聊聊網(wǎng)絡(luò)安全漏洞掃描工具和服務(wù)
介紹
漏洞掃描是一個(gè)廣泛的術(shù)語,用于描述檢測組織安全程序中的缺陷的自動(dòng)化過程。這涵蓋補(bǔ)丁管理流程、強(qiáng)化程序和軟件開發(fā)生命周期 (SDLC) 等領(lǐng)域。提供漏洞掃描的服務(wù)或產(chǎn)品通常也稱為漏洞評估系統(tǒng) (VAS)。
作為有效的漏洞管理計(jì)劃 (VMP) 的一部分,漏洞掃描解決方案是一種經(jīng)濟(jì)實(shí)惠的自動(dòng)檢測組織網(wǎng)絡(luò)內(nèi)安全問題的方法。然而,漏洞掃描產(chǎn)品和服務(wù)市場涵蓋許多專業(yè)領(lǐng)域,并包括涉及部署模型和許可成本等問題的廣泛選項(xiàng)。這些復(fù)雜性可能在為自己的組織購買漏洞掃描解決方案時(shí)難以做出正確的選擇。
本指南旨在為廣大受眾提供選擇合適的漏洞掃描解決方案的工具。
受眾和結(jié)構(gòu)
該指南幫助中小企業(yè)、大型組織和公共部門機(jī)構(gòu):
- 了解漏洞掃描的基礎(chǔ)知識(shí)以及它如何與 VMP 集成
- 決定何時(shí)以及如何最有效地使用漏洞掃描
- 購買漏洞掃描解決方案時(shí)設(shè)定重要標(biāo)準(zhǔn)
該指南分為四個(gè)步驟,首先評估當(dāng)前的漏洞掃描設(shè)置,然后再考慮您需要的掃描器類型。然后我們考慮掃描什么以及何時(shí)掃描,最后給出一些一般性的建議。
漏洞掃描的優(yōu)點(diǎn)
組織應(yīng)利用漏洞掃描的原因有很多:
- 自動(dòng)化:掃描可以按計(jì)劃、按需或響應(yīng)觸發(fā)事件(例如軟件項(xiàng)目的新構(gòu)建或新服務(wù)器的部署)運(yùn)行。這使得能夠維護(hù)漏洞狀況的最新視圖。
- 速度:掃描儀通常會(huì)以比手動(dòng)測試快得多的速度執(zhí)行數(shù)百甚至數(shù)千次檢查。
- 成本效益:速度和自動(dòng)化的優(yōu)勢使得針對目標(biāo)執(zhí)行漏洞掃描比手動(dòng)測試更加經(jīng)濟(jì)。
- 可擴(kuò)展性:現(xiàn)代基于云的架構(gòu)意味著服務(wù)可以增加或減少其資源,以便能夠在相似的時(shí)間范圍內(nèi)掃描小型或大型環(huán)境。
- 合規(guī)性:許多漏洞掃描解決方案包括定制檢查,以測試是否符合通用信息安全標(biāo)準(zhǔn)或組織自己的基線控制集。
- 準(zhǔn)確性:通過執(zhí)行定制檢查來確認(rèn)漏洞的存在,掃描儀可以產(chǎn)生比簡單地引用軟件資產(chǎn)管理解決方案中保存的信息更可靠的結(jié)果。
最重要的是,漏洞掃描使組織能夠跟上有意破壞系統(tǒng)的個(gè)人和團(tuán)體的步伐,其中許多人使用類似的工具和技術(shù)來發(fā)現(xiàn)安全缺陷。
漏洞掃描與手動(dòng)測試的關(guān)系
應(yīng)該指出的是,在測試覆蓋的廣度和深度方面,自動(dòng)化漏洞掃描無法與滲透測試等手動(dòng)流程相比。
相反,自動(dòng)掃描應(yīng)被視為查找和管理常見安全問題的一種經(jīng)濟(jì)高效的方式,而無需雇用專業(yè)的安全測試人員。
同樣,通過定期漏洞掃描處理“容易實(shí)現(xiàn)的目標(biāo)”,滲透測試可以更有效地關(guān)注更適合人類的復(fù)雜安全問題。
1. 評估現(xiàn)有的漏洞管理計(jì)劃
