820B2 (en) | 2010-12-02 | 2013-08-13 | Duo Security, Inc. | System and method for embedded authentication |
| US9282085B2 (en) | 2010-12-20 | 2016-03-08 | Duo Security, Inc. | System and method for digital user authentication |
| US9772784B2 (en) | 2011-08-10 | 2017-09-26 | Nutanix, Inc. | Method and system for maintaining consistency for I/O operations on metadata distributed amongst nodes in a ring structure |
| US8892885B2 (en) | 2011-08-31 | 2014-11-18 | Duo Security, Inc. | System and method for delivering a challenge response in an authentication protocol |
| US9467463B2 (en) | 2011-09-02 | 2016-10-11 | Duo Security, Inc. | System and method for assessing vulnerability of a mobile device |
| US8763077B2 (en) | 2011-10-07 | 2014-06-24 | Duo Security, Inc. | System and method for enforcing a policy for an authenticator device |
| US8893230B2 (en) | 2013-02-22 | 2014-11-18 | Duo Security, Inc. | System and method for proxying federated authentication protocols |
| US9607156B2 (en) * | 2013-02-22 | 2017-03-28 | Duo Security, Inc. | System and method for patching a device through exploitation |
| US9443073B2 (en) | 2013-08-08 | 2016-09-13 | Duo Security, Inc. | System and method for verifying status of an authentication device |
| US9338156B2 (en) | 2013-02-22 | 2016-05-10 | Duo Security, Inc. | System and method for integrating two-factor authentication in a device |
| US9053310B2 (en) | 2013-08-08 | 2015-06-09 | Duo Security, Inc. | System and method for verifying status of an authentication device through a biometric profile |
| US9092302B2 (en) | 2013-09-10 | 2015-07-28 | Duo Security, Inc. | System and method for determining component version compatibility across a device ecosystem |
| US9608814B2 (en) | 2013-09-10 | 2017-03-28 | Duo Security, Inc. | System and method for centralized key distribution |
| US9092631B2 (en) * | 2013-10-16 | 2015-07-28 | Battelle Memorial Institute | Computer-implemented security evaluation methods, security evaluation systems, and articles of manufacture |
| US9774448B2 (en) | 2013-10-30 | 2017-09-26 | Duo Security, Inc. | System and methods for opportunistic cryptographic key management on an electronic device |
| US9602344B1 (en) * | 2013-12-30 | 2017-03-21 | Cloudvelox, Inc. | Automated establishment of access to remote services |
| US10924340B1 (en) | 2013-12-30 | 2021-02-16 | Vmware, Inc. | Extending computing capacity via cloud replication |
| US10432658B2 (en) * | 2014-01-17 | 2019-10-01 | Watchguard Technologies, Inc. | Systems and methods for identifying and performing an action in response to identified malicious network traffic |
| US9560081B1 (en) | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
| US9590843B2 (en) | 2014-03-12 | 2017-03-07 | Nutanix, Inc. | Method and system for providing distributed management in a networked virtualization environment |
| US9369432B2 (en) * | 2014-04-15 | 2016-06-14 | Calix, Inc. | System and method for secure network communications |
| US9762590B2 (en) | 2014-04-17 | 2017-09-12 | Duo Security, Inc. | System and method for an integrity focused authentication service |
| WO2015172107A1 (en) * | 2014-05-09 | 2015-11-12 | Nutanix, Inc. | Mechanism for providing external access to a secured networked virtualization environment |
| US9733958B2 (en) | 2014-05-15 | 2017-08-15 | Nutanix, Inc. | Mechanism for performing rolling updates with data unavailability check in a networked virtualization environment for storage management |
