主动暴露验证

主动曝光验证流程1价值。 被动发现被动发现 vs. 主动扫描攻击面管理aev超越了这两步，主动测试您的组织面临的漏洞的可利用性。这包括可以验证给定的漏洞或cve实际上是可以被利用的自动化脚本。虽然这些脚本证明了可利用性，但它们是无害的，不会对您的组织的资产构成风险。无限ERM攻击面管理模块使用第三方开放数据源，例如WHOIS数据和DNS记录，来发现和清点您组织的面向互联网的数字资产。该过程被认为是被动的，因为您的资产没有直接的交互。作为下一步，ASM模块分析您的数字资产，以识别哪些端口是开放的，哪些服务正在运行，以及使用哪些其他软件。有些人认为这是被动发现，因为行为与普通最终用户相似（例如建立TCP连接，发送请求等）。其他人认为这是主动的，因为有与您组织数字资产的直接交互。在我们深入 Active Exposure Validation 功能的细节之前，有必要澄清一些术语——特别是被动发现和主动扫描之间的区别。不与您的数字资产直接交互 仅使用第三方数据源和工具 WHOIS 数据、DNS 记录、Shodan等 查找 DNS 问题、SSL/TLS 证书问题等 主动扫描被动 / 主动主动曝光验证流程2主动曝光验证与域和IP地址的直接交互 TCP握手、HTTP请求等 服务和软件枚举 无恶意活动或利用尝试直接与所有面向互联网的资产交互 开放端口和接口上的登录尝试 对 Web 应用程序进行主动安全测试 测试 CVE 利用性的脚本 无有害攻击技术经过广泛测试的脚本执行AEV扫描的IP地址aev：一种安全、无创的解决方案已中文化的有效载荷aev已经在沙盒环境和生产环境中与真实客户进行了广泛测试，以验证所有激活的测试和脚本都是安全的。迄今为止，还没有发生任何资产因aev而受到负面影响的案例。因为用于运行aev扫描的ip地址不是静态的，它们可能会偶尔改变。请联系您的check point联系人，以获取当前用于进行aev扫描的ip地址列表。主动暴露验证（AEV）扫描是从一组 AWS 云实例进行的。许多主动扫描可以同时进行。一般来说，完成给定环境的 AEV 扫描所需的时间取决于该环境中资产的数量，以及每个 IP 地址上开放端口的数量。扫描通常在所有开放端口上执行，平均每个开放端口需要大约 2-3 分钟（尽管多个扫描可以并行运行）。主动暴露验证（AEV）是一种安全的解决方案，它主动扫描您的数字资产中的可利用问题，而不会危及您的网络、系统、数据和应用的安全性与完整性、可用性。AEV不会现在也不会利用可能具有潜在危害的技术，例如DDoS攻击和模糊测试。aev部署的脚本已消除那些表现出可利用性的有效载荷，而未执行任何恶意行为。没有服务器被攻破，没有数据被泄露，也没有应用程序被修改。 主动曝光验证流程3 第二步步骤1STEP 3步骤 4监控扫描并仔细检查任何警报配置AEV并运行您的首次主动扫描确认您启用AEV的决定通知利益相关者与网络安全同事第一步是确认您要针对您的数字资产运行 Active Exposure Validation 扫描的决定。您必须通过提供书面批准来授权我们启用 AEV。如果您尚未这样做，请联系您的联系人以授权使用 AEV。导航至账户设置→ASM配置→主动曝光验证以启用AEV并选择您希望主动扫描的数字资产。您可以选择“全部”来扫描所有已启用ASM监控的资产，或者可以通过手动将它们添加到“已选择”选项卡中来对其中一部分资产运行AEV。完成后，导航至ASM模块并打开发现管理面板以启动您的首次AEV扫描。AEV 过程需要一些时间，因此扫描启动后警报可能不会立即出现。监控发现结果，并仔细审查任何新产生的警报。AEV 生成两种警报类型：“在公司资产上发现可利用漏洞”和“在公司资产上发现利用”。请注意，运行 AEV 扫描并不保证有发现或警报。如果没有创建新的警报，这意味着没有成功的利用。没有消息就是好消息！我们强烈建议在运行数字资产上的aev扫描之前通知相关方。因为aev会主动尝试利用暴露和漏洞，它有可能产生大量警报。如果soc团队和其他利益相关者在事先没有得到通知，他们可能会认为正在进行网络攻击。在运行你的第一次扫描之前，告诉你的合作伙伴关于aev。 主动曝光验证流程 4 运行新的主动扫描以确保风险缓解第六步步骤 7修复可利用漏洞迭代重复步骤3至6STEP 5默认情况下，AEV 每周扫描一次。如前所述，您也可以从 ASM 模块中的发现管理面板按需运行 AEV 扫描，随心所欲。随着攻击面的演变和扩展，循环执行步骤 3 到 6 很重要。随着新资产被创建、新软件被部署以及新漏洞被发现，您可能会定期在攻击面中发现可利用的暴露点。如果一个AEV扫描成功利用了一个漏洞并生成了警报，该警报将包含用于利用该资产的精确载荷。您可以使用这些信息手动验证发现，并与相关的利益相关者（例如IT管理员或系统管理员）分享，他们可能负责修复。由于该资产是可利用的，因此优先修复并立即降低风险至关重要。一旦修复完成，您可以运行另一次AEV扫描以确保缓解措施有效防止利用。如需此操作，您可以通过导航至账户设置→ ASM配置→主动暴露验证，手动将涉事资产添加至“已选择”标签页，点击“应用”按钮，并从发现管理面板（位于ASM模块内）启动AEV扫描。