5W2H 分解漏洞掃描 - WHY

WHY 為什么要做漏洞掃描呢？

降低資產(chǎn)所面臨的風(fēng)險(xiǎn)

上文提到漏洞的典型特征：系統(tǒng)的缺陷/弱點(diǎn)、可能被威脅利用于違反安全策略、可能導(dǎo)致系統(tǒng)的安全性被破壞。 從信息安全風(fēng)險(xiǎn)評估規(guī)范GB/T 20984可以知道，分析風(fēng)險(xiǎn)的計(jì)算公式為：總風(fēng)險(xiǎn) = 威脅 * 漏洞(脆弱性) * 資產(chǎn)價(jià)值。 由此可見漏洞是計(jì)算風(fēng)險(xiǎn)的重要變量，漏洞越嚴(yán)重，資產(chǎn)面臨的風(fēng)險(xiǎn)越高。通過漏洞掃描及時(shí)發(fā)現(xiàn)漏洞，及時(shí)修復(fù)高危漏洞，能夠有效降低資產(chǎn)的風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)并非看不見摸不著的，漫漫歷史長河里，風(fēng)險(xiǎn)的發(fā)生往往意味著大筆的鈔票煙消云散。以2017年5月份爆發(fā)的WannaCry勒索病毒為例，它利用了微軟公司MS17-010涉及到的SMBv1遠(yuǎn)程代碼執(zhí)行漏洞，最終150余個(gè)國家遭到攻擊（幸免的國家，要么沒有計(jì)算機(jī)，要么沒有互聯(lián)網(wǎng)），給全球造成逾80億美元經(jīng)濟(jì)損失【引自路透社】。

如何防范這一攻擊呢？ 最經(jīng)濟(jì)有效的方法就是給受漏洞影響的Windows系統(tǒng)打上安全補(bǔ)丁。哪些版本的Windows系統(tǒng)存在相關(guān)漏洞呢？ 事實(shí)上，2017年3月微軟就已經(jīng)通過它的官網(wǎng)對外披露了受影響的Windows系統(tǒng)列表以及修復(fù)相關(guān)漏洞的安全補(bǔ)丁，而業(yè)界主流的漏洞掃描工具也都在第一時(shí)間支持了對該漏洞的掃描。也即是說，那些做了漏洞掃描，及時(shí)發(fā)現(xiàn)并成功修復(fù)了MS17-010相關(guān)高危漏洞的Windows用戶，能避免被WannaCry成功攻擊。

隨著信息化不斷深入發(fā)展，接入公共網(wǎng)絡(luò)的數(shù)據(jù)資產(chǎn)越來越豐富，在為人們打開日常生活方便之門的同時(shí)，由于其價(jià)值逐漸顯現(xiàn)，對威脅也更具吸引力，進(jìn)而導(dǎo)致了風(fēng)險(xiǎn)也越來越高。 持續(xù)的風(fēng)險(xiǎn)評估逐漸成為了網(wǎng)絡(luò)建設(shè)與運(yùn)營的常態(tài)化行為。尤其對于底層關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)，各國家及關(guān)鍵行業(yè)也越來越關(guān)注，頒布相關(guān)法律和規(guī)范予以支撐和指引。

滿足法律合規(guī)要求

2017年生效的中華人民共和國網(wǎng)絡(luò)安全法，作為上位法，明確了中國實(shí)施網(wǎng)絡(luò)安全等級保護(hù)制度。而在網(wǎng)絡(luò)安全等級保護(hù)測評過程指南GB/T 28449-2018這一標(biāo)準(zhǔn)中，則明確給出了對于二/三/四級系統(tǒng)的測評要求，漏洞掃描無疑是已寫入其中的重要組成部分。

2018年生效的歐盟的通用數(shù)據(jù)保護(hù)條例GDPR（General Data Protection Regulation）無疑是有海外業(yè)務(wù)的公司或組織最關(guān)注的網(wǎng)絡(luò)安全立法。盡管從內(nèi)容上來看，它更加強(qiáng)調(diào)個(gè)人隱私數(shù)據(jù)保護(hù)及數(shù)據(jù)主權(quán)。但是從數(shù)據(jù)控制者的義務(wù)來看，必須采取必要的技術(shù)手段確保個(gè)人數(shù)據(jù)的完整性及保密性【GDPR】。這意味著數(shù)據(jù)控制者必須持續(xù)評估并消減其業(yè)務(wù)系統(tǒng)中的漏洞以降低數(shù)據(jù)泄露或被破壞的風(fēng)險(xiǎn)。具體有哪些技術(shù)手段呢？漏洞掃描顯然會(huì)是其中的重要組成部分。

從2004年發(fā)布第一個(gè)版本以來， 銀行卡行業(yè)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)PCI DSS（Payment Card Industry Data Security Standard）就要求行業(yè)參與者實(shí)施漏管理以保護(hù)應(yīng)用安全和系統(tǒng)安全。10多年過去了，最新版本已經(jīng)來到了2018年發(fā)布的v3.2.1，而漏洞掃描的要求一直都存在著并更加細(xì)化，由此可以看到它的重要性。

滿足業(yè)界安全最佳實(shí)踐及認(rèn)證需求

信息技術(shù)安全評估通用標(biāo)準(zhǔn)ISO/IEC 15408 是計(jì)算機(jī)相關(guān)產(chǎn)品安全認(rèn)證的國際標(biāo)準(zhǔn)，產(chǎn)品供應(yīng)商可以委托第三方評估實(shí)驗(yàn)室評估其產(chǎn)品，若成功通過評估則會(huì)獲得CC認(rèn)證，而這通常也就意味著獲得全球范圍內(nèi)的“通行許可證”。對產(chǎn)品的安全評估等級由低到高可以分為 EAL1~EAL7，最低等級的EAL1包含最少的保障過程。即便如此，漏洞評估也包含在EAL1范圍內(nèi)，因?yàn)樗顬榛A(chǔ)和有效。

此外還有如CIS（Center for Internet Security）廣為人知，其提出的的CIS Critical Security Controls(通用安全控制框架)以及CIS Benchmark(安全配置基線)被很多大型公司參考引用，作為實(shí)施網(wǎng)絡(luò)安全的最佳實(shí)踐。在其安全控制框架中的第7條，則是明確提出了需要持續(xù)的進(jìn)行漏洞管理。如何做呢？ 對于安全要求級別高的用戶，自動(dòng)化的內(nèi)網(wǎng)及外網(wǎng)漏洞掃描當(dāng)然是必不可少的。

How 該如何做漏洞掃描呢？

漏洞掃描具備一定專業(yè)性，不同的人掌握的技能不同，評估結(jié)果也不同；漏洞具備時(shí)效性，每天都可能有新漏洞被發(fā)現(xiàn)，意味著隔一天掃描結(jié)果可能也不同。 在實(shí)施漏洞掃描的過程中，有些什么經(jīng)驗(yàn)教訓(xùn)可以參考呢？我們下期再聊。

?