漏洞掃描僅在作為更大的漏洞管理計(jì)劃 (VMP) 的一部分時(shí)才能有效降低組織的風(fēng)險(xiǎn)。
VMP程序通常包括以下流程:
- 系統(tǒng)發(fā)現(xiàn):識(shí)別組織擁有的資產(chǎn);
- 資產(chǎn)分類:根據(jù)共同特征將資產(chǎn)分配到組或類別中;
- 漏洞檢測:查找并驗(yàn)證資產(chǎn)中的漏洞;
- 漏洞分類:根據(jù)技術(shù)或業(yè)務(wù)目標(biāo)對漏洞進(jìn)行優(yōu)先級排序;
- 漏洞修復(fù):就已識(shí)別問題的修復(fù)提供建議并驗(yàn)證;
- 漏洞披露:為安全研究人員提供披露相關(guān)漏洞的機(jī)制。
支持VMP
漏洞掃描解決方案通常包含支持VMP或與VMP集成的功能,例如:
- 通過定期掃描IP地址范圍內(nèi)的新主機(jī)或新的Web應(yīng)用程序來執(zhí)行系統(tǒng)發(fā)現(xiàn)
- 根據(jù)現(xiàn)有資產(chǎn)管理記錄驗(yàn)證發(fā)現(xiàn)的系統(tǒng)
- 定制漏洞報(bào)告的呈現(xiàn)方式,以符合您的業(yè)務(wù)或組織的優(yōu)先級
- 通過重新掃描特定問題并在確認(rèn)問題已修復(fù)后進(jìn)行報(bào)告來支持修復(fù)過程
- 與錯(cuò)誤跟蹤器或源代碼存儲(chǔ)庫等其他系統(tǒng)集成,以幫助協(xié)調(diào)和自動(dòng)化工作流程
- 為用戶提供安全的身份驗(yàn)證門戶,以協(xié)作登錄和管理漏洞
需要什么功能?
這些功能的可用性將在多大程度上影響對漏洞掃描解決方案的選擇,取決于現(xiàn)有的VMP以及它們是否會(huì)改善情況或只是帶來不必要的復(fù)雜性。
例如,尚未部署VMP的組織可能會(huì)受益于包含中央門戶的服務(wù),該門戶允許不同的管理員查看和管理與其自己系統(tǒng)相關(guān)的漏洞。
相比之下,擁有成熟、成熟的MVP的組織可能已經(jīng)具備此類功能,因此可能只需要一個(gè)支持結(jié)果導(dǎo)出的產(chǎn)品,以便它們可以輕松地與現(xiàn)有解決方案集成。
本指南末尾記錄了購買漏洞掃描解決方案時(shí)應(yīng)考慮的其他功能。
2. 確定資產(chǎn)
“資產(chǎn)”一詞在漏洞掃描上下文中用于定義與漏洞關(guān)聯(lián)的實(shí)體(物理或虛擬)。
根據(jù)所進(jìn)行的掃描類型,這可以采取多種形式,例如:
- 網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件,例如路由器或交換機(jī)
- 連接的虛擬或物理主機(jī),例如筆記本電腦、外圍設(shè)備或服務(wù)器
- Web 平臺(tái)或應(yīng)用程序的實(shí)例
- 基于云的主機(jī)或端點(diǎn)
組織擁有涵蓋部分或全部類別的各種資產(chǎn)是很常見的,盡管有些資產(chǎn)可能比其他資產(chǎn)更為普遍。重要的是要識(shí)別并記錄這些內(nèi)容(最好在資產(chǎn)登記冊中),以便找到最合適類型的漏洞掃描程序。許多供應(yīng)商按“每件資產(chǎn)”收取掃描服務(wù)費(fèi)用,因此準(zhǔn)確了解資產(chǎn)數(shù)量對于在采購前估算成本至關(guān)重要。這可以借助(通常免費(fèi)提供的)端口掃描工具來查找網(wǎng)絡(luò)上的活動(dòng)主機(jī)來實(shí)現(xiàn)。
