介紹

漏洞掃描是一個(gè)廣泛的術(shù)語，用于描述檢測(cè)組織安全程序中的缺陷的自動(dòng)化過程。這涵蓋補(bǔ)丁管理流程、強(qiáng)化程序和軟件開發(fā)生命周期 (SDLC) 等領(lǐng)域。提供漏洞掃描的服務(wù)或產(chǎn)品通常也稱為漏洞評(píng)估系統(tǒng) (VAS)。

作為有效的漏洞管理計(jì)劃 (VMP) 的一部分，漏洞掃描解決方案是一種經(jīng)濟(jì)實(shí)惠的自動(dòng)檢測(cè)組織網(wǎng)絡(luò)內(nèi)安全問題的方法。然而，漏洞掃描產(chǎn)品和服務(wù)市場(chǎng)涵蓋許多專業(yè)領(lǐng)域，并包括涉及部署模型和許可成本等問題的廣泛選項(xiàng)。這些復(fù)雜性可能在為自己的組織購(gòu)買漏洞掃描解決方案時(shí)難以做出正確的選擇。

本指南旨在為廣大受眾提供選擇合適的漏洞掃描解決方案的工具。

受眾和結(jié)構(gòu)

該指南幫助中小企業(yè)、大型組織和公共部門機(jī)構(gòu)：

• 了解漏洞掃描的基礎(chǔ)知識(shí)以及它如何與 VMP 集成
• 決定何時(shí)以及如何最有效地使用漏洞掃描
• 購(gòu)買漏洞掃描解決方案時(shí)設(shè)定重要標(biāo)準(zhǔn)

該指南分為四個(gè)步驟，首先評(píng)估當(dāng)前的漏洞掃描設(shè)置，然后再考慮您需要的掃描器類型。然后我們考慮掃描什么以及何時(shí)掃描，最后給出一些一般性的建議。

漏洞掃描的優(yōu)點(diǎn)

組織應(yīng)利用漏洞掃描的原因有很多：

• 自動(dòng)化：掃描可以按計(jì)劃、按需或響應(yīng)觸發(fā)事件（例如軟件項(xiàng)目的新構(gòu)建或新服務(wù)器的部署）運(yùn)行。這使得能夠維護(hù)漏洞狀況的最新視圖。
• 速度：掃描儀通常會(huì)以比手動(dòng)測(cè)試快得多的速度執(zhí)行數(shù)百甚至數(shù)千次檢查。
• 成本效益：速度和自動(dòng)化的優(yōu)勢(shì)使得針對(duì)目標(biāo)執(zhí)行漏洞掃描比手動(dòng)測(cè)試更加經(jīng)濟(jì)。
• 可擴(kuò)展性：現(xiàn)代基于云的架構(gòu)意味著服務(wù)可以增加或減少其資源，以便能夠在相似的時(shí)間范圍內(nèi)掃描小型或大型環(huán)境。
• 合規(guī)性：許多漏洞掃描解決方案包括定制檢查，以測(cè)試是否符合通用信息安全標(biāo)準(zhǔn)或組織自己的基線控制集。
• 準(zhǔn)確性：通過執(zhí)行定制檢查來確認(rèn)漏洞的存在，掃描儀可以產(chǎn)生比簡(jiǎn)單地引用軟件資產(chǎn)管理解決方案中保存的信息更可靠的結(jié)果。

最重要的是，漏洞掃描使組織能夠跟上有意破壞系統(tǒng)的個(gè)人和團(tuán)體的步伐，其中許多人使用類似的工具和技術(shù)來發(fā)現(xiàn)安全缺陷。

