基于代理和基于网络的内部漏洞扫描的区别

多年来，两种最流行的内部扫描方法：基于代理的和基于网络的被认为价值大致相等，每种方法都有自己的优势。然而，随着远程工作现在成为大多数工作场所（如果不是所有工作场所的话）的常态，感觉更像是必须进行基于代理的扫描，而基于网络的扫描是可选的额外功能。

这篇文章将深入讨论每种方法的优缺点，但对于那些不确定为什么要首先进行内部扫描的人，让我们先回顾一下。

为什么要执行内部漏洞扫描？

虽然外部漏洞扫描可以很好地概括黑客眼中的你，但在不访问系统的情况下收集到的信息可能会受到限制。在这一阶段可以发现一些严重的漏洞，因此许多组织都必须这样做，但这并不是黑客可以阻止的。

网络钓鱼、有针对性的恶意软件和水坑攻击等技术都会增加风险，即使您的外部系统是安全的，您仍可能受到网络犯罪的危害。此外，从黑匣子的角度来看，一个面向外部的系统可能具有严重的漏洞，通过对正在运行的系统和软件进行更深入的检查可以发现这些漏洞。

这是内部漏洞扫描填补的空白。像保护外部一样保护内部提供了第二层防御，使您的组织对违规行为具有更大的弹性。因此，它也被视为许多组织的必备工具。

不过，如果您正在阅读本文，您可能已经意识到内部扫描可以带来的价值，但您不确定哪种类型适合您的业务。本指南将帮助您进行搜索。

不同类型的内部扫描仪

通常，在识别和修复内部网络上的漏洞时，有两种相互竞争（但并非相互排斥）的方法：基于网络的内部漏洞扫描和基于代理的内部漏洞扫描。让我们逐一检查一下。

解释了基于网络的扫描

基于网络的内部漏洞扫描是一种更为传统的方法，在位于基础设施（或最近在内部云中的虚拟机）上的称为扫描“设备”的盒子上运行内部网络扫描。

解释了基于代理的扫描

基于代理的内部漏洞扫描被认为是更现代的方法，即在向中央服务器报告的设备上运行“代理”。

虽然“经过身份验证的扫描”允许基于网络的扫描收集与基于代理的扫描类似级别的信息，但每种方法都有其优缺点。

如果执行得不好，可能会在未来几年里带来麻烦。因此，对于希望首次实施内部漏洞扫描的组织来说，这里有一些有用的见解。

哪种内部扫描仪更适合您的业务？

新闻报道

这几乎不言而喻，但代理不可能安装在所有设备上。

打印机等设备；路由器和交换机；而您网络上可能拥有的任何其他专用硬件，如HP Integrated Lights Out，这是许多管理自己服务器的大型组织所共有的，可能没有代理支持的操作系统。但是，它们将具有IP地址，这意味着您可以通过基于网络的扫描仪扫描它们。

不过，这是一把伪装的双刃剑。是的，您正在扫描所有内容，这听起来很好。但是这些额外的结果对您的违约预防工作有多大价值呢？这些打印机和HP iLO设备可能很少有漏洞，只有其中一些可能很严重。它们可能会帮助已经在您的网络中的攻击者，但它们是否会帮助攻击者首先闯入您的网络？可能不会。

同时，通过额外的SSL密码警告、自签名证书以及将它们包含到整个过程中所带来的额外管理开销等方式添加到结果中的噪音是否值得？

显然，随着时间的推移，理想的答案是肯定的，您可能希望扫描这些资产；纵深防御是网络安全的核心概念。但是，安全也从来不是完美的场景。一些组织的资源与其他组织不同，必须根据团队规模和可用预算做出有效决策。试图从什么都不扫描到什么都扫描很容易让第一次尝试实施内部扫描的安全团队不知所措，更不用说负责修复工作的工程部门了。

总的来说，考虑一下扫描所有内容的好处与它可能需要的工作量，来决定它是否适合您的组织，或者更重要的是，此时是否适合您的组织，这是有意义的。

从另一个角度来看，是的，基于网络的扫描可以扫描网络上的所有内容，但网络上没有的内容呢？

一些公司的笔记本电脑分发出去后很少再回到办公室，尤其是在现场销售或咨询业务繁忙的组织中。或者，对于那些远程工作是常态而非例外的公司来说，情况如何？如果它不在网络上，基于网络的扫描将看不到它，但通过基于代理的漏洞扫描，您可以将资产包括在监控中，即使资产在异地。

