5W2H分解漏洞掃描 - WHY

WHY為什么要做漏洞掃描呢？

降低資產(chǎn)所面臨的風(fēng)險(xiǎn)

上文提到漏洞的典型特征：系統(tǒng)的缺陷/弱點(diǎn)、可能被威脅利用于違反安全策略、可能導(dǎo)致系統(tǒng)的安全性被破壞。 從信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T 20984可以知道，分析風(fēng)險(xiǎn)的計(jì)算公式為：總風(fēng)險(xiǎn) =威脅 *漏洞(脆弱性) *資產(chǎn)價(jià)值。 由此可見(jiàn)漏洞是計(jì)算風(fēng)險(xiǎn)的重要變量，漏洞越嚴(yán)重，資產(chǎn)面臨的風(fēng)險(xiǎn)越高。通過(guò)漏洞掃描及時(shí)發(fā)現(xiàn)漏洞，及時(shí)修復(fù)高危漏洞，能夠有效降低資產(chǎn)的風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)并非看不見(jiàn)摸不著的，漫漫歷史長(zhǎng)河里，風(fēng)險(xiǎn)的發(fā)生往往意味著大筆的鈔票煙消云散。以2017年5月份爆發(fā)的WannaCry勒索病毒為例，它利用了微軟公司MS17-010涉及到的SMBv1遠(yuǎn)程代碼執(zhí)行漏洞，最終150余個(gè)國(guó)家遭到攻擊（幸免的國(guó)家，要么沒(méi)有計(jì)算機(jī)，要么沒(méi)有互聯(lián)網(wǎng)），給全球造成逾80億美元經(jīng)濟(jì)損失【引自路透社】。

如何防范這一攻擊呢？ 最經(jīng)濟(jì)有效的方法就是給受漏洞影響的Windows系統(tǒng)打上安全補(bǔ)丁。哪些版本的Windows系統(tǒng)存在相關(guān)漏洞呢？ 事實(shí)上，2017年3月微軟就已經(jīng)通過(guò)它的官網(wǎng)對(duì)外披露了受影響的Windows系統(tǒng)列表以及修復(fù)相關(guān)漏洞的安全補(bǔ)丁，而業(yè)界主流的漏洞掃描工具也都在第一時(shí)間支持了對(duì)該漏洞的掃描。也即是說(shuō)，那些做了漏洞掃描，及時(shí)發(fā)現(xiàn)并成功修復(fù)了MS17-010相關(guān)高危漏洞的Windows用戶(hù)，能避免被WannaCry成功攻擊。

隨著信息化不斷深入發(fā)展，接入公共網(wǎng)絡(luò)的數(shù)據(jù)資產(chǎn)越來(lái)越豐富，在為人們打開(kāi)日常生活方便之門(mén)的同時(shí)，由于其價(jià)值逐漸顯現(xiàn)，對(duì)威脅也更具吸引力，進(jìn)而導(dǎo)致了風(fēng)險(xiǎn)也越來(lái)越高。 持續(xù)的風(fēng)險(xiǎn)評(píng)估逐漸成為了網(wǎng)絡(luò)建設(shè)與運(yùn)營(yíng)的常態(tài)化行為。尤其對(duì)于底層關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)，各國(guó)家及關(guān)鍵行業(yè)也越來(lái)越關(guān)注，頒布相關(guān)法律和規(guī)范予以支撐和指引。

滿(mǎn)足法律合規(guī)要求

2017年生效的中華人民共和國(guó)網(wǎng)絡(luò)安全法，作為上位法，明確了中國(guó)實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。而在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南GB/T 28449-2018這一標(biāo)準(zhǔn)中，則明確給出了對(duì)于二/三/四級(jí)系統(tǒng)的測(cè)評(píng)要求，漏洞掃描無(wú)疑是已寫(xiě)入其中的重要組成部分。

2018年生效的歐盟的通用數(shù)據(jù)保護(hù)條例GDPR（General Data Protection Regulation）無(wú)疑是有海外業(yè)務(wù)的公司或組織最關(guān)注的網(wǎng)絡(luò)安全立法。盡管從內(nèi)容上來(lái)看，它更加強(qiáng)調(diào)個(gè)人隱私數(shù)據(jù)保護(hù)及數(shù)據(jù)主權(quán)。但是從數(shù)據(jù)控制者的義務(wù)來(lái)看，必須采取必要的技術(shù)手段確保個(gè)人數(shù)據(jù)的完整性及保密性【GDPR】。這意味著數(shù)據(jù)控制者必須持續(xù)評(píng)估并消減其業(yè)務(wù)系統(tǒng)中的漏洞以降低數(shù)據(jù)泄露或被破壞的風(fēng)險(xiǎn)。具體有哪些技術(shù)手段呢？漏洞掃描顯然會(huì)是其中的重要組成部分。

從2004年發(fā)布第一個(gè)版本以來(lái)， 銀行卡行業(yè)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)PCI DSS（Payment Card Industry Data Security Standard）就要求行業(yè)參與者實(shí)施漏管理以保護(hù)應(yīng)用安全和系統(tǒng)安全。10多年過(guò)去了，最新版本已經(jīng)來(lái)到了2018年發(fā)布的v3.2.1，而漏洞掃描的要求一直都存在著并更加細(xì)化，由此可以看到它的重要性。

滿(mǎn)足業(yè)界安全最佳實(shí)踐及認(rèn)證需求

信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)ISO/IEC 15408是計(jì)算機(jī)相關(guān)產(chǎn)品安全認(rèn)證的國(guó)際標(biāo)準(zhǔn)，產(chǎn)品供應(yīng)商可以委托第三方評(píng)估實(shí)驗(yàn)室評(píng)估其產(chǎn)品，若成功通過(guò)評(píng)估則會(huì)獲得CC認(rèn)證，而這通常也就意味著獲得全球范圍內(nèi)的“通行許可證”。對(duì)產(chǎn)品的安全評(píng)估等級(jí)由低到高可以分為 EAL1~EAL7，最低等級(jí)的EAL1包含最少的保障過(guò)程。即便如此，漏洞評(píng)估也包含在EAL1范圍內(nèi)，因?yàn)樗顬榛A(chǔ)和有效。

此外還有如CIS（Center for Internet Security）廣為人知，其提出的的CIS Critical Security Controls(通用安全控制框架)以及CIS Benchmark(安全配置基線)被很多大型公司參考引用，作為實(shí)施網(wǎng)絡(luò)安全的最佳實(shí)踐。在其安全控制框架中的第7條，則是明確提出了需要持續(xù)的進(jìn)行漏洞管理。如何做呢？ 對(duì)于安全要求級(jí)別高的用戶(hù)，自動(dòng)化的內(nèi)網(wǎng)及外網(wǎng)漏洞掃描當(dāng)然是必不可少的。

How該如何做漏洞掃描呢？

漏洞掃描具備一定專(zhuān)業(yè)性，不同的人掌握的技能不同，評(píng)估結(jié)果也不同；漏洞具備時(shí)效性，每天都可能有新漏洞被發(fā)現(xiàn)，意味著隔一天掃描結(jié)果可能也不同。 在實(shí)施漏洞掃描的過(guò)程中，有些什么經(jīng)驗(yàn)教訓(xùn)可以參考呢？我們下期再聊。

審核編輯 黃昊宇