| US9740472B1 (en) | 2014-05-15 | 2017-08-22 | Nutanix, Inc. | Mechanism for performing rolling upgrades in a networked virtualization environment |
| JP6102845B2 (ja) * | 2014-07-10 | 2017-03-29 | コニカミノルタ株式会社 | 接続制御システム、管理サーバー、接続支援方法および接続支援プログラム |
| CN104243268B (zh) | 2014-09-19 | 2017-05-10 | 新华三技术有限公司 | Vxlan与隧道的关联方法及装置 |
| US9979719B2 (en) | 2015-01-06 | 2018-05-22 | Duo Security, Inc. | System and method for converting one-time passcodes to app-based authentication |
| US10642507B2 (en) | 2015-01-30 | 2020-05-05 | Nutanix, Inc. | Pulsed leader consensus management |
| US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
| US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
| US9609026B2 (en) * | 2015-03-13 | 2017-03-28 | Varmour Networks, Inc. | Segmented networks that implement scanning |
| US9641341B2 (en) | 2015-03-31 | 2017-05-02 | Duo Security, Inc. | Method for distributed trust authentication |
| WO2016195847A1 (en) | 2015-06-01 | 2016-12-08 | Duo Security, Inc. | Method for enforcing endpoint health standards |
| US20160380900A1 (en) * | 2015-06-26 | 2016-12-29 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for managing traffic received from a client device in a communication network |
| US9774579B2 (en) | 2015-07-27 | 2017-09-26 | Duo Security, Inc. | Method for key rotation |
| US11218418B2 (en) | 2016-05-20 | 2022-01-04 | Nutanix, Inc. | Scalable leadership election in a multi-processing computing environment |
| US9787639B1 (en) | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
| US10530803B1 (en) * | 2016-07-05 | 2020-01-07 | Wells Fargo Bank, N.A. | Secure online transactions |
| GB201611927D0 (en) * | 2016-07-08 | 2016-08-24 | Encriptor Ltd | Network scanning system |
| US10362092B1 (en) | 2016-10-14 | 2019-07-23 | Nutanix, Inc. | Entity management in distributed systems |
| GB201617620D0 (en) * | 2016-10-18 | 2016-11-30 | Cybernetica As | Composite digital signatures |
| US11611632B2 (en) * | 2016-11-03 | 2023-03-21 | Nicira, Inc. | Cloud to on-premise port forwarding with IP address bound to loopback alias |
| US10298605B2 (en) * | 2016-11-16 | 2019-05-21 | Red Hat, Inc. | Multi-tenant cloud security threat detection |
| CN106921528A (zh) * | 2017-05-09 | 2017-07-04 | 深信服科技股份有限公司 | 一种分支设备配置*** |
| US10621357B2 (en) | 2017-08-31 | 2020-04-14 | Microsoft Technology Licensing, Llc | Off node scanning |
| US11093617B2 (en) * | 2017-10-04 | 2021-08-17 | Servicenow, Inc. | Automated vulnerability grouping |
| US10412113B2 (en) | 2017-12-08 | 2019-09-10 | Duo Security, Inc. | Systems and methods for intelligently configuring computer security |
| US10785190B2 (en) * | 2017-12-13 | 2020-09-22 | Adaptiv Networks Inc. | System, apparatus and method for providing a unified firewall manager |
| US10778723B2 (en) * | 2018-03-26 | 2020-09-15 | Forescout Technologies, Inc. | Device visibility and scanning including network segments |
| US11194680B2 (en) | 2018-07-20 | 2021-12-07 | Nutanix, Inc. | Two node clusters recovery on a failure |
| US11770447B2 (en) | 2018-10-31 | 2023-09-26 | Nutanix, Inc. | Managing high-availability file servers |
| US11658962B2 (en) | 2018-12-07 | 2023-05-23 | Cisco Technology, Inc. | Systems and methods of push-based verification of a transaction |
| US11140212B2 (en) * | 2019-01-24 | 2021-10-05 | KLDiscovery Ontrack, LLC | Monitoring and reporting usage of standalone e-discovery machine |
| US11336555B2 (en) * | 2019-12-06 | 2022-05-17 | Jpmorgan Chase Bank, N.A. | Network segmentation effectiveness system and method |