因此，如果您没有使用基于代理的扫描，那么很可能是在给攻击者一个进入公司网络所需的薄弱环节：一台未修补的笔记本电脑，它可能浏览恶意网站或打开恶意附件。对于攻击者来说，肯定比运行带有弱SSL密码的服务的打印机更有用。

赢家：基于代理的扫描，因为它将允许您更广泛的覆盖范围，并包括网络以外的资产–；在世界适应办公和远程工作的混合环境时。

如果您正在寻找基于代理的扫描仪进行尝试，入侵者将使用一个业界领先的扫描引擎，世界各地的银行和政府都在使用该引擎。有超过67000个本地检查可用于历史漏洞，并定期添加新的漏洞，您可以对其覆盖范围充满信心。你可以通过访问入侵者的网站，免费试用入侵者的内部漏洞扫描器。

归属

在固定IP网络（如内部服务器或面向外部的环境）上，确定在何处对特定IP地址上的漏洞进行修复相对简单。

在动态分配IP地址的环境中（通常，最终用户环境是这样配置的，以支持笔记本电脑、台式机和其他设备），这可能会成为一个问题。这也会导致月度报告之间的不一致，并使得难以跟踪补救过程中的指标。

报告是大多数漏洞管理计划的关键组成部分，高级利益相关者希望您证明漏洞得到了有效管理。

Imagine taking a report to your CISO, or IT Director, showing that you have an asset intermittently appearing on your network with a critical weakness. One month it's there, the next it's gone, then it's back again…

在这样的动态环境中，使用每个单独绑定到单个资产的代理，可以更简单地测量、跟踪和报告有效的补救活动，而无需改变你的立场。

赢家：基于代理的扫描，因为它将允许对您的补救工作进行更有效的测量和报告。

发现

取决于您的环境有多古老或广泛，或者新收购带来了什么，您对网络中实际内容的可见性可能非常好，也可能非常差。

基于网络的漏洞扫描的一个关键优势是，您可以发现您不知道自己拥有的资产。不可忽视的是，资产管理是有效漏洞管理的先导。如果你不知道你有它，你就无法保护它！

不过，与围绕覆盖率的讨论类似，如果您愿意发现网络上的资产，您还必须愿意投入资源来调查这些资产是什么，并追踪其所有者。这可能导致所有权问题，没有人愿意对资产承担责任，并且需要安保团队进行大量后续活动。这又一次归结为优先事项。是的，这需要做，但扫描是最简单的一点；你需要问问自己，你是否也为后续行动做好了准备。

赢家：基于网络的扫描，但前提是你有时间和资源来管理被发现的内容！

部署

根据您的环境，正确验证的基于网络的扫描的实施和持续管理的工作量将大于基于代理的扫描。然而，这在很大程度上取决于您有多少操作系统，以及您的网络体系结构有多复杂。

简单的Windows网络允许通过组策略安装轻松推出代理。同样，一个管理良好的服务器环境也不应该带来太大的挑战。

在管理着各种各样的操作系统的情况下，安装代理会遇到困难，因为这将需要一个精心定制的推出过程。还需要考虑对资源调配过程的修改，以确保在部署新资产时使用已安装的代理，或在联机后快速安装。Puppet、Chef和Ansible等现代服务器编排技术在这方面确实有帮助。

另一方面，部署基于网络的设备需要分析网络可见性，即从网络中的“这个”位置，我们是否可以“看到”网络中的所有其他内容，以便扫描仪可以扫描所有内容？

这听起来很简单，但与技术中的许多事情一样，在实践中往往比纸面上更难，尤其是在处理遗留网络或合并活动产生的网络时。例如，大量VLAN将相当于扫描器上的大量配置工作。