可能會(huì)發(fā)現(xiàn)部分 IT 資產(chǎn)高度分散,例如由于用戶使用自己的移動(dòng)設(shè)備遠(yuǎn)程工作。在這種情況下,請重點(diǎn)關(guān)注旨在由這些設(shè)備遠(yuǎn)程訪問的任何常見服務(wù)。例如,用戶可能需要登錄到可從外部訪問的單個(gè)Web門戶或虛擬專用網(wǎng)絡(luò)服務(wù)器。雖然位于內(nèi)部網(wǎng)絡(luò)外圍的最終用戶設(shè)備的安全性仍然很重要,但遠(yuǎn)程漏洞掃描在這些情況下不太可能有好處。相反,遠(yuǎn)程設(shè)備應(yīng)該通過確保軟件保持最新來避免常見漏洞。
一旦確定了組織內(nèi)的所有相關(guān)資產(chǎn),應(yīng)該將它們分成不同的邏輯組。例如,可能希望將與主網(wǎng)站關(guān)聯(lián)的任何服務(wù)器主機(jī)或 Web 應(yīng)用程序放入一個(gè)類別,并將內(nèi)部桌面資產(chǎn)放入另一類別。這有助于為各個(gè)漏洞掃描定義單獨(dú)的、更易于管理的范圍。
正如上面“評估現(xiàn)有的漏洞管理計(jì)劃”中提到的,一些解決方案通過自動(dòng)執(zhí)行系統(tǒng)發(fā)現(xiàn)和分類來支持此過程。
3. 選擇合適類型的漏洞掃描程序
漏洞掃描器通常根據(jù)其要評估的目標(biāo)類型進(jìn)行分類。最廣泛的區(qū)別在于“基礎(chǔ)設(shè)施”和“應(yīng)用程序”之間。
應(yīng)用程序掃描器進(jìn)一步細(xì)分為針對 Web 應(yīng)用程序的掃描器和針對本機(jī)應(yīng)用程序的掃描器。掃描儀還適用于許多專業(yè)子類別,例如云基礎(chǔ)設(shè)施、移動(dòng)應(yīng)用程序或使用特定平臺(tái)或技術(shù)構(gòu)建的Web應(yīng)用程序。
雖然專用掃描儀可以為其要評估的目標(biāo)類型提供最準(zhǔn)確和相關(guān)的結(jié)果,但組織的 IT 資產(chǎn)可能包含太多變化,因此此類解決方案無法自行提供全面的覆蓋范圍。因此,您應(yīng)該首先尋求建立基礎(chǔ)級別的通用掃描,以確保對最常見的基礎(chǔ)設(shè)施問題進(jìn)行良好的覆蓋。
如果組織暴露其他特定類別的資產(chǎn)(例如上面提到的資產(chǎn))并且預(yù)算允許,我們建議采用分層掃描方法,通過使用更專業(yè)的掃描儀來補(bǔ)充基礎(chǔ)掃描。
基礎(chǔ)設(shè)施掃描儀
基礎(chǔ)設(shè)施掃描解決方案通常側(cè)重于識(shí)別和測試網(wǎng)絡(luò)其余部分或整個(gè)互聯(lián)網(wǎng)可訪問的服務(wù)。為此,它們通常包括主機(jī)發(fā)現(xiàn)和端口掃描功能。
一旦發(fā)現(xiàn)可訪問的網(wǎng)絡(luò)服務(wù),他們通常會(huì)對其進(jìn)行探測以發(fā)現(xiàn)盡可能多的信息。使用“指紋識(shí)別”或“橫幅抓取”等技術(shù),掃描儀可以收集軟件的供應(yīng)商和版本號等詳細(xì)信息。許多基礎(chǔ)設(shè)施掃描儀還會(huì)向某些類型的服務(wù)發(fā)送安全測試消息,以探測更多信息的響應(yīng)或直接測試漏洞是否存在。一旦獲得服務(wù)“指紋”,也會(huì)根據(jù)已知包含安全漏洞的產(chǎn)品知識(shí)庫來引用該服務(wù)“指紋”。
