網(wǎng)絡(luò)安全要求不斷發(fā)展，網(wǎng)絡(luò)安全問題成為組織的日常麻煩。定期進(jìn)行漏洞評(píng)估(VA) 可以幫助您了解 IT 基礎(chǔ)架構(gòu)中的結(jié)構(gòu)性弱點(diǎn)并保護(hù)資產(chǎn)。

全面的 VA 提供有關(guān)您的數(shù)字資產(chǎn)、一般風(fēng)險(xiǎn)和安全缺陷的廣泛知識(shí)，可能會(huì)降低網(wǎng)絡(luò)攻擊的可能性。在這篇文章中了解為什么 VA 必不可少，以及您可以采取哪些步驟來保護(hù)組織的資產(chǎn)。

什么是漏洞評(píng)估？

漏洞評(píng)估（也稱為漏洞分析）是一種識(shí)別、量化和分析 IT 基礎(chǔ)設(shè)施中安全弱點(diǎn)的過程。VA 的主要目標(biāo)是發(fā)現(xiàn)任何可能危及組織整體安全和運(yùn)營的漏洞。因此，VA 可以幫助您最大限度地降低威脅的可能性。

許多安全專家交替使用術(shù)語“漏洞評(píng)估”和“滲透測(cè)試”，盡管它們的含義不同。雖然 VA 發(fā)現(xiàn)并衡量系統(tǒng)弱點(diǎn)的嚴(yán)重性，但滲透測(cè)試是一項(xiàng)以目標(biāo)為導(dǎo)向的練習(xí)。換句話說，滲透測(cè)試更側(cè)重于通過繪制真實(shí)攻擊者可以用來破壞防御的路徑來模擬現(xiàn)實(shí)生活中的攻擊。

漏洞評(píng)估的重要性

漏洞評(píng)估不再只是組織中可有可無的資源。根據(jù)組織的類型，您可能有義務(wù)進(jìn)行定期 VA 以保持合規(guī)性。多年來，出現(xiàn)了各種合規(guī)性法規(guī)，以應(yīng)對(duì)不斷變化的安全挑戰(zhàn)。

遵守通用數(shù)據(jù)保護(hù)條例 (GDPR)、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 和健康保險(xiǎn)流通與責(zé)任法案 (HIPAA) 就是這樣的例子。這些標(biāo)準(zhǔn)要求組織定期進(jìn)行 VA，以確保他們保護(hù)客戶的敏感數(shù)據(jù)。漏洞評(píng)估是一個(gè)整體安全流程，包括不同的任務(wù)，例如：

• 進(jìn)行安全控制檢查。
• 分析路由器和 Wi-Fi 網(wǎng)絡(luò)的密碼破解。
• 檢查網(wǎng)絡(luò)強(qiáng)度以抵御網(wǎng)絡(luò)入侵、分布式拒絕服務(wù) (DDoS) 和中間人 (MITM) 攻擊等攻擊。
• 掃描網(wǎng)絡(luò)端口以查找已知和潛在的漏洞和威脅。

漏洞評(píng)估結(jié)果是一份 VA 報(bào)告，作為組織的安全策略和其他安全產(chǎn)品。進(jìn)行VA，需要結(jié)合使用漏洞掃描工具和技術(shù)判斷等工具。完成后，VA 會(huì)建議可以幫助減輕已識(shí)別風(fēng)險(xiǎn)的措施。

漏洞掃描的類型

您可以根據(jù)以下內(nèi)容對(duì)漏洞掃描進(jìn)行分類：

• 他們可以掃描的資產(chǎn)類型。
• 掃描的來源。
• 網(wǎng)絡(luò)的安全態(tài)勢(shì)。

讓我們?cè)敿?xì)看看這些分類。

漏洞評(píng)估可以掃描的資產(chǎn)類型

漏洞掃描的五類是基于它們可以掃描的數(shù)字資產(chǎn)的種類。它們是基于網(wǎng)絡(luò)的掃描器、基于主機(jī)的掃描器、應(yīng)用程序掃描器、無線網(wǎng)絡(luò)掃描器和數(shù)據(jù)庫掃描器。

1. 基于網(wǎng)絡(luò)的掃描儀。您可以使用基于網(wǎng)絡(luò)的掃描儀來發(fā)現(xiàn)網(wǎng)絡(luò)上未經(jīng)授權(quán)的設(shè)備或未知用戶。這些掃描儀允許網(wǎng)絡(luò)管理員確定網(wǎng)絡(luò)上是否存在模糊的邊界漏洞，例如未經(jīng)授權(quán)的遠(yuǎn)程訪問?；诰W(wǎng)絡(luò)的掃描儀無法直接訪問文件系統(tǒng)。因此，他們無法進(jìn)行低級(jí)別的安全檢查。

