AWS推出网络扫描新指南:提升安全扫描透明度与协作性

亚马逊云科技发布网络扫描行为指南,旨在帮助合法扫描者获取更准确数据,减少滥用报告,并通过明确的可观察、可识别、协作与保密原则,区分善意扫描与恶意活动。

AWS推出网络扫描新指南

亚马逊云科技正在推出针对客户工作负载进行网络扫描的指南。遵循这些指南,合规的扫描工具将能收集更准确的数据,最大限度地减少滥用报告,并有助于提升整个互联网的安全性。

网络扫描是现代IT环境中的一种实践,既可用于合法的安全需求,也可被滥用于恶意活动。在合法层面,组织进行网络扫描以维护其资产的准确清单,验证安全配置,并识别需要关注的潜在漏洞或过时软件版本。安全团队、系统管理员和授权的第三方安全研究人员将扫描作为收集安全态势数据的标准工具。然而,威胁行为者也进行扫描,试图枚举系统、发现弱点或收集攻击情报。区分合法的扫描活动和潜在有害的侦察,是安全运营持续面临的挑战。

当通过扫描特定系统发现软件漏洞时,扫描工具的意图是否良好尤为重要。如果软件漏洞被威胁行为者发现并攻击,则可能导致未经授权访问组织的IT系统。组织必须有效管理其软件漏洞,以保护自己免受勒索软件、数据盗窃、运营问题和监管处罚的侵害。与此同时,已知漏洞的数量正在快速增长,根据美国国家标准与技术研究院国家漏洞数据库的报告,过去10年的年增长率为21%。

考虑到这些因素,网络扫描工具需要谨慎地扫描和管理收集到的安全数据。有多方对安全数据感兴趣,每个群体使用数据的方式也不同。如果安全数据被威胁行为者发现并滥用,那么系统入侵、勒索软件和拒绝服务攻击可能会给系统所有者造成破坏和损失。随着数据中心和提供能源、制造、医疗、政府、教育、金融和交通等关键服务的互联软件工作负载呈指数级增长,安全数据落入错误之手可能会产生重大的现实影响。

多方参与

多个相关方对安全数据有既得利益,至少包括以下群体:

  • 组织希望了解其资产清单并快速修补漏洞以保护其资产。
  • 项目审计员希望获得证据,证明组织拥有健全的控制措施来管理其基础设施。
  • 网络保险提供商希望对组织的安全态势进行风险评估。
  • 进行尽职调查的投资者希望了解组织的网络风险状况。
  • 安全研究人员希望识别风险并通知组织采取行动。
  • 威胁行为者希望利用未修补的漏洞和弱点进行未经授权的访问。

安全数据的敏感性创造了一个利益竞争的复杂生态系统,组织必须为不同相关方维持不同级别的数据访问权限。

指南的动机

我们描述了网络扫描的合法和恶意用途,以及对结果数据感兴趣的不同相关方。我们推出这些指南是因为我们需要保护我们的网络和客户;而区分这些相关方具有挑战性。互联网上并没有识别网络扫描工具的单一标准。因此,系统所有者和防御者通常不知道是谁在扫描他们的系统。每个系统所有者都独立负责管理这些不同相关方的识别。网络扫描工具可能使用独特的方法来标识自己,例如反向DNS、自定义用户代理或专用网络范围。对于恶意行为者,他们可能试图完全逃避识别。这种身份差异程度使得系统所有者难以了解执行网络扫描方的动机。

为了应对这一挑战,我们推出了网络扫描行为指南。AWS致力于为每位客户提供网络安全;我们的目标是筛选出不符合这些指南的滥用扫描。进行广泛网络扫描的相关方可以遵循这些指南,以便从AWS IP空间获得更可靠的数据。在AWS上运行的组织在其风险管理方面获得更高程度的保证。

当网络扫描根据这些指南进行管理时,它有助于系统所有者加强防御,并提高其数字生态系统的可见性。例如,Amazon Inspector可以检测软件漏洞并确定修复工作的优先级,同时符合这些指南。同样,AWS Marketplace中的合作伙伴使用这些指南来收集互联网范围的信号,并帮助组织理解和管理网络风险。

“当组织对其自身及其第三方的安全态势有清晰、数据驱动的可见性时,他们可以做出更快、更明智的决策,以降低整个生态系统的网络风险。” – Bitsight首席技术官 Dave Casion

当然,安全需要协作才能更好,因此AWS客户可以向我们的信任与安全中心报告滥用扫描,类型为“网络活动 > 端口扫描和入侵尝试”。每份报告都有助于加强对恶意使用安全数据的集体防护。

指南内容

为了帮助合法的网络扫描工具能清楚地将自己与威胁行为者区分开来,AWS针对扫描客户工作负载提供以下指导。此网络扫描指南是对渗透测试和漏洞报告政策的补充。AWS保留限制或阻止看似不符合这些指南的流量的权利。合规的扫描工具应遵循以下实践:

可观察性

  • 不执行任何试图在发现的端点上创建、修改或删除资源或数据的操作。
  • 尊重目标系统的完整性。扫描不会导致系统功能降级,也不会导致系统配置更改。
  • 非变更性扫描的示例包括:
    • 发起并完成TCP握手
    • 从SSH服务检索横幅信息

可识别性

  • 通过发布扫描活动来源来提供透明度。
  • 实施可验证的流程以确认扫描活动的真实性。
  • 可识别扫描的示例包括:
    • 支持对扫描IP进行反向DNS查找,指向您组织的公共DNS区域之一。
    • 发布扫描IP范围,按请求类型(例如服务存在性检查、漏洞检查)组织。
    • 如果进行HTTP扫描,用户代理字符串中应包含有意义的内容(例如来自您的公共DNS区域的名称、选择退出URL)。

协作性

  • 限制扫描速率,以尽量减少对目标系统的影响。
  • 为经验证的资源所有者提供选择退出机制,以请求停止扫描活动。
  • 在合理的响应时间内遵从选择退出请求。
  • 协作性扫描的示例包括:
    • 将扫描限制为每个目标服务每秒一次服务事务。
    • 遵从robots.txt、security.txt以及表达站点所有者意图的其他此类行业标准中声明的站点设置。

保密性

  • 按照SOC2等行业标准认证所体现的那样,维护安全的基础设施和数据处理实践。
  • 确保收集的扫描数据不会被未经身份验证或未经授权的人员访问。
  • 实施用户识别和验证流程。

查看AWS上的完整指南。

下一步计划

随着更多网络扫描工具遵循此指南,系统所有者将受益于其机密性、完整性和可用性风险的降低。合法的网络扫描工具将发出清晰的善意信号,并提高其可见性质量。随着网络状态的不断变化,我们预计该指南将随着时间的推移与技术控制一起发展。我们期待来自客户、系统所有者、网络扫描工具及其他相关方的意见,以持续改善AWS及整个互联网的安全态势。

如果您对此文章有任何反馈,请在下方评论区提交评论或联系AWS支持。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次