AWS发布网络扫描行为规范,助力提升全网安全态势

亚马逊云科技(AWS)正式推出了针对客户工作负载进行网络扫描的行为准则。这些指南旨在帮助善意扫描者获取更准确数据、减少误报,并共同提升整个互联网的安全性。本文详述了规范涵盖的观察性、可识别性、协作性与保密性四大核心原则。

Amazon Web Services (AWS) 正在推出针对客户工作负载进行网络扫描的指导准则。遵循这些准则的扫描工具将能收集更准确的数据,减少滥用报告,并有助于提升整个互联网的安全性。

网络扫描是现代IT环境中的一项实践,既可用于合法的安全需求,也可能被滥用于恶意活动。在合法方面,组织进行网络扫描是为了维护其资产的准确清单、验证安全配置、识别需要注意的潜在漏洞或过时的软件版本。安全团队、系统管理员和授权的第三方安全研究人员将扫描作为其标准工具包的一部分,用于收集安全态势数据。然而,扫描也由威胁行为者执行,他们试图枚举系统、发现弱点或收集攻击情报。区分合法的扫描活动和潜在有害的侦察活动是安全运营面临的持续挑战。

当通过扫描特定系统发现软件漏洞时,扫描工具是否出于善意就显得尤为重要。如果软件漏洞被威胁行为者发现并攻击,则可能导致对组织IT系统的未经授权访问。组织必须有效管理其软件漏洞,以防范勒索软件、数据窃取、运营问题和监管处罚。与此同时,已知漏洞的规模正在迅速增长,根据NIST国家漏洞数据库的报告,过去10年每年增长21%。

鉴于这些因素,网络扫描工具需要谨慎地进行扫描和管理所收集的安全数据。有多方对安全数据感兴趣,并且每个群体使用数据的方式不同。如果安全数据被威胁行为者发现和滥用,那么系统被攻破、勒索软件和拒绝服务攻击可能会给系统所有者造成中断和损失。随着数据中心和连接软件工作负载在为能源、制造、医疗保健、政府、教育、金融和交通等关键部门提供服务的规模呈指数级增长,安全数据落入错误之手可能产生重大的现实世界后果。

多方参与者

多方参与者对安全数据有既得利益,至少包括以下群体:

  • 组织希望了解其资产清单并快速修补漏洞以保护其资产。
  • 项目审计员希望获得证据,证明组织具备健全的控制措施来管理其基础设施。
  • 网络安全保险提供商希望对组织的安全态势进行风险评估。
  • 进行尽职调查的投资者希望了解组织的网络风险概况。
  • 安全研究人员希望识别风险并通知组织采取行动。
  • 威胁行为者希望利用未修补的漏洞和弱点进行未经授权的访问。

安全数据的敏感性创造了一个利益竞争的复杂生态系统,组织必须为不同的参与者维持不同级别的数据访问权限。

准则制定的动机

我们既描述了网络扫描的合法和恶意用途,也描述了对其结果数据感兴趣的不同方。我们推出这些准则是因为我们需要保护我们的网络和客户;而区分这些不同的参与者是具有挑战性的。目前互联网上没有用于识别网络扫描工具的单一标准。因此,系统所有者和防御者通常不知道谁在扫描他们的系统。每个系统所有者独立负责管理对这些不同方的识别。网络扫描工具可能使用独特的方法来标识自己,例如反向DNS、自定义用户代理或专用网络范围。对于恶意行为者,他们可能试图完全逃避标识。这种程度的身份差异使得系统所有者难以判断执行网络扫描方的动机。

为了应对这一挑战,我们推出了网络扫描的行为准则。AWS旨在为每位客户提供网络安全;我们的目标是筛查出不符合这些准则的滥用扫描行为。大规模进行网络扫描的各方可以遵循这些准则,以从AWS IP空间获得更可靠的数据。在AWS上运行的组织在其风险管理方面将获得更高程度的保证。

当网络扫描按照这些准则进行管理时,它有助于系统所有者加强其防御能力并提高其整个数字生态系统的可见性。例如,Amazon Inspector可以在遵循这些准则的同时检测软件漏洞并确定修复工作的优先级。同样,AWS Marketplace中的合作伙伴使用这些准则来收集互联网范围的信号,帮助组织理解和管理网络风险。

“当组织对其自身及第三方的安全态势拥有清晰、数据驱动的可见性时,他们就能做出更快、更明智的决策,以降低整个生态系统的网络风险。” – Dave Casion,Bitsight 首席技术官

当然,安全需要共同努力,因此AWS客户可以通过我们的信任与安全中心,将滥用扫描报告为网络活动 > 端口扫描和入侵尝试类型。每份报告都有助于加强对恶意使用安全数据的集体防护。

行为准则

为了帮助确保合法的网络扫描工具能够清晰地将自己与威胁行为者区分开来,AWS针对扫描客户工作负载提供以下指导。这些关于网络扫描的指导是对渗透测试和漏洞报告政策的补充。AWS保留限制或阻止似乎不符合这些准则的流量的权利。合规的扫描工具遵循以下实践:

  • 观察性

    • 不执行尝试在发现的端点上创建、修改或删除资源或数据的任何操作。
    • 尊重目标系统的完整性。扫描不会导致系统功能降级,也不会导致系统配置更改。
    • 非突变性扫描的示例包括:
      • 发起并完成TCP握手
      • 从SSH服务检索横幅

  • 可识别性

    • 通过发布扫描活动的来源来提供透明度。
    • 实施可验证的过程来确认扫描活动的真实性。
    • 可识别扫描的示例包括:
      • 支持对扫描IP进行反向DNS查找,指向您组织的公共DNS区域之一。
      • 发布扫描IP范围,并按请求类型(例如服务存在性、漏洞检查)组织。
      • 如果进行HTTP扫描,则在用户代理字符串中包含有意义的内容(例如来自公共DNS区域的名称、退出扫描的URL)。

  • 协作性

    • 限制扫描速率以尽量减少对目标系统的影响。
    • 为经过验证的资源所有者提供退出机制,以请求停止扫描活动。
    • 在合理的响应时间内尊重退出请求。
    • 协作性扫描的示例包括:
      • 将扫描限制为每秒每个目标服务一次服务事务。
      • 遵守在robots.txtsecurity.txt以及表达网站所有者意图的其他此类行业标准中指定的网站设置。

  • 保密性

    • 保持符合SOC2等行业标准认证所体现的安全基础设施和数据处理实践。
    • 确保没有未经身份验证或未经授权的访问扫描收集的数据。
    • 实施用户标识和验证流程。

下一步计划

随着更多网络扫描工具遵循这一指导,系统所有者将受益于其机密性、完整性和可用性风险的降低。合法的网络扫描工具将发出其意图的明确信号,并提高其可见性质量。随着网络状态的不断变化,我们预计这一指导将随着时间的推移与技术控制措施一起发展。我们期待来自客户、系统所有者、网络扫描工具和其他各方的意见,以持续改进AWS及整个互联网的安全态势。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次