漏洞掃描與手動(dòng)測(cè)試的關(guān)系

應(yīng)該指出的是，在測(cè)試覆蓋的廣度和深度方面，自動(dòng)化漏洞掃描無法與滲透測(cè)試等手動(dòng)流程相比。

相反，自動(dòng)掃描應(yīng)被視為查找和管理常見安全問題的一種經(jīng)濟(jì)高效的方式，而無需雇用專業(yè)的安全測(cè)試人員。

同樣，通過定期漏洞掃描處理“容易實(shí)現(xiàn)的目標(biāo)”，滲透測(cè)試可以更有效地關(guān)注更適合人類的復(fù)雜安全問題。

1. 評(píng)估現(xiàn)有的漏洞管理計(jì)劃

漏洞掃描僅在作為更大的漏洞管理計(jì)劃 (VMP) 的一部分時(shí)才能有效降低組織的風(fēng)險(xiǎn)。

VMP程序通常包括以下流程：

• 系統(tǒng)發(fā)現(xiàn)：識(shí)別組織擁有的資產(chǎn)；
• 資產(chǎn)分類：根據(jù)共同特征將資產(chǎn)分配到組或類別中；
• 漏洞檢測(cè)：查找并驗(yàn)證資產(chǎn)中的漏洞；
• 漏洞分類：根據(jù)技術(shù)或業(yè)務(wù)目標(biāo)對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序；
• 漏洞修復(fù)：就已識(shí)別問題的修復(fù)提供建議并驗(yàn)證；
• 漏洞披露：為安全研究人員提供披露相關(guān)漏洞的機(jī)制。

支持VMP

漏洞掃描解決方案通常包含支持VMP或與VMP集成的功能，例如：

• 通過定期掃描IP地址范圍內(nèi)的新主機(jī)或新的Web應(yīng)用程序來執(zhí)行系統(tǒng)發(fā)現(xiàn)
• 根據(jù)現(xiàn)有資產(chǎn)管理記錄驗(yàn)證發(fā)現(xiàn)的系統(tǒng)
• 定制漏洞報(bào)告的呈現(xiàn)方式，以符合您的業(yè)務(wù)或組織的優(yōu)先級(jí)
• 通過重新掃描特定問題并在確認(rèn)問題已修復(fù)后進(jìn)行報(bào)告來支持修復(fù)過程
• 與錯(cuò)誤跟蹤器或源代碼存儲(chǔ)庫(kù)等其他系統(tǒng)集成，以幫助協(xié)調(diào)和自動(dòng)化工作流程
• 為用戶提供安全的身份驗(yàn)證門戶，以協(xié)作登錄和管理漏洞

需要什么功能？

這些功能的可用性將在多大程度上影響對(duì)漏洞掃描解決方案的選擇，取決于現(xiàn)有的VMP以及它們是否會(huì)改善情況或只是帶來不必要的復(fù)雜性。

例如，尚未部署VMP的組織可能會(huì)受益于包含中央門戶的服務(wù)，該門戶允許不同的管理員查看和管理與其自己系統(tǒng)相關(guān)的漏洞。

相比之下，擁有成熟、成熟的MVP的組織可能已經(jīng)具備此類功能，因此可能只需要一個(gè)支持結(jié)果導(dǎo)出的產(chǎn)品，以便它們可以輕松地與現(xiàn)有解決方案集成。

本指南末尾記錄了購(gòu)買漏洞掃描解決方案時(shí)應(yīng)考慮的其他功能。

2. 確定資產(chǎn)

“資產(chǎn)”一詞在漏洞掃描上下文中用于定義與漏洞關(guān)聯(lián)的實(shí)體（物理或虛擬）。

根據(jù)所進(jìn)行的掃描類型，這可以采取多種形式，例如：

• 網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件，例如路由器或交換機(jī)
• 連接的虛擬或物理主機(jī)，例如筆記本電腦、外圍設(shè)備或服務(wù)器
• Web 平臺(tái)或應(yīng)用程序的實(shí)例
• 基于云的主機(jī)或端點(diǎn)

組織擁有涵蓋部分或全部類別的各種資產(chǎn)是很常見的，盡管有些資產(chǎn)可能比其他資產(chǎn)更為普遍。重要的是要識(shí)別并記錄這些內(nèi)容（最好在資產(chǎn)登記冊(cè)中），以便找到最合適類型的漏洞掃描程序。許多供應(yīng)商按“每件資產(chǎn)”收取掃描服務(wù)費(fèi)用，因此準(zhǔn)確了解資產(chǎn)數(shù)量對(duì)于在采購(gòu)前估算成本至關(guān)重要。這可以借助（通常免費(fèi)提供的）端口掃描工具來查找網(wǎng)絡(luò)上的活動(dòng)主機(jī)來實(shí)現(xiàn)。