2. 基于主機(jī)的掃描儀。顧名思義，基于主機(jī)的掃描器駐留在受監(jiān)控網(wǎng)絡(luò)上的每臺(tái)主機(jī)上。它定位并識(shí)別工作站、服務(wù)器或其他網(wǎng)絡(luò)主機(jī)上的漏洞，從而提高資產(chǎn)配置設(shè)置的可見性。

3. 應(yīng)用程序掃描儀。應(yīng)用程序掃描器發(fā)現(xiàn)網(wǎng)站中的漏洞。它們的運(yùn)行模式類似于搜索引擎——它們通過向網(wǎng)站上的每個(gè)網(wǎng)頁發(fā)送一系列探測(cè)來“爬行”網(wǎng)站，以查找弱點(diǎn)。

4. 無線網(wǎng)絡(luò)掃描儀。無線網(wǎng)絡(luò)掃描器（也稱為無線協(xié)議分析器）是可用于發(fā)現(xiàn)環(huán)境中開放無線網(wǎng)絡(luò)的工具。禁止無線網(wǎng)絡(luò)的組織可以使用這些無線網(wǎng)絡(luò)掃描儀來檢測(cè)任何未經(jīng)授權(quán)的 Wi-Fi 網(wǎng)絡(luò)。

5. 數(shù)據(jù)庫掃描儀。您可以使用數(shù)據(jù)庫掃描器來識(shí)別數(shù)據(jù)庫中的漏洞。數(shù)據(jù)庫掃描器可以幫助您阻止 SQL 注入攻擊等惡意攻擊。

掃描的起源

此類別下有兩種類型的漏洞掃描：外部掃描器和內(nèi)部掃描器。

1. 外部漏洞掃描器。使用外部掃描器，您可以從公司網(wǎng)絡(luò)外部進(jìn)行漏洞掃描。外部掃描器通常針對(duì)暴露在互聯(lián)網(wǎng)上的 IT 基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)防火墻和 Web 應(yīng)用程序防火墻中的開放端口。

2. 內(nèi)部漏洞掃描器。與外部掃描器不同，內(nèi)部掃描器從企業(yè)網(wǎng)絡(luò)內(nèi)部進(jìn)行漏洞掃描。這些掃描允許您通過檢測(cè)已滲透網(wǎng)絡(luò)的內(nèi)部威脅（例如惡意軟件）來保護(hù)和強(qiáng)化關(guān)鍵應(yīng)用程序。

網(wǎng)絡(luò)的安全態(tài)勢(shì)

認(rèn)證和非認(rèn)證漏洞掃描是該類別下的主要漏洞掃描類型。

1. 經(jīng)過身份驗(yàn)證的漏洞掃描。身份驗(yàn)證掃描（也稱為憑證掃描）允許網(wǎng)絡(luò)管理員以用戶身份登錄并從受信任用戶的角度識(shí)別網(wǎng)絡(luò)的弱點(diǎn)。由于您已登錄系統(tǒng)，因此您可以更深入地挖掘網(wǎng)絡(luò)以發(fā)現(xiàn)眾多威脅。

2. 未經(jīng)身份驗(yàn)證的漏洞掃描。使用未經(jīng)身份驗(yàn)證的掃描，您無需登錄網(wǎng)絡(luò)即可執(zhí)行掃描。雖然您可以獲得網(wǎng)絡(luò)的外部視圖，但是當(dāng)您使用未經(jīng)身份驗(yàn)證的掃描時(shí)，您可能會(huì)錯(cuò)過大多數(shù)漏洞。

漏洞評(píng)估過程

進(jìn)行脆弱性評(píng)估是一個(gè)包含五個(gè)步驟的過程。重要的是要考慮每個(gè)步驟都需要什么。

第 1 步：規(guī)劃

首先，您應(yīng)該考慮要掃描哪些資產(chǎn)以及 VA 的具體目標(biāo)。思考以下問題：

• 您在評(píng)估中涵蓋了哪些系統(tǒng)和網(wǎng)絡(luò)？
• 敏感的工作負(fù)載和數(shù)據(jù)位于何處？
• 每個(gè)人都參與 VA 嗎？
• VA 的期望是什么？

第 2 步：掃描

接下來，您可以使用手動(dòng)或自動(dòng)工具主動(dòng)掃描網(wǎng)絡(luò)。該過程會(huì)生成一個(gè)漏洞列表及其嚴(yán)重級(jí)別，您可以使用它來過濾掉誤報(bào)。