扫描完成后，您可以重新配置AEV在所有资产上运行。AEV通过查找可被成功利用的CVEs和其他漏洞，帮助您优先处理并缓解组织中最关键的风险。随着已知CVE数量的持续激增，许多组织在分析、优先级排序和修复漏洞方面感到不堪重负。漏洞和补丁管理程序通常缺乏真正理解某个特定漏洞为其组织引入的风险水平的所需智能。 主动曝光验证流程 5 A：不。研究表明，只有一小部分，在4%到6%的范围内，的CVE是Q：AEV 会尝试利用每一个已知的 CVE 吗？Q：我能选择哪些资产进行主动扫描，哪些不扫描吗？A：是的，您可以完全控制AEV应用于哪些资产。您可以配置主动曝光验证常见问题解答Q：AEV是否试图利用我所有的数字资产？主动曝光验证流程 6Q：主动扫描对我的系统和应用可用性构成风险吗？A：是的。由于CVE通常只分配给被许多组织广泛使用的主要软件产品，它们代表了威胁行为者可以利用以获取未经授权访问您网络、系统和数据的可利用漏洞的一个小部分。AEV还会测试配置错误、敏感数据暴露、暴露的密钥/密码、未经身份验证的API、远程代码执行等问题。A：不一定。AEV基于大量利用模板数组工作，并将它们应用于相关漏洞。如果一个数字资产经过彻底的安全防护和加固，可能没有任何漏洞可供测试，因此不会进行任何利用尝试。A:不。AEV是一种安全的解决方案，它使用受控技术来验证安全漏洞，而无需修改您的系统或影响业务连续性。它不会更改资产配置，也不会中断正常运行或造成计划外停机。从未在野外被利用过。由于很少有CVE公开提供利用代码，而AEV依赖于一套可以完全自动化的利用模板，因此并非所有存在的CVE都被测试过可利用性。目前，AEV测试了近3000个不同的CVE，额外的模板正在不断被纳入范围。通过导航至账户设置→ASM配置→主动暴露验证，可以查看哪些资产被主动扫描。如果您将资产添加到“已选择”选项卡中，那么只有这些资产将被主动扫描。如果您想扫描所有启用了ASM监控的数字资产，也可以选择“全部”。请确保点击“应用”按钮以保存您的配置更改。Q：AEV是否试图利用没有分配CVE编号的安全问题？ Q：我需要将所有AEV IP地址添加到我的“允许列表”或“白名单”吗？Q：AEV扫描多久执行一次？Q：一次主动扫描需要多长时间？主动曝光验证流程7Q：我该如何知道某个资产是否已被AEV扫描且没有发现任何问题？A：默认情况下，AEV 扫描每周进行一次。您也可以随时按需启动 AEV 扫描。为此，请导航到ASM 模块，打开发现管理面板，并点击主动暴露验证播放按钮。A：AEV 除利用 CVE 外，还试图利用其他类型的漏洞（配置错误、默认凭证、跨站脚本和其他）。如果这些其他检查发现了一个严重且可利用的安全问题，则会触发一个名为“在资产上发现漏洞”的警报。所有其他发现，包括未触发警报的低严重性发现，都可以在 Excel 文件中查看，该文件可以从攻击面管理模块中下载。产品团队计划尽快在该产品中提供这些数据。A：我们建议通知您的SOC团队，并与他们共享AEV IP地址列表，但不要将它们添加到允许列表中。由AEV扫描产生的任何警报都不需要被视为对您资产的真正利用尝试或攻击，但至少您会知道有此类恶意活动被检测到。话虽如此，如果您愿意，当然可以将AEV IP地址添加到您的允许列表中。A：这取决于您外部攻击面中的资产数量，以及每个资产的具体条件，例如开放端口的数量、使用中的技术数量等。通常，在特定资产上运行AEV，每个端口需要2到3分钟。AEV可以并行在多个资产上运行。在大多数情况下，AEV扫描在2小时内完成。 主动曝光验证流程7欲了解更多信息，请访问：https://cyberint.com / checkpoint.com/erm伊万斯·杜瓦尔，网络安全工程师，泰雷克斯作为行业领导者 受到权威分析师的认可本杰明·巴赫曼，集团信息安全负责人，斯特罗尔肯·李，Webull Technologies信息技术风险与治理经理©2025CheckPoint软件技术有限公司。所有权利保留。赛博智能，现已成为奇虎科技旗下公司，通过帮助组织在网络安全威胁造成不利影响之前进行检测和缓解，从而降低风险。奇虎科技外部风险管理解决方案通过持续发现不断变化的攻击面，结合自动收集和分析来自开放、深层和暗网的海量情报，提供卓越的可见性。一支全球顶尖的军事级网络安全专家团队与客户并肩工作，以快速检测、调查和破坏相关威胁——在它们有机会发展成重大事件之前。全球客户，包括各行各业的财富500强领导者，都依赖奇虎科技应对各种外部风险，包括漏洞。外部风险管理，以保护自己免受配置错误、网络钓鱼、身份冒充攻击、恶意软件感染、凭证泄露、数据泄露、欺诈和第三方风险的影响。由于我们是一个小团队，Check Point分析员就像是我们的一体延伸，这在风险管理方面真的很有帮助。一种可扩展的方式。我们的解决方案是使用 Check Point 来帮助我们自动检测和清除这些威胁。我们意识到 Check Point 不仅仅是一个 EASM 解决方案，它通过从深网和暗网获取高度相关的情报，提供了巨大的价值。 安排演示关于网络情报