一、漏洞扫描的概念
漏洞扫描是指基于 CVE、CNVD、CNNVD 等漏洞数据库,通过专用工具扫描手段对指定的远程或者本地的网络设备、主机、数据库、操作系统、中间件、业务系统等进行脆弱性评估,发现安全漏洞,并提供可操作的安全建议或临时解决办法的服务。 漏洞扫描服务主要有两种类型:第一种为业务系统应用层扫描,通过扫描工具准确识别出 注入缺陷、跨站脚本攻击、非法链接跳转、信息泄露、异常处理等安全漏洞,全面检测并发现业务应用安全隐患;第二种为主机系统漏洞扫描,通过扫描工具识别多种操作系统、网络设备、 安全设备、数据库、中间件等存在的安全漏洞,全面检测终端设备的安全隐患。
二、为什么要做漏洞扫描
1、合规要求 随着网安法、等级保护2.0的发布,合规监管单位也对漏洞管理提出了明确的要求。其中网络安全法第二十五条,明确提出网络运营者应当及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险。等级保护2.0中,漏洞和风险管理章节中也明确要求“应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。应开展日常的漏洞检查,应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞”。除此之外,在网安、网信、行业监管部门每年组织的网络大检查中,漏洞也作为关键必查项,一旦发现漏洞,一般会出具警示函、通报函或其他行政监管措施。
2、安全要求
1)安全漏洞数量越来越多 近年来,安全漏洞呈不断上升的态势。根据国家信息安全漏洞共享平台(CNVD)统计,2020年,CNVD共收录通用软硬件漏洞19964个。其中,高危漏洞6906个(占34.6%)、中危漏洞10633个(占53.3%)、低危漏洞2425个(占12.1%)。较2019年漏洞收录总数16050环比增加24.39%。
根据国际著名的安全漏洞库(CVE)统计,CVE 每年新增收录漏洞数从 2016 年的 6.53 万,2017年 的 10.95 万,2018 年的 12.3 万,到 2019 年的11.63 万。从累年收录数据来看,总体漏洞上升趋势明显,漏洞数量越来越多。
2)安全漏洞危害越来越大
当前,新一轮科技革命和产业变革正蓄势待发。随着人工智能、大数据、物联网、工业互联网的发展,信息化建设迅速推进,越来越多的政务工作通过互联网办理,在方便民众办理业务的同时也带来了信息泄露严重的问题。近年来,国内、国外爆发了多起网站漏洞导致民众个人信息泄露的事件,涉及居民社保信息、卫生医疗信息、企业信息等。据统计,2019 年安全漏洞导致的信息泄露事件超过1000起,安全漏洞已经成为安全事件爆发的最关键导火索之一。漏洞的危害越来越严重,统计表明利用已知系统漏洞成功入侵的占到了72.6%。绝大多数的网络攻击事件都是厂商已公布、用户未及时修补的漏洞引发的。
三、漏洞扫描服务实施过程
1、准备阶段:前期技术交流包括相关安全扫描技术、扫描原理、扫描方式及扫描条件进行交流和说明;同时商谈安全漏洞扫描服务的范围,主要是哪些主机,网络设备,应用系统等;并结合实际业务情况需求,确定扫描范围,扫描实施的时间,设备接入点,IP地址的预留,配合人员及其他相关的整体漏扫方案。
2、扫描过程:依据前期准备阶段的漏扫方案,进行漏洞扫描、漏洞分析和漏洞测试,扫描过程主要是进行范围内的漏洞信息数据收集,为下一步的报告撰写提供依据和数据来源。漏洞扫描,采用漏洞扫描工具进行范围内的安全扫描。漏洞分析,主要是对扫描结果进行分析,结合扫描结果和实际客户系统状况,进行安全分析。漏洞验证,对部分需要人工确定和安全分析的漏洞,进行手工测试,以确定其准确性和风险性。
3、报告与汇报:这个阶段主要对现场进行扫描后的数据进行安全分析,安全工程师对漏洞扫描工具输出的报告,漏洞分析结果及漏洞测试具体情况进行综合梳理,分析,总结。最后给出符合客户信息系统实际情况的安全需求的安全建议。
四、德迅漏洞扫描服务 VSS 1、扫描全面 涵盖多种类型资产扫描,支持云内外网站和主机扫描,支持内网扫描、智能关联各资产之间的联系,自动发现资产指纹信息,避免扫描盲区。
2、高效精准 采用web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率,时刻关注业界紧急CVE爆发漏洞情况,自动扫描,最快速了解资产安全风险。
3、简单易用 配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。
4、报告全面 清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。