雖然一些網(wǎng)絡(luò)漏洞掃描器也使用比這更先進(jìn)的方法,甚至可以支持首先需要身份驗(yàn)證的檢查,但在覆蓋范圍方面,它們通常注重廣度而不是深度。例如,此類掃描儀通常缺乏導(dǎo)航 Web 應(yīng)用程序或檢測需要與專用協(xié)議進(jìn)行復(fù)雜交互的漏洞的能力。然而,他們很可能能夠檢測到由于在這些相同端口上使用過時(shí)的軟件或弱加密設(shè)置而產(chǎn)生的漏洞。
因此,網(wǎng)絡(luò)漏洞掃描器是監(jiān)控具有大量外部足跡的網(wǎng)絡(luò)的絕佳選擇,以發(fā)現(xiàn)可能被來自互聯(lián)網(wǎng)或公司內(nèi)部網(wǎng)絡(luò)的攻擊所利用的新的常見漏洞。它們對于主要由“現(xiàn)成”解決方案組成且很少或根本不包含定制開發(fā)軟件的 IT 資產(chǎn)也更有用。
Web 應(yīng)用程序掃描儀
Web應(yīng)用程序掃描器專門設(shè)計(jì)用于檢測通過HTTP/S暴露的應(yīng)用程序和 Web服務(wù)中的漏洞。
它們通過與Web瀏覽器幾乎相同的方式與應(yīng)用程序交互來實(shí)現(xiàn)此目的,盡管能夠以更快的速度發(fā)送請求,并制定為從Web服務(wù)器引出表明存在漏洞的響應(yīng)。
Web 應(yīng)用程序掃描程序通常會(huì)檢查可能影響 Web 服務(wù)器本身和應(yīng)用程序的其他用戶的各種安全問題。通常與OWASP Top 10等出版物一致,這是定期更新的Web應(yīng)用程序最關(guān)鍵安全風(fēng)險(xiǎn)列表。與網(wǎng)絡(luò)基礎(chǔ)設(shè)施掃描器不同,Web應(yīng)用程序掃描器旨在檢測定制(通常很復(fù)雜)Web應(yīng)用程序中的漏洞。
高級Web應(yīng)用程序掃描儀還可能支持更精細(xì)的配置。這可能包括為目標(biāo)應(yīng)用程序指定登錄頁面和憑據(jù)的能力,或者排除特定類型的掃描或頁面的能力。如果沒有這些功能,掃描儀就不可能對更復(fù)雜的Web應(yīng)用程序?qū)崿F(xiàn)良好的測試覆蓋率,或者可能產(chǎn)生不良的副作用,例如重復(fù)表單提交產(chǎn)生的大量數(shù)據(jù)庫條目。一般來說,掃描儀越適合目標(biāo)Web應(yīng)用程序,結(jié)果就越相關(guān)和有用。
當(dāng)與網(wǎng)絡(luò)漏洞掃描器結(jié)合使用時(shí),或者當(dāng)自定義 Web 應(yīng)用程序占據(jù)大部分外部網(wǎng)絡(luò)足跡并因此給您的企業(yè)或組織帶來大部分風(fēng)險(xiǎn)時(shí),Web 應(yīng)用程序安全掃描器是一個(gè)絕佳的選擇。(英國NCSC的 Web Check 服務(wù)就是此類服務(wù)的一個(gè)示例,盡管該服務(wù)只能向公共部門提供。Web Check 專門設(shè)計(jì)為“輕觸式”,旨在檢測最常見且廣泛適用的安全問題。)
在選擇漏洞掃描服務(wù)時(shí),需要考慮漏洞掃描的中可能引入的風(fēng)險(xiǎn),雖然漏洞掃描沒有滲透測試要求那么高,但是專業(yè)性還是非常強(qiáng)的。所有專業(yè)的工作,都是需要有專業(yè)的人來執(zhí)行,是將風(fēng)險(xiǎn)降低的最優(yōu)有效手段。不專業(yè)的人的操作,本身就是對網(wǎng)絡(luò)安全不負(fù)責(zé)的行為,引入的風(fēng)險(xiǎn)將是更加隱蔽更加危險(xiǎn)的行為。
本機(jī)軟件掃描儀