因此，设计基于网络的扫描体系结构依赖于准确的网络文档和理解，这通常是一个挑战，即使对于资源充足的组织来说也是如此。有时，预先理解的错误可能导致实现与实际情况不匹配，需要后续的“补丁”和添加更多的设备。最终的结果往往是，尽管最初的估计看起来简单且成本效益高，但维护拼凑的工作同样困难。

胜利者：这取决于您的环境和基础架构团队的可用性。

维修

由于上一节中介绍的情况，实际考虑通常意味着您最终会在网络上的各种物理或逻辑位置使用多个扫描仪。这意味着，当配置新资产或更改网络时，您必须决定由哪个扫描仪负责并更改该扫描仪。这会给原本繁忙的安全团队带来额外负担。根据经验法则，应该避免复杂性，如果不必要的话。

有时，出于同样的原因，设备需要放置在物理维护很麻烦的地方。这可以是数据中心或本地办公室或分支机构。扫描仪今天没有响应？突然，SecOps团队开始为那些不得不卷起袖子访问数据中心的人寻找救命稻草。

此外，随着任何新VLAN的推出，或者防火墙和路由的更改改变了网络的布局，扫描设备需要与所做的任何更改保持同步。

赢家：基于代理的扫描仪在安装后更易于维护。

并发性和可扩展性

虽然在你的网络上插一个盒子，从一个中心点运行一切的概念听起来很简单，但如果你有幸拥有这样一个简单的网络（很多人都没有），那么围绕这个网络的规模，还有一些非常实际的做法需要考虑。

以最近的Log4shell漏洞为例，该漏洞影响了Log4j—全球数百万台计算机使用的日志工具。面对如此广泛的曝光，可以肯定地说，几乎每个安全团队都面临着一场争夺战，以确定他们是否受到了影响。

即使有一个集中式扫描设备的理想场景，但现实情况是这个盒子无法同时扫描大量机器。它可能会运行多个线程，但实际上，处理能力和网络级别的限制意味着您可能需要等待数小时才能返回完整的图片（或者，在某些情况下，需要更长的时间）。

另一方面，基于代理的漏洞扫描将负载分散到各个机器上，这意味着网络上的瓶颈更少，并且可以更快地获得结果。

还有一个现实是，通过同时扫描网络上的所有资产，您的网络基础设施可能会瘫痪。出于这个原因，一些网络工程团队将扫描窗口限制在笔记本电脑在家且台式电脑关闭的下班时间。测试环境甚至可能会断电以节省资源。

一旦新的漏洞被释放，入侵者就会自动扫描您的内部系统，使您能够快速有效地发现并消除最暴露系统中的安全漏洞。

胜利者：基于代理的扫描可以克服事先并不总是很明显的常见问题，而仅仅依靠网络扫描可能会导致覆盖率上的巨大差距。

总结

随着任何新系统或新方法的采用，在进行下一个挑战之前，以增量方式做事并正确掌握基本知识是值得的。这是英国网络安全方面的领先权威国家网络安全委员会（NCSC）的观点，因为它经常发布关于正确掌握基本知识的指导。

这是因为，从广义上讲，有效实施20%的基本防御将阻止80%的攻击者。相比之下，推进到80%的可用防御措施，但实施得很糟糕，这可能意味着你很难摆脱近年来我们看到太多的经典卧室里的孩子场景。

对于那些正在进行信息安全之旅、希望推出漏洞扫描解决方案的组织，以下是一些进一步的建议：

步骤1—；确保使用连续主动的方法对周界扫描进行排序。您的周界全天候暴露在互联网上，因此没有任何借口让组织无法快速响应此处的关键漏洞。

步骤2—；接下来，关注您的用户环境。进入您网络的第二个最琐碎的途径是感染用户工作站的网络钓鱼电子邮件或驾车下载，因为这不需要物理访问您的任何位置。随着远程工作成为新常态，您需要能够监视所有笔记本电脑和设备，无论它们在哪里。从上面的讨论中，很明显代理在这个部门占上风。

步骤3—；

希望这篇文章能让我们了解到什么决不是一个微不足道的决定，它会给那些实施不当的组织带来持久的痛点。正反两面都有，一如往常，没有一刀切的办法，还有很多兔子洞需要避免。但是，通过考虑上述场景，您应该能够感觉到什么适合您的组织。