5W2H 分解漏洞掃描 - WHY
WHY 為什麼要做漏洞掃描呢?
降低資産所面臨的風險
上文提到漏洞的典型特征:系統的缺陷/弱點、可能被威脅利用于違反安全政策、可能導緻系統的安全性被破壞。 從資訊安全風險評估規範GB/T 20984可以知道,分析風險的計算公式為:總風險 = 威脅 * 漏洞(脆弱性) * 資産價值。 由此可見漏洞是計算風險的重要變量,漏洞越嚴重,資産面臨的風險越高。通過漏洞掃描及時發現漏洞,及時修複高危漏洞,能夠有效降低資産的風險。
風險并非看不見摸不着的,漫漫曆史長河裡,風險的發生往往意味着大筆的鈔票煙消雲散。以2017年5月份爆發的WannaCry勒索為例,它利用了微軟公司MS17-010涉及到的SMBv1遠端代碼執行漏洞,最終150餘個國家遭到傷害(幸免的國家,要麼沒有計算機,要麼沒有網際網路),給全球造成逾80億美元經濟損失【引自路透社】。
如何防範這一傷害呢?最經濟有效的方法就是給受漏洞影響的Windows系統打上安全更新檔。哪些版本的Windows系統存在相關漏洞呢? 事實上,2017年3月微軟就已經通過它的官網對外披露了受影響的Windows系統清單以及修複相關漏洞的安全更新檔,而業界主流的漏洞掃描工具也都在第一時間支援了對該漏洞的掃描。也即是說,那些做了漏洞掃描,及時發現并成功修複了MS17-010相關高危漏洞的Windows使用者,能避免被WannaCry成功傷害。
随着資訊化不斷深入發展,接入公共網絡的資料資産越來越豐富,在為人們打開日常生活友善之門的同時,由于其價值逐漸顯現,對威脅也更具吸引力,進而導緻了風險也越來越高。持續的風險評估逐漸成為了網絡建設與營運的常态化行為。尤其對于底層關鍵資訊基礎設施的安全風險,各國家及關鍵行業也越來越關注,頒布相關法律和規範予以支撐和指引。
滿足法律合規要求
2017年生效的中華人民共和國網絡安全法,作為上位法,明确了中國實施網絡安全等級保護制度。而在網絡安全等級保護測評過程指南GB/T 28449-2018這一标準中,則明确給出了對于二/三/四級系統的測評要求,漏洞掃描無疑是已寫入其中的重要組成部分。
2018年生效的歐盟的通用資料保護條例GDPR(General Data Protection Regulation)無疑是有海外業務的公司或組織最關注的網絡安全立法。盡管從内容上來看,它更加強調個人隐私資料保護及資料主權。但是從資料控制者的義務來看,必須采取必要的技術手段確定個人資料的完整性及保密性【GDPR】。這意味着資料控制者必須持續評估并消減其業務系統中的漏洞以降低資料洩露或被破壞的風險。具體有哪些技術手段呢?漏洞掃描顯然會是其中的重要組成部分。
從2004年釋出第一個版本以來, 銀行卡行業資料保護标準PCI DSS(Payment Card Industry Data Security Standard)就要求行業參與者實施漏管理以保護應用安全和系統安全。10多年過去了,最新版本已經來到了2018年釋出的v3.2.1,而漏洞掃描的要求一直都存在着并更加細化,由此可以看到它的重要性。
滿足業界安全最佳實踐及認證需求
資訊技術安全評估通用标準ISO/IEC 15408 是計算機相關産品安全認證的國際标準,産品供應商可以委托第三方評估實驗室評估其産品,若成功通過評估則會獲得CC認證,而這通常也就意味着獲得全球範圍内的“通行許可證”。對産品的安全評估等級由低到高可以分為 EAL1~EAL7,最低等級的EAL1包含最少的保障過程。即便如此,漏洞評估也包含在EAL1範圍内,因為它最為基礎和有效。
此外還有如CIS(Center for Internet Security)廣為人知,其提出的的CIS Critical Security Controls(通用安全控制架構)以及CIS Benchmark(安全配置基線)被很多大型公司參考引用,作為實施網絡安全的最佳實踐。在其安全控制架構中的第7條,則是明确提出了需要持續的進行漏洞管理。如何做呢? 對于安全要求級别高的使用者,自動化的内網及外網漏洞掃描當然是必不可少的。