這些掃描解決方案與相應(yīng)的 Web 應(yīng)用程序解決方案類似,旨在識(shí)別自定義應(yīng)用程序構(gòu)建和部署中的常見缺陷。
然而,與 Web 應(yīng)用程序掃描儀不同的是,本機(jī)軟件掃描解決方案設(shè)計(jì)為在內(nèi)部設(shè)置中運(yùn)行,通常與正在評估的軟件產(chǎn)品在同一主機(jī)上,或者可以直接訪問其源代碼的地方。這使得能夠執(zhí)行通過與網(wǎng)絡(luò)暴露有限的外部 Web 應(yīng)用程序交互而無法進(jìn)行的檢查。
檢測和管理軟件開發(fā)過程中的漏洞超出了本指南的范圍,但是可以在此處找到有關(guān)此主題的更多信息,作為安全開發(fā)原則之一。
比較基礎(chǔ)設(shè)施和Web應(yīng)用程序掃描儀
漏洞掃描類型 | 相關(guān)資產(chǎn) | 已識(shí)別問題的示例 |
基礎(chǔ)設(shè)施 |
|
|
Web應(yīng)用程序 |
|
|
4. 選擇部署模型
漏洞掃描解決方案和服務(wù)市場包括傳統(tǒng)的本地模型和日益流行的供應(yīng)商托管模型。應(yīng)該選擇最能與基礎(chǔ)設(shè)施集成并滿足組織的安全約束的部署模型
本地解決方案
通過本地部署,客戶需要在自己的基礎(chǔ)設(shè)施上自行托管掃描產(chǎn)品。例如,這可能涉及數(shù)據(jù)中心內(nèi)的虛擬機(jī) (VM) 或物理設(shè)備。
這種類型的部署使得掃描沒有外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)區(qū)域變得更加容易。在此類部署中,數(shù)據(jù)也存儲(chǔ)在本地,因此確保您可以完全控制與系統(tǒng)漏洞相關(guān)的任何敏感信息的位置。
然而,更大程度的行政控制是有代價(jià)的。此類部署不可避免地需要一些初始配置和持續(xù)維護(hù),以確保它們及時(shí)了解最新的漏洞。
此外,本地解決方案無法輕松擴(kuò)展以滿足同時(shí)掃描大部分 IT 資產(chǎn)時(shí)可能出現(xiàn)的需求高峰。這可能會(huì)導(dǎo)致在不確定是否需要的情況下維持過剩產(chǎn)能的費(fèi)用。此問題并非特定于漏洞掃描程序,而是普遍存在于現(xiàn)場基礎(chǔ)設(shè)施托管中。因此,我們建議使用本地解決方案來掃描無法通過 Internet 輕松訪問的系統(tǒng),或者如果您的組織已經(jīng)具有現(xiàn)場基礎(chǔ)設(shè)施托管功能。
供應(yīng)商托管解決方案
許多解決方案現(xiàn)在也作為服務(wù)提供,其中掃描軟件仍然托管在其他地方,由供應(yīng)商控制和管理。
此模型通常稱為軟件即服務(wù)或 SaaS。這可能是克服本地解決方案的許多缺點(diǎn)的一種經(jīng)濟(jì)高效的方法,但它也有其自身的缺點(diǎn)。
作為外部托管服務(wù),SaaS 掃描儀無法輕松訪問位于防火墻和路由器后面的內(nèi)部網(wǎng)絡(luò)。可以通過在內(nèi)部網(wǎng)絡(luò)上安裝代理以形成與供應(yīng)商服務(wù)器的出站連接以接收指令來克服這一挑戰(zhàn)。如果不可能,可以重新配置防火墻以允許來自已知掃描儀的傳入連接。這將不可避免地涉及網(wǎng)絡(luò)管理員的一定程度的初始配置,這可能很簡單,也可能不那么簡單,具體取決于您的 IT 資產(chǎn)的結(jié)構(gòu)。
