
漏洞掃描通常作為幫助組織識別其網路和計算設各漏洞的眾多手段之一實施。掃描結果能夠幫助管理者就他們的網路及其上連結設各的安全性做出有根據的決定。漏洞掃描的規模可大可小,取決於所需評估的資產和系統。
雖然有許多工具可以深入探勘系統漏洞,但並非所有的掃描工具都具有相同的特性集。每個掃描工具都可能包含(也可能不包含)其他工具能夠評估的漏洞清單。因此,組織應該蓮慎地選擇所希望使用的掃描器,並規定對任何其他漏洞掃描器的使用都必須事前進行論證和批淮。
任何掃描工具都應該能夠從一個中心位置評估資訊系統,並能提供修復建議。它還必須能夠根據漏洞對受害單元的相對影響對每個發現的漏洞設定其嚴重性值。
對現有設備進行定期評估
理想的情況下,應要求每個部門都按照規範的時間表對其聯岡的計算設備進行評估。
每個部門至少應該依照規定的時間表(例如每月或每季) 執行完全認證的掃描。掃描應針對評估各部門的獨特需求進行裁剪,且運作範圍應涵蓋其各自特有控制區域內的所有資產。
例如,可要求每月對下列網路和計算設備進行掃描:
任何己知包含敏感資料的計算設備
任何必須滿足特定監管要求(如HIPAA) 的計算設備
任何作為用以建置和部署新的工作站/ 伺服器的基本映像的檔案系統映像或虛擬機器
模板
任何用作伺服器或用於資料儲存的設備
任何網路基礎設施設備
除非另有授權,否則必須使用經批准的漏洞掃描工具進行掃描。
實施掃描時(大多數情況下) 應始終考慮到業務的特有需求。hk007.net提醒您要記住:漏洞掃描可能且必然會減慢其正在評估的網路、裝置或應用程式。若在工作時段內進行掃描,應注意盡量減少因掃描造成的可能幹擾。掃描應該在非尖峰時段進行,並透過附加的二次掃描,將不合作的或因關機而需要重新掃描的客戶端納入掃描。
計算設備或系統管理員不應僅為了透過評估而對網路計算設備進行更改。此外,只要是連接網路的設備,都不應進行特殊配置屏蔽漏洞掃描。
聯網運算設備上的漏洞應根據掃描結果和業務需求加以處理。記住,掃描引擎所發現的漏洞並非全都需要處理。
評估新的系統
在完成漏洞評估且漏洞處理之前,任何新的系統都不應加入營運當中。
應要求各部門在以下時機實施漏洞評估:
在作業系統安裝及修補階段完成時
在完成任何由供應商提供或內部開發的應用程式的安裝時
在將資訊系統投入運作之前
在完成部署於多個裝置的映像或範本的設計時
在供應商提供的資訊系統交付時且用戶進行驗收測試之前,並在投入營運之前
再次進行
對於新網路基礎設施設備,在拷機測試階段以及投入營運之前
在上述每次脆弱性評估完成時,必需記錄並修補所有發現的漏洞。
瞭解掃描目標
各部門不應對不受其直接控制的系統進行侵入式掃描:
各部門要負責確保那些由供應商擁有的設備在可能危害企業的漏洞方面受到限制。
供應商必須得到通知,且允許其在進行掃描時派出工作人員在場。
未經部門和管理層的明確許可,不得允許供應商對資訊系統進行掃描。對那些疑似在網路上引發破壞性行為的連網運算設備,應透過非侵入式方法進行掃描,以追蹤破壞行為的源頭。
緩解風險
在每次評估結束時,各部門應編制體現以下內容的文件:
所有發現的漏洞、漏洞的嚴重性,以及受其影響的資訊系統
對於每個己發現的漏洞詳細說明如何修補或消除該漏洞
企業漏洞掃描工具產生的報告,並應評估該報告對於編制該文件的適合性
作為年度安全掃描流程的一部分,應要求各部門將根據該文件開屐的漏洞掃描與修復工作進行記錄歸檔。
針對發現的漏洞,應基於一定的原則採取修復和/ 或緩解指施,例如:
嚴重漏洞應在被發現後15 天內完全解決。
高風險漏洞應在被發現後30 天內完全解決。
中危漏洞應在被發現後60 天內完全解決。
低危險漏洞應在被發現後90 天內處理。
當漏洞被利用的風險完全清除,且對設備的後續掃描顯示漏洞不復存在,則可以認為漏洞己經得到修復。通常,該目標可透過對作業系統或應用程式打補丁或升級軟體來實現。
可執行的掃描類型
當然,在實際漏洞中可能用到的各種掃描方式千差萬別,但在此還是列舉幾種在業界可能應用的掃描。
認證掃描
認證掃描此類掃描透過對特定資質憑證進行驗證來判斷機器是否存在漏洞,而無須
進行侵入式掃描。
資訊系統
掃描協同運作以執行一組業務功能的軟體、硬體和介面元件。
內部機密
掃描中具有維持特定資訊僅對那些得到授權和需要了解該資訊的人開放的
需求。
侵入式掃描
透過主動執行已知的漏洞利用手段來確定漏洞存在的一種掃描方式。
連網運算設備
掃描任何連接到網路用於提供存取、處理和儲存資訊的手段的計算設備。
網路基礎設施設備
此類別掃描針對提供資訊傳輸功能的設備,如路由器、交換器、防火牆和橋接設備:不包括網路伺服器和工作站,除非這些伺服器/ 工作站為特定的提供網路傳輸的功能服務。