| US11316886B2 (en) | 2020-01-31 | 2022-04-26 | International Business Machines Corporation | Preventing vulnerable configurations in sensor-based devices |
| US11768809B2 (en) | 2020-05-08 | 2023-09-26 | Nutanix, Inc. | Managing incremental snapshots for fast leader node bring-up |
| US11323477B1 (en) * | 2020-06-30 | 2022-05-03 | Amazon Technologies, Inc. | Establishing secure connections to instances in private subnets of a cloud provider network |
| US11995193B1 (en) | 2021-03-04 | 2024-05-28 | Wiz, Inc. | Architecture of a multi-cloud inspector for any compute type |
| US11777907B2 (en) * | 2021-03-24 | 2023-10-03 | International Business Machines Corporation | Computer asset discovery for digital transformation |
| US11811786B1 (en) | 2021-04-02 | 2023-11-07 | Wiz, Inc. | Lateral movement analysis using certificate private keys |
| US11811787B1 (en) * | 2021-04-02 | 2023-11-07 | Wiz, Inc. | System and method for detecting lateral movement using cloud access keys |
| US11799874B1 (en) | 2021-04-02 | 2023-10-24 | Wiz, Inc. | System and method for detecting lateral movement using SSH private keys |
| US12061719B2 (en) | 2022-09-28 | 2024-08-13 | Wiz, Inc. | System and method for agentless detection of sensitive data in computing environments |
| US12061925B1 (en) | 2022-05-26 | 2024-08-13 | Wiz, Inc. | Techniques for inspecting managed workloads deployed in a cloud computing environment |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1592193A (zh) * | 2003-08-26 | 2005-03-09 | 国际商业机器公司 | 用于安全远程访问的***和方法 |
| CN1901472A (zh) * | 2006-07-24 | 2007-01-24 | 北京启明星辰信息技术有限公司 | 一种***管理与脆弱性扫描结合的方法和*** |
| CN101064736A (zh) * | 2006-04-30 | 2007-10-31 | 飞塔信息科技(北京)有限公司 | 一种计算机网络风险评估的装置及其方法 |
| US20080244745A1 (en) * | 2001-01-25 | 2008-10-02 | Solutionary, Inc. | Method and apparatus for verifying the integrity and security of computer networks and implementing counter measures |
| EP2068525A2 (en) * | 2007-11-06 | 2009-06-10 | Airtight Networks, Inc. | Method and system for providing wireless vulnerability management for local area computer networks |
| CN101682626A (zh) * | 2007-05-24 | 2010-03-24 | 爱维技术解决方案私人有限公司 | 用于模拟对网络的黑客攻击的方法和*** |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US8127359B2 (en) | 2003-04-11 | 2012-02-28 | Samir Gurunath Kelekar | Systems and methods for real-time network-based vulnerability assessment |
| US20050097199A1 (en) | 2003-10-10 | 2005-05-05 | Keith Woodard | Method and system for scanning network devices |
| US8281402B2 (en) | 2006-05-16 | 2012-10-02 | Intel Corporation | Network vulnerability assessment of a host platform from an isolated partition in the host platform |
| US8136162B2 (en) | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
| US20090235359A1 (en) | 2008-03-12 | 2009-09-17 | Comodo Ca Limited | Method and system for performing security and vulnerability scans on devices behind a network security device |
| US20110276673A1 (en) * | 2010-05-10 | 2011-11-10 | Canon Kabushiki Kaisha | Virtually extending the functionality of a network device |
-
2011
- 2011-12-29 US US13/340,457 patent/US8595822B2/en active Active
-
2012
- 2012-11-29 CN CN201280064801.3A patent/CN104012027A/zh active Pending
- 2012-11-29 WO PCT/US2012/067064 patent/WO2013101386A1/en active Application Filing
- 2012-11-29 EP EP12863074.6A patent/EP2798768B1/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080244745A1 (en) * | 2001-01-25 | 2008-10-02 | Solutionary, Inc. | Method and apparatus for verifying the integrity and security of computer networks and implementing counter measures |