第三步：分析

然后進(jìn)行全面分析，詳細(xì)說明漏洞的原因及其潛在影響。根據(jù)面臨風(fēng)險(xiǎn)的工作負(fù)載和缺陷的嚴(yán)重程度，您可以對(duì)每個(gè)漏洞進(jìn)行排名。這個(gè)想法是通過提供關(guān)于威脅對(duì)網(wǎng)絡(luò)的影響的明確緊迫感來幫助您量化威脅。

第 4 步：修復(fù)

根據(jù)分析階段的結(jié)果，您應(yīng)該從修補(bǔ)最嚴(yán)重的缺陷開始。您可以使用各種工具，例如更新軟件或安裝新的安全工具來修復(fù)您的網(wǎng)絡(luò)缺陷。但是，如果這些漏洞不會(huì)對(duì)組織構(gòu)成重大威脅，那么修復(fù)它們可能不值得您付出努力。

第五步：重復(fù)

單個(gè) VA 只是您的網(wǎng)絡(luò)在特定時(shí)刻的快照。為確保您擁有整個(gè) IT 基礎(chǔ)架構(gòu)的全局視圖，您需要至少每周或每月執(zhí)行一次定期 VA。

為什么要執(zhí)行漏洞評(píng)估？

進(jìn)行漏洞評(píng)估有很多好處，包括：

• 在黑客發(fā)現(xiàn)漏洞之前識(shí)別漏洞。VA 掃描所有網(wǎng)絡(luò)組件，驗(yàn)證它們是否存在網(wǎng)絡(luò)犯罪分子可以用來攻擊組織的弱點(diǎn)。
• 向您的客戶、潛在客戶和其他利益相關(guān)者證明您的系統(tǒng)是安全的。您需要向委托您處理數(shù)據(jù)的客戶保證，您可以保護(hù)他們的資產(chǎn)。當(dāng)您向此類客戶保證時(shí)，您可以使用漏洞評(píng)估作為獲得戰(zhàn)略競(jìng)爭(zhēng)優(yōu)勢(shì)的工具。
• 評(píng)估第三方 IT 服務(wù)提供商的績效。如果您依賴第三方供應(yīng)商提供電子郵件、備份或系統(tǒng)管理等 IT 解決方案，獨(dú)立的 VA 可以幫助您交叉檢查他們的表現(xiàn)。
• 符合行業(yè)和監(jiān)管要求。如果您在受監(jiān)管的行業(yè)運(yùn)營，嚴(yán)格的 VA 可以幫助您合規(guī)。VA 對(duì)于獲得和保留 ISO 27001 等安全認(rèn)證也至關(guān)重要。
• 節(jié)省時(shí)間和成本。安全漏洞可能會(huì)在許多方面?zhèn)M織，造成代價(jià)高昂的限制和責(zé)任。VA 減輕了此類風(fēng)險(xiǎn)，使組織能夠節(jié)省時(shí)間并停止因數(shù)據(jù)泄露而引起的昂貴訴訟。

創(chuàng)建漏洞評(píng)估報(bào)告

創(chuàng)建報(bào)告是漏洞評(píng)估過程中的關(guān)鍵步驟。所有漏洞評(píng)估報(bào)告都應(yīng)詳細(xì)說明，并可包括以下內(nèi)容：

• 漏洞名稱
• 發(fā)現(xiàn)日期
• 漏洞和受影響系統(tǒng)的詳細(xì)描述
• 漏洞修復(fù)過程
• 系統(tǒng)漏洞的概念證明 (POC)

漏洞評(píng)估工具

漏洞評(píng)估工具旨在自動(dòng)檢查您的應(yīng)用程序是否存在新的和當(dāng)前的威脅。以下是工具示例：

• 用于查找和模仿已知攻擊行為的 Web 應(yīng)用程序掃描器。
• 協(xié)議掃描器尋找協(xié)議、端口和網(wǎng)絡(luò)服務(wù)中的缺陷。
• 網(wǎng)絡(luò)掃描器，有助于網(wǎng)絡(luò)可視化和檢測(cè)警告信號(hào)，例如雜散 IP 地址、偽造數(shù)據(jù)包和來自單個(gè) IP 地址的異常數(shù)據(jù)包生成。

作為最佳實(shí)踐，安排對(duì)所有重要 IT 系統(tǒng)進(jìn)行頻繁的自動(dòng)掃描。這些掃描的結(jié)果應(yīng)包含在組織的持續(xù)漏洞評(píng)估過程中。