由于需要對安全掃描供應(yīng)商給予一定程度的信任,因此對網(wǎng)絡(luò)進(jìn)行的任何更改以這種方式啟用掃描都會(huì)增加組織的風(fēng)險(xiǎn)級別。這應(yīng)該被清楚地記錄下來并考慮到您的安全模型中。
盡管存在上述考慮因素,但與本地解決方案相比,SaaS 掃描儀還具有許多優(yōu)勢。由于沒有安裝產(chǎn)品或設(shè)備,因此無需執(zhí)行維護(hù)任務(wù),例如修補(bǔ)或更新內(nèi)部漏洞知識(shí)庫。此外,SaaS 解決方案通常可以根據(jù)需求進(jìn)行擴(kuò)展,而無需永久托管未使用的容量。
最后,讓供應(yīng)商托管漏洞掃描結(jié)果可以簡化您應(yīng)用自己的保護(hù)措施的任務(wù),以確保此類信息保持機(jī)密,同時(shí)可供需要查看這些信息的人訪問(假設(shè)您愿意信任供應(yīng)商的漏洞掃描結(jié)果)自己的控制。
如果可以輕松克服允許外部訪問IT資產(chǎn)以及讓供應(yīng)商保留組織的漏洞信息的技術(shù)挑戰(zhàn)和安全問題,建議使用托管解決方案。這種解決方案不適合評估氣隙網(wǎng)絡(luò)或保存高度敏感信息的網(wǎng)絡(luò)。
5. 決定掃描哪些資產(chǎn)以及何時(shí)掃描
雖然擴(kuò)大 IT 資產(chǎn)的覆蓋范圍確實(shí)可以更全面地了解組織的整體風(fēng)險(xiǎn),但掃描所有內(nèi)容可能不切實(shí)際或負(fù)擔(dān)不起。在這些情況下,您應(yīng)該優(yōu)先考慮可通過 Internet 訪問、托管關(guān)鍵業(yè)務(wù)服務(wù)或包含最敏感數(shù)據(jù)(例如數(shù)據(jù)庫服務(wù)器)的資產(chǎn)。維護(hù)從漏洞掃描中排除的資產(chǎn)的記錄非常重要,以確保相關(guān)風(fēng)險(xiǎn)可以納入組織的安全模型中。
外推測試
如果多個(gè)主機(jī)是從保證相同配置的“黃金映像”構(gòu)建的(這在標(biāo)準(zhǔn)桌面部署中很常見)并且沒有進(jìn)行進(jìn)一步的更改,則掃描從該映像構(gòu)建的單個(gè)主機(jī)并推斷該主機(jī)可能是可以接受的。其他主機(jī)的發(fā)現(xiàn)。
雖然漏洞掃描程序不太可能影響服務(wù)的可用性或造成其他破壞,但您可能希望考慮首先掃描托管關(guān)鍵業(yè)務(wù)服務(wù)的服務(wù)器的非生產(chǎn)實(shí)例。如果兩個(gè)環(huán)境的配置一致,這只會(huì)產(chǎn)生可轉(zhuǎn)移到實(shí)時(shí)環(huán)境的結(jié)果。對于這些配置不同以及確認(rèn)掃描不會(huì)影響非生產(chǎn)實(shí)例的可用性的情況,仍應(yīng)執(zhí)行生產(chǎn)系統(tǒng)的后續(xù)掃描。
如果沒有代表性的非生產(chǎn)環(huán)境,并且擔(dān)心某些關(guān)鍵業(yè)務(wù)主機(jī)的脆弱性,則可以暫時(shí)從可能造成破壞的掃描中忽略這些主機(jī),并將其記錄在風(fēng)險(xiǎn)登記冊中。必須謹(jǐn)慎執(zhí)行此操作,并且時(shí)間應(yīng)盡可能短,因?yàn)檫@樣做會(huì)在攻擊面中造成盲點(diǎn)。在這種情況下,更好的解決方案是解決脆弱性的根本原因,以便可以再次掃描主機(jī),而不必?fù)?dān)心導(dǎo)致服務(wù)中斷。事實(shí)上,脆弱性本身就應(yīng)該被視為一種脆弱性,值得立即修復(fù)。
定期掃描
