漏洞掃描流程概述
漏洞掃描通常作為幫助組織識別其網路和計算設各漏洞的眾多手段之一實施。掃描結果能夠幫助管理者就他們的網路及其上連線設各的安全性做出有根據的決定。漏洞掃描的規模可大可小,取決於所需評估的資產和系統。
雖然有許多工具可以深入探察系統漏洞,但並非所有的掃描工具都具有相同的特性集。每個掃描工具都可能包含(也可能不包含)其他工具能夠評估的漏洞列表。因此,組織應該蓮慎地選擇所希望使用的掃描器,並規定對任何其他漏洞掃描器的使用都必須事前進行論證和批淮。
任何掃描工具都應該能夠從一箇中心位置評估資訊系統,並能提供修復建議。它還必須能夠根據漏洞對受害單元的相對影響對每個發現的漏洞設定其嚴重性值。
對現有裝置進行定期評估
理想的情況下,應要求每個部門都按照規範的時間表對其聯岡的計算裝置進行評估。
每個部門至少應該依照規定的時間表(例如每月或每季度)執行完全認證的掃描。掃描應當針對評估各部門的獨特需求進行裁剪,且執行範圍應覆蓋其各自特有控制區域內的所有資產。
例如,可要求每月對下列網路和計算裝置進行掃描:
任何己知包含敏感資料的計算裝置
任何必須滿足特定監管要求(如HIPAA)的計算裝置
任何作為用以構建和部署新的工作站/伺服器的基本映像的檔案系統映像或虛擬機器
模板任何用作伺服器或用於資料儲存的裝置
任何網路基礎設施裝置
除非另有授權,否則必須使用經批准的漏洞掃描工具進行掃描。
實施掃描時(大多數情況 下)應始終考慮到業務的特有需求。要記住:漏洞掃描可能且必然會減慢其正在評估的網路、裝置或應用程式。如果在工作時段內進行掃描,應注意儘量減少由於掃描造成的可能干擾。掃描應該在非高峰時段進行,並透過附加的二次掃描,將不合作的或因關機而需要重新掃描的客戶端納入掃描。
計算裝置或系統管理員不應僅為了透過評估而對網路計算裝置進行更改。此外,只要是連線網路的裝置,都不應進行特殊配置遮蔽漏洞掃描。
聯網計算裝置上的漏洞應根據掃描結果和業務需求加以處理。記住,掃描引擎所發現的漏洞並非全都需要處理。
評估新的系統
在完成漏洞評估且漏洞得到處理之前,任何新的系統都不應加入運營當中。
應當要求各部門在以下時機實施漏洞評估:
在作業系統安裝及修補階段完成時
在完成任何由供應商提供或內部開發的應用程式的安裝時
在將資訊系統投入運營之前
在完成用於部署於多個裝置的映像或模板的設計時
在供應商提供的資訊系統交付時且使用者進行驗收測試之前,並在投入運營之前再
次進行對於新網路基礎設施裝置,在拷機測試階段以及投入運營之前
在上述每次脆弱性評估完成時,必需記錄並修補所有發現的漏洞。
理解掃描目標
各部門不應對不受其直接控制的系統進行侵入式掃描:
各部門要負責確保那些由供應商所有的裝置在可能危害企業的漏洞方面受到限制。
供應商必須得到通知,且允許其在進行掃描時派出工作人員在場。
未經部門和管理層的明確許可,不得允許供應商對資訊系統進行掃描。對那些疑似在網路上引發破壞性行 為的聯網計算裝置,應透過非侵入式方法進行掃描,以追查破壞行為的源頭。
緩解風險
在每次評估結束時,各部門應編制體現以下內容的文件:
所有發現的漏洞、漏洞的嚴重性,以及受其影響的資訊系統
對於每個己發現的漏洞詳細說明如何修補或消除該漏洞
企業漏洞掃描工具生成的報告,並應評估該報告對於編制該文件的適合性
作為年度安全掃描流程的一部分,應要求各部門將根據該文件開屐的漏洞掃描與修復工作進行記錄歸檔。
針對發現的漏洞,應基於一定的原則採取修復和/或緩解指施,例如:
嚴重漏洞應在被發現後15天內被完全解決。
高危漏洞應在被發現後30天內被完全解決。
中危漏洞應在被發現後60天內被完全解決。
低危漏洞應在被發現後90天內得到處理。
當漏洞被利用的風險得到完全清除,且對裝置的後續掃描顯示漏洞不復存在,則可以認為漏洞己經得到修復。通常,該目標可透過對作業系統或應用程式打補丁或升級軟體實現。
可執行的掃描型別
當然,在實際漏洞中可能用到的各種掃描方式千差萬別,但在此還是列舉幾種在行業中可能應用的掃描。
認證掃描
認證掃描此類掃描透過對特定資質憑據進行驗證來判斷機器是否存在漏洞,而無須
進行侵入式掃描。
資訊系統
掃描協同執行以執行一組業務功能的軟體、硬體和介面元件。
內部機密
掃描中具有維持特定資訊僅對那些得到授權和需要了解該資訊的人開放的
需求。
侵入式掃描
透過主動執行已知的漏洞利用手段來確定漏洞存在的一種掃描方式。
聯網計算裝置
掃描任何連線到網路用於提供訪問、處理和儲存資訊的手段的計算裝置。
網路基礎設施裝置
該類掃描針對提供資訊傳輸功能的裝置,如路由器、交換機、防火牆和橋接裝置:不包括網路伺服器和工作站,除非這些伺服器/工作站為特定的提供網路傳輸的功能服務。
部門
掃描組織中定義的一個負責保護某個給定的資訊資產的單位。
本作品採用《CC 協議》,轉載必須註明作者和本文連結