分解漏洞掃描，為什么要做漏洞掃描呢？

5W2H分解漏洞掃描 - WHY

WHY為什么要做漏洞掃描呢？

降低資產(chǎn)所面臨的風(fēng)險

上文提到漏洞的典型特征：系統(tǒng)的缺陷/弱點、可能被威脅利用于違反安全策略、可能導(dǎo)致系統(tǒng)的安全性被破壞。 從信息安全風(fēng)險評估規(guī)范GB/T 20984可以知道，分析風(fēng)險的計算公式為：總風(fēng)險 =威脅 *漏洞(脆弱性) *資產(chǎn)價值。 由此可見漏洞是計算風(fēng)險的重要變量，漏洞越嚴(yán)重，資產(chǎn)面臨的風(fēng)險越高。通過漏洞掃描及時發(fā)現(xiàn)漏洞，及時修復(fù)高危漏洞，能夠有效降低資產(chǎn)的風(fēng)險。

風(fēng)險并非看不見摸不著的，漫漫歷史長河里，風(fēng)險的發(fā)生往往意味著大筆的鈔票煙消云散。以2017年5月份爆發(fā)的WannaCry勒索病毒為例，它利用了微軟公司MS17-010涉及到的SMBv1遠程代碼執(zhí)行漏洞，最終150余個國家遭到攻擊（幸免的國家，要么沒有計算機，要么沒有互聯(lián)網(wǎng)），給全球造成逾80億美元經(jīng)濟損失【引自路透社】。

如何防范這一攻擊呢？ 最經(jīng)濟有效的方法就是給受漏洞影響的Windows系統(tǒng)打上安全補丁。哪些版本的Windows系統(tǒng)存在相關(guān)漏洞呢？ 事實上，2017年3月微軟就已經(jīng)通過它的官網(wǎng)對外披露了受影響的Windows系統(tǒng)列表以及修復(fù)相關(guān)漏洞的安全補丁，而業(yè)界主流的漏洞掃描工具也都在第一時間支持了對該漏洞的掃描。也即是說，那些做了漏洞掃描，及時發(fā)現(xiàn)并成功修復(fù)了MS17-010相關(guān)高危漏洞的Windows用戶，能避免被WannaCry成功攻擊。

隨著信息化不斷深入發(fā)展，接入公共網(wǎng)絡(luò)的數(shù)據(jù)資產(chǎn)越來越豐富，在為人們打開日常生活方便之門的同時，由于其價值逐漸顯現(xiàn)，對威脅也更具吸引力，進而導(dǎo)致了風(fēng)險也越來越高。 持續(xù)的風(fēng)險評估逐漸成為了網(wǎng)絡(luò)建設(shè)與運營的常態(tài)化行為。尤其對于底層關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險，各國家及關(guān)鍵行業(yè)也越來越關(guān)注，頒布相關(guān)法律和規(guī)范予以支撐和指引。

滿足法律合規(guī)要求

2017年生效的中華人民共和國網(wǎng)絡(luò)安全法，作為上位法，明確了中國實施網(wǎng)絡(luò)安全等級保護制度。而在網(wǎng)絡(luò)安全等級保護測評過程指南GB/T 28449-2018這一標(biāo)準(zhǔn)中，則明確給出了對于二/三/四級系統(tǒng)的測評要求，漏洞掃描無疑是已寫入其中的重要組成部分。

2018年生效的歐盟的通用數(shù)據(jù)保護條例GDPR（General Data Protection Regulation）無疑是有海外業(yè)務(wù)的公司或組織最關(guān)注的網(wǎng)絡(luò)安全立法。盡管從內(nèi)容上來看，它更加強調(diào)個人隱私數(shù)據(jù)保護及數(shù)據(jù)主權(quán)。但是從數(shù)據(jù)控制者的義務(wù)來看，必須采取必要的技術(shù)手段確保個人數(shù)據(jù)的完整性及保密性【GDPR】。這意味著數(shù)據(jù)控制者必須持續(xù)評估并消減其業(yè)務(wù)系統(tǒng)中的漏洞以降低數(shù)據(jù)泄露或被破壞的風(fēng)險。具體有哪些技術(shù)手段呢？漏洞掃描顯然會是其中的重要組成部分。

從2004年發(fā)布第一個版本以來， 銀行卡行業(yè)數(shù)據(jù)保護標(biāo)準(zhǔn)PCI DSS（Payment Card Industry Data Security Standard）就要求行業(yè)參與者實施漏管理以保護應(yīng)用安全和系統(tǒng)安全。10多年過去了，最新版本已經(jīng)來到了2018年發(fā)布的v3.2.1，而漏洞掃描的要求一直都存在著并更加細化，由此可以看到它的重要性。

滿足業(yè)界安全最佳實踐及認(rèn)證需求

信息技術(shù)安全評估通用標(biāo)準(zhǔn)ISO/IEC 15408是計算機相關(guān)產(chǎn)品安全認(rèn)證的國際標(biāo)準(zhǔn)，產(chǎn)品供應(yīng)商可以委托第三方評估實驗室評估其產(chǎn)品，若成功通過評估則會獲得CC認(rèn)證，而這通常也就意味著獲得全球范圍內(nèi)的“通行許可證”。對產(chǎn)品的安全評估等級由低到高可以分為 EAL1~EAL7，最低等級的EAL1包含最少的保障過程。即便如此，漏洞評估也包含在EAL1范圍內(nèi)，因為它最為基礎(chǔ)和有效。

此外還有如CIS（Center for Internet Security）廣為人知，其提出的的CIS Critical Security Controls(通用安全控制框架)以及CIS Benchmark(安全配置基線)被很多大型公司參考引用，作為實施網(wǎng)絡(luò)安全的最佳實踐。在其安全控制框架中的第7條，則是明確提出了需要持續(xù)的進行漏洞管理。如何做呢？ 對于安全要求級別高的用戶，自動化的內(nèi)網(wǎng)及外網(wǎng)漏洞掃描當(dāng)然是必不可少的。

How該如何做漏洞掃描呢？

漏洞掃描具備一定專業(yè)性，不同的人掌握的技能不同，評估結(jié)果也不同；漏洞具備時效性，每天都可能有新漏洞被發(fā)現(xiàn)，意味著隔一天掃描結(jié)果可能也不同。 在實施漏洞掃描的過程中，有些什么經(jīng)驗教訓(xùn)可以參考呢？我們下期再聊。

審核編輯 黃昊宇