| CN1592193A (zh) * | 2003-08-26 | 2005-03-09 | 国际商业机器公司 | 用于安全远程访问的***和方法 |
| CN101064736A (zh) * | 2006-04-30 | 2007-10-31 | 飞塔信息科技(北京)有限公司 | 一种计算机网络风险评估的装置及其方法 |
| CN1901472A (zh) * | 2006-07-24 | 2007-01-24 | 北京启明星辰信息技术有限公司 | 一种***管理与脆弱性扫描结合的方法和*** |
| CN101682626A (zh) * | 2007-05-24 | 2010-03-24 | 爱维技术解决方案私人有限公司 | 用于模拟对网络的黑客攻击的方法和*** |
| EP2068525A2 (en) * | 2007-11-06 | 2009-06-10 | Airtight Networks, Inc. | Method and system for providing wireless vulnerability management for local area computer networks |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106201366A (zh) * | 2014-10-24 | 2016-12-07 | 富士施乐株式会社 | 图像处理装置、***和图像处理方法 |
| CN111988311A (zh) * | 2020-08-18 | 2020-11-24 | 华中科技大学 | 一种公共网络环境下nmap网络扫描攻击行为的检测方法 |
| CN111988311B (zh) * | 2020-08-18 | 2021-07-27 | 华中科技大学 | 一种公共网络环境下nmap网络扫描攻击行为的检测方法 |
| CN114629678A (zh) * | 2021-12-31 | 2022-06-14 | 绿盟科技集团股份有限公司 | 一种基于tls的内网穿透方法及装置 |
| CN114629678B (zh) * | 2021-12-31 | 2023-09-19 | 绿盟科技集团股份有限公司 | 一种基于tls的内网穿透方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2798768B1 (en) | 2020-04-15 |
| EP2798768A1 (en) | 2014-11-05 |
| EP2798768A4 (en) | 2015-09-23 |
| WO2013101386A1 (en) | 2013-07-04 |
| US20130174246A1 (en) | 2013-07-04 |
| US8595822B2 (en) | 2013-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104012027A (zh) | 用于网络环境中的计算机脆弱性的基于云的扫描的***和方法 | |
| CN103229185B (zh) | 用于针对恶意软件的本地保护的***和方法 | |
| US9832227B2 (en) | System and method for network level protection against malicious software | |
| EP3161999B1 (en) | Method and system for secure delivery of information to computing environments | |
| US10630726B1 (en) | Cybersecurity threat detection and mitigation system | |
| US9811667B2 (en) | System and method for grouping computer vulnerabilities | |
| CN103999089A (zh) | 用于在网络环境中扫描计算机漏洞的***和方法 | |
| US11030319B2 (en) | Method for automated testing of hardware and software systems | |
| CN103413083A (zh) | 单机安全防护*** | |
| US20060156400A1 (en) | System and method for preventing unauthorized access to computer devices | |
| KR20220125251A (ko) | 네트워크 인프라구조들을 위한 프로그래밍가능 스위칭 디바이스 | |
| Zardari et al. | IoT–assets taxonomy, threats assessment and potential solutions | |
| Mazzolin et al. | A Survey of Contemporary Cyber Security Vulnerabilities and Potential Approaches to Automated Defence | |
| EP3557468B1 (en) | Method for automated testing of hardware and software systems | |
| JP2020129166A (ja) | 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置 | |
| Rimoli et al. | Semi-Automatic PenTest Methodology based on Threat-Model: The IoT Brick Case Study | |
| Gauhar Fatima et al. | A Study on Intrusion Detection | |
| Oliveira | IoT SECURITY ASSESSMENT | |
| Cheoin-Gu | Scenario-based Log Dataset for Combating the Insider Threat | |
| TN et al. | Survey to Understand Data and Information Security Issues and Other Challenges for IoT | |
| Swathika et al. | Cybersecurity Deployment in Smart Grids: Critical Review, Applications, Protection and Challenges | |
| THOMAS et al. | IoT Security: Challenges, Best Practices, and Service Platforms | |
| ULANC et al. | Deliverable D4. 2 | |
| Bahniuk et al. | Threats Detection and Analysis Based on SYSMON Tool | |
| Gabel et al. | Intelligent Transportation Systems Security Control Set Template and Instructions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140827 |
|
| RJ01 | Rejection of invention patent application after publication |