應(yīng)該定期(至少每月一次)或在應(yīng)用更改以修復(fù)關(guān)鍵問題后立即對基礎(chǔ)設(shè)施執(zhí)行漏洞掃描。
每當(dāng)目標(biāo)應(yīng)用程序發(fā)生更改時(shí),例如安裝新版本或提交自定義應(yīng)用程序源代碼更改時(shí),都應(yīng)運(yùn)行應(yīng)用程序掃描程序。如果可能,應(yīng)用程序掃描解決方案應(yīng)作為安全構(gòu)建和部署管道的一部分納入軟件開發(fā)過程中。
其他注意事項(xiàng)
在確定漏洞掃描服務(wù)是否適合您的需求時(shí),還有許多其他事項(xiàng)需要考慮。雖然通常很難定義每種情況下“好”或“壞”的確切值,建議要求潛在供應(yīng)商提供以下基本標(biāo)準(zhǔn)列表,以便將答案反饋給自己評價(jià):
- 響應(yīng)能力:一旦公開披露新漏洞,解決方案能否在合理的時(shí)間內(nèi)檢測到該漏洞?對于關(guān)鍵問題,應(yīng)該不超過幾天。
- 覆蓋范圍:掃描儀是否涵蓋與相關(guān)且重要的漏洞類別?例如,對于 Web 應(yīng)用程序掃描程序,是否所有問題都從OWASP Top 10中檢測到?
- 身份驗(yàn)證支持:掃描儀是否支持身份驗(yàn)證檢查?例如,它是否能夠登錄 Windows 主機(jī)來執(zhí)行其他方式無法執(zhí)行的檢查?它是否只支持使用代理的本地身份驗(yàn)證以及遠(yuǎn)程身份驗(yàn)證?是否有適當(dāng)?shù)谋Wo(hù)措施來幫助防止帳戶被鎖定?
- 準(zhǔn)確性:掃描儀是否經(jīng)常產(chǎn)生誤報(bào)(漏洞被報(bào)告存在但實(shí)際上并不存在)或漏報(bào)(漏洞存在但未被報(bào)告)?例如,它是否錯(cuò)誤地識(shí)別了軟件產(chǎn)品的舊版本,或者在知道已應(yīng)用補(bǔ)丁的情況下卻聲稱尚未應(yīng)用補(bǔ)丁?
- 可靠性:掃描儀是否可以隨時(shí)按自動(dòng)計(jì)劃和手動(dòng)按需執(zhí)行任務(wù)?
- 可擴(kuò)展性:掃描儀是否在需求增加期間保持高性能,并且成本模型基于任意時(shí)間所需的容量?
- 報(bào)告功能:可以定制報(bào)告以滿足您的特定需求嗎?報(bào)告功能是否提供正確的信息和指標(biāo)來支持您的安全和管理團(tuán)隊(duì)?
- 對 VMP 其他領(lǐng)域的支持:該解決方案是否可以輕松地與您現(xiàn)有的產(chǎn)品或流程集成?或者,該解決方案是否提供了漏洞檢測之外的其他功能來補(bǔ)充您現(xiàn)有的 VMP(例如,內(nèi)置問題跟蹤)?
- 與其他操作系統(tǒng)組件集成:該解決方案能否通過利用目標(biāo)主機(jī)上現(xiàn)有安裝的軟件來提供附加價(jià)值?例如,它是否與Windows主機(jī)上的Microsoft System Center集成以提供智能補(bǔ)丁管理功能?
- 支持不同類型的資產(chǎn):例如,該解決方案是否支持掃描虛擬機(jī)、容器或?qū)S脭?shù)據(jù)庫服務(wù)器?
- 與云環(huán)境集成:該解決方案能否詢問常見的云提供商以自動(dòng)發(fā)現(xiàn)和掃描這些環(huán)境中托管的其他資產(chǎn)?
- 安全性:供應(yīng)商是否保證掃描活動(dòng)不會(huì)破壞目標(biāo)服務(wù)的可用性?如果不是,解決方案是否可以配置為排除更危險(xiǎn)的檢查?
來源:英國NCSC