可能會(huì)發(fā)現(xiàn)部分 IT 資產(chǎn)高度分散，例如由于用戶使用自己的移動(dòng)設(shè)備遠(yuǎn)程工作。在這種情況下，請(qǐng)重點(diǎn)關(guān)注旨在由這些設(shè)備遠(yuǎn)程訪問的任何常見服務(wù)。例如，用戶可能需要登錄到可從外部訪問的單個(gè)Web門戶或虛擬專用網(wǎng)絡(luò)服務(wù)器。雖然位于內(nèi)部網(wǎng)絡(luò)外圍的最終用戶設(shè)備的安全性仍然很重要，但遠(yuǎn)程漏洞掃描在這些情況下不太可能有好處。相反，遠(yuǎn)程設(shè)備應(yīng)該通過確保軟件保持最新來避免常見漏洞。

一旦確定了組織內(nèi)的所有相關(guān)資產(chǎn)，應(yīng)該將它們分成不同的邏輯組。例如，可能希望將與主網(wǎng)站關(guān)聯(lián)的任何服務(wù)器主機(jī)或 Web 應(yīng)用程序放入一個(gè)類別，并將內(nèi)部桌面資產(chǎn)放入另一類別。這有助于為各個(gè)漏洞掃描定義單獨(dú)的、更易于管理的范圍。

正如上面“評(píng)估現(xiàn)有的漏洞管理計(jì)劃”中提到的，一些解決方案通過自動(dòng)執(zhí)行系統(tǒng)發(fā)現(xiàn)和分類來支持此過程。

3. 選擇合適類型的漏洞掃描程序

漏洞掃描器通常根據(jù)其要評(píng)估的目標(biāo)類型進(jìn)行分類。最廣泛的區(qū)別在于“基礎(chǔ)設(shè)施”和“應(yīng)用程序”之間。

應(yīng)用程序掃描器進(jìn)一步細(xì)分為針對(duì) Web 應(yīng)用程序的掃描器和針對(duì)本機(jī)應(yīng)用程序的掃描器。掃描儀還適用于許多專業(yè)子類別，例如云基礎(chǔ)設(shè)施、移動(dòng)應(yīng)用程序或使用特定平臺(tái)或技術(shù)構(gòu)建的Web應(yīng)用程序。

雖然專用掃描儀可以為其要評(píng)估的目標(biāo)類型提供最準(zhǔn)確和相關(guān)的結(jié)果，但組織的 IT 資產(chǎn)可能包含太多變化，因此此類解決方案無法自行提供全面的覆蓋范圍。因此，您應(yīng)該首先尋求建立基礎(chǔ)級(jí)別的通用掃描，以確保對(duì)最常見的基礎(chǔ)設(shè)施問題進(jìn)行良好的覆蓋。

如果組織暴露其他特定類別的資產(chǎn)（例如上面提到的資產(chǎn)）并且預(yù)算允許，我們建議采用分層掃描方法，通過使用更專業(yè)的掃描儀來補(bǔ)充基礎(chǔ)掃描。

基礎(chǔ)設(shè)施掃描儀

基礎(chǔ)設(shè)施掃描解決方案通常側(cè)重于識(shí)別和測(cè)試網(wǎng)絡(luò)其余部分或整個(gè)互聯(lián)網(wǎng)可訪問的服務(wù)。為此，它們通常包括主機(jī)發(fā)現(xiàn)和端口掃描功能。

一旦發(fā)現(xiàn)可訪問的網(wǎng)絡(luò)服務(wù)，他們通常會(huì)對(duì)其進(jìn)行探測(cè)以發(fā)現(xiàn)盡可能多的信息。使用“指紋識(shí)別”或“橫幅抓取”等技術(shù)，掃描儀