漏洞扫描流程概

漏洞扫描通常作为帮助组织识别其网络和计算设各漏洞的众多手段之一实施。扫描结果能够帮助管理者就他们的网络及其上连接设各的安全性做出有根据的决定。漏洞扫描的规模可大可小,取決于所需评估的资产和系统。


虽然有许多工具可以深入探察系统漏洞,但并非所有的扫描工具都具有相同的特性集。每个扫描工具都可能包含 (也可能不包含)其他工具能够评估的漏洞列表。因此,组织应该蓮慎地选择所希望使用的扫描器,并规定对任何其他漏洞扫描器的使用都必须事前进行论证和批淮。


任何扫描工具都应该能够从一个中心位置评估信息系统,并能提供修复建议。它还必须能够根据漏洞对受害单元的相对影响对每个发现的漏洞设定其严重性值。


对现有设备进行定期评


理想的情况下,应要求每个部门都按照规范的时间表对其联冈的计算设备进行评估。


每个部门至少应该依照规定的时间表 (例如每月或每季度) 执行完全认证的扫描。扫描应当针对评估各部门的独特需求进行裁剪,且运行范围应覆盖其各自特有控制区域内的所有资产。


 

 例如,可要求每月对下列网络和计算设备进行扫描:

任何己知包含敏感数据的计算设备


任何必须满足特定监管要求 (如 HIPAA) 的计算设备


任何作为用以构建和部署新的工作站 / 服务器的基本映像的文件系统映像或虚拟机

模板


任何用作服务器或用于数据存储的设备


任何网络基础设施设备


除非另有授权,否则必须使用经批准的漏洞扫描工具进行扫描。

实施扫描时 (大多数情况 下) 应始终考虑到业务的特有需求。要记住:漏洞扫描可能且必然会减慢其正在评估的网络、设备或应用程序。如果在工作时段内进行扫描,应注意尽量减少由于扫描造成的可能干扰。扫描应该在非高峰时段进行,并通过附加的二次扫描,将不合作的或因关机而需要重新扫描的客户端纳入扫描。

计算设备或系统管理员不应仅为了通过评估而对网络计算设备进行更改。此外,只要是连接网络的设备,都不应进行特殊配置屏蔽漏洞扫描。

联网计算设备上的漏洞应根据扫描结果和业务需求加以处理。记住,扫描引擎所发现的漏洞并非全都需要处理。


评估新的系统

在完成漏洞评估且漏洞得到处理之前,任何新的系统都不应加入运营当中。

应当要求各部门在以下时机实施漏洞评估:

在操作系统安装及修补阶段完成时


在完成任何由供应商提供或内部开发的应用程序的安装时


在将信息系统投入运营之前


在完成用于部署于多个设备的映像或模板的设计时


在供应商提供的信息系统交付时且用户进行验收测试之前,并在投入运营之前再

次进行


对于新网络基础设施设备,在拷机测试阶段以及投入运营之前


在上述每次脆弱性评估完成时,必需记录并修补所有发现的漏洞。

理解扫描目标

各部门不应对不受其直接控制的系统进行侵入式扫描:

各部门要负责确保那些由供应商所有的设备在可能危害企业的漏洞方面受到限制。


供应商必须得到通知,且允许其在进行扫描时派出工作人员在场。


未经部门和管理层的明确许可,不得允许供应商对信息系统进行扫描。对那些疑似在网络上引发破坏性行 为的联网计算设备,应通过非侵入式方法进行扫描,以追查破坏行为的源头。


缓解风险

在每次评估结束时,各部门应编制体现以下内容的文档:

所有发现的漏洞、漏洞的严重性,以及受其影响的信息系统


对于每个己发现的漏洞详细说明如何修补或消除该漏洞


企业漏洞扫描工具生成的报告,并应评估该报告对于编制该文档的适合性


作为年度安全扫描流程的一部分,应要求各部门将根据该文档开屐的漏洞扫描与修复工作进行记录归档。

针对发现的漏洞,应基于一定的原则采取修复和 / 或缓解指施,例如:

严重漏洞应在被发现后 15 天内被完全解决。


高危漏洞应在被发现后 30 天内被完全解决。


中危漏洞应在被发现后 60 天内被完全解决。


低危漏洞应在被发现后 90 天内得到处理。


当漏洞被利用的风险得到完全清除,且对设备的后续扫描显示漏洞不复存在,则可以认为漏洞己经得到修复。通常,该目标可通过对操作系统或应用程序打补丁或升级软件实现。

可执行的扫描类型

当然,在实际漏洞中可能用到的各种扫描方式千差万别,但在此还是列举几种在行业中可能应用的扫描。

认证扫描

认证扫描此类扫描通过对特定资质凭据进行验证来判断机器是否存在漏洞,而无须

进行侵入式扫描。


信息系统

扫描协同运行以执行一组业务功能的软件、硬件和接口组件。


内部机密

扫描中具有维持特定信息仅对那些得到授权和需要了解该信息的人开放的

需求。


侵入式扫描

通过主动执行已知的漏洞利用手段来确定漏洞存在的一种扫描方式。


联网计算设备

扫描任何连接到网络用于提供访问、处理和存储信息的手段的计算设备。


网络基础设施设备

该类扫描针对提供信息传输功能的设备,如路由器、交换机、防火墙和桥接设备:不包括网络服务器和工作站,除非这些服务器 / 工作站为特定的提供网络传输的功能服务。


部门

扫描组织中定义的一个负责保护某个给定的信息资产的单位。


 0
 0
 分享
评论图片
评论