漏洞扫描的介绍

漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。

漏洞扫描器是一类旨在识别操作系统和应用程序中弱点的自动化工具。

漏洞扫描器能够把各种安全漏洞集成在一起,自动利用这些安全漏洞对远程主机尝试攻击,从而确定目标主机是否存在这些安全漏洞。

漏洞扫描器的使用对象

  • 黑客 / 渗透测试人员:自动化挖掘漏洞,利用有缺陷的代码、开放端口或是容易获取用户访问权限的程序进行渗透攻击。

  • 安全运维人员:定期进行漏洞扫描并修复相应漏洞,以抵御黑客攻击,进而减少商业机密泄露与经济损失。

认识漏洞扫描器的局限性

  • 只能检测出已知漏洞,无法检测出未知的漏洞(0day)
  • 容易出现误报、漏检
  • 在SRC漏洞挖掘中,存储型XSS不宜使用扫描器进行检测

漏洞评估流程

对现有设备进行定期评估

理想状态下,应要求每个部门都按照规范的时间表对其联网设备进行评估。

例如,可要求每月对下列网络和计算设备进行扫描:

  • 任何已知包含敏感数据的计算设备
  • 任何必须满足特定监管要求的计算设备
  • 任何作为用以构建和部署新的工作站/服务器的基本映像的文件系统映像或虚拟机模板
  • 任何作用服务器或于数据存储的设备
  • 任何网络基础设施设备

除非另有授权,否则必须使用经批准的漏洞扫描工具进行扫描。要记住:漏洞扫描可能且必然会减慢其正在评估的网络、设备或应用程序。如果在工作时段内进行扫描,应注意尽量减少由于扫描造成的可能干扰。扫描应该在非高峰时段进行,并通过附加的二次扫描,将不合作或因关机而需要重新扫描的客户端纳入扫描。

评估新的系统

在完成漏洞评估且漏洞得到处理之前,任何新的系统都不应加入运营当中。

应当要求各部门在以下时机实施漏洞评估:

  • 在操作系统安装以及修补阶段完成时
  • 在完成任何由供应商提供或内部开发的应用程序的安装时
  • 在将信息系统投入运营之前
  • 在完成用于部署于多个设备的映像或模板的设计时
  • 在供应商提供信息系统交付时且用户进行验收之前,并在投入运营之前再次进行
  • 对于新网络基础设备,在拷机测试阶段以及运营之前

在上述每次脆弱性评估完成时,必须记录并修补所有发现的漏洞。

理解扫描目标

各部门不应对不受其直接控制的系统进行侵入式扫描:

  • 各部门要求负责确保那些供应商所有的设备在可能危害企业的漏洞方面受到限制
  • 供应商必须得到通知,且允许其在进行扫描时派出工作人员在场
  • 未经部门和管理层的明确许可,不得允许供应商对信息系统进行扫描

对那些疑似在网络上引发破坏行为的联网计算设备,应通过非侵入方式进行扫描,以追查破坏行为的源头。

缓解风险

在每次评估结束时,各部门应编制以下内容文档:

  • 所有发现的漏洞、漏洞的严重性,以及受其影响的信息系统
  • 对于每个已经发现的漏洞详细说明如何修补或消除该漏洞
  • 企业漏洞扫描工具生成的报告,并应评估该报告对于编制该文档的适合性

作为年度安全扫描流程的一部分,应该要求各部门将根据该文档开展的漏洞扫描与修复工作进行记录归档。

针对发现的漏洞,应基于一定的原则采取修复或缓解措施,例如:

  • 严重漏洞应在被发现后15天内被完全解决。
  • 高危漏洞应在被发现后30天内被完全解决。
  • 中危漏洞应在被发现后60天内被完全解决。
  • 低危漏洞应在被发现后90天内被完全解决。

当漏洞被利用的风险得到完全清除,且对设备的后续扫描显示漏洞不复存在,则可以认为漏洞已经得到修复。通常,该目标可通过对操作系统或应用系统打补丁或升级软件实现。

可执行的扫描类型

  • 认证扫描:此类扫描通过对特定资质凭据进行验证来判断机器是否存在漏洞,而无需进行侵入式扫描。
  • 信息系统:扫描协同运行以执行一组业务功能的软件、硬件和接口组件。
  • 内部机密:扫描中具有维持特定信息仅对那些得到授权和需要了解该信息的人开放的需求。
  • 侵入式扫描:通过主动执行已知的漏洞利用手段来确定漏洞存在的一种扫描方式。
  • 联网计算机设备:扫描任何连接到网络用于提供访问、处理和存储信息的手段的计算设备。
  • 网络基础设施设备:该类扫描针对提供信息传输功能的设备,如路由器、交换机、防护墙和桥接设备;不包括网络服务器和工作站,除非这些服务器/工作站为特定的提供网络传输的功能服务。
  • 部门:扫描组织中定义的一个负责保护某个给定的信息资产的单位。