5W2H分解漏洞掃描 - WHY

WHY為什么要做漏洞掃描呢？

降低資產所面臨的風險

上文提到漏洞的典型特征：系統的缺陷/弱點、可能被威脅利用于違反安全策略、可能導致系統的安全性被破壞。 從信息安全風險評估規范GB/T 20984可以知道，分析風險的計算公式為：總風險 =威脅 *漏洞(脆弱性) *資產價值。 由此可見漏洞是計算風險的重要變量，漏洞越嚴重，資產面臨的風險越高。通過漏洞掃描及時發現漏洞，及時修復高危漏洞，能夠有效降低資產的風險。

風險并非看不見摸不著的，漫漫歷史長河里，風險的發生往往意味著大筆的鈔票煙消云散。以2017年5月份爆發的WannaCry勒索病毒為例，它利用了微軟公司MS17-010涉及到的SMBv1遠程代碼執行漏洞，最終150余個國家遭到攻擊（幸免的國家，要么沒有計算機，要么沒有互聯網），給全球造成逾80億美元經濟損失【引自路透社】。

如何防范這一攻擊呢？ 最經濟有效的方法就是給受漏洞影響的Windows系統打上安全補丁。哪些版本的Windows系統存在相關漏洞呢？ 事實上，2017年3月微軟就已經通過它的官網對外披露了受影響的Windows系統列表以及修復相關漏洞的安全補丁，而業界主流的漏洞掃描工具也都在第一時間支持了對該漏洞的掃描。也即是說，那些做了漏洞掃描，及時發現并成功修復了MS17-010相關高危漏洞的Windows用戶，能避免被WannaCry成功攻擊。

隨著信息化不斷深入發展，接入公共網絡的數據資產越來越豐富，在為人們打開日常生活方便之門的同時，由于其價值逐漸顯現，對威脅也更具吸引力，進而導致了風險也越來越高。 持續的風險評估逐漸成為了網絡建設與運營的常態化行為。尤其對于底層關鍵信息基礎設施的安全風險，各國家及關鍵行業也越來越關注，頒布相關法律和規范予以支撐和指引。

滿足法律合規要求

2017年生效的中華人民共和國網絡安全法，作為上位法，明確了中國實施網絡安全等級保護制度。而在網絡安全等級保護測評過程指南GB/T 28449-2018這一標準中，則明確給出了對于二/三/四級系統的測評要求，漏洞掃描無疑是已寫入其中的重要組成部分。

2018年生效的歐盟的通用數據保護條例GDPR（General Data Protection Regulation）無疑是有海外業務的公司或組織最關注的網絡安全立法。盡管從內容上來看，它更加強調個人隱私數據保護及數據主權。但是從數據控制者的義務來看，必須采取必要的技術手段確保個人數據的完整性及保密性【GDPR】。這意味著數據控制者必須持續評估并消減其業務系統中的漏洞以降低數據泄露或被破壞的風險。具體有哪些技術手段呢？漏洞掃描顯然會是其中的重要組成部分。

從2004年發布第一個版本以來， 銀行卡行業數據保護標準PCI DSS（Payment Card Industry Data Security Standard）就要求行業參與者實施漏管理以保護應用安全和系統安全。10多年過去了，最新版本已經來到了2018年發布的v3.2.1，而漏洞掃描的要求一直都存在著并更加細化，由此可以看到它的重要性。

滿足業界安全最佳實踐及認證需求

信息技術安全評估通用標準ISO/IEC 15408是計算機相關產品安全認證的國際標準，產品供應商可以委托第三方評估實驗室評估其產品，若成功通過評估則會獲得CC認證，而這通常也就意味著獲得全球范圍內的“通行許可證”。對產品的安全評估等級由低到高可以分為 EAL1~EAL7，最低等級的EAL1包含最少的保障過程。即便如此，漏洞評估也包含在EAL1范圍內，因為它最為基礎和有效。

此外還有如CIS（Center for Internet Security）廣為人知，其提出的的CIS Critical Security Controls(通用安全控制框架)以及CIS Benchmark(安全配置基線)被很多大型公司參考引用，作為實施網絡安全的最佳實踐。在其安全控制框架中的第7條，則是明確提出了需要持續的進行漏洞管理。如何做呢？ 對于安全要求級別高的用戶，自動化的內網及外網漏洞掃描當然是必不可少的。

How該如何做漏洞掃描呢？

漏洞掃描具備一定專業性，不同的人掌握的技能不同，評估結果也不同；漏洞具備時效性，每天都可能有新漏洞被發現，意味著隔一天掃描結果可能也不同。 在實施漏洞掃描的過程中，有些什么經驗教訓可以參考呢？我們下期再聊。

審核編輯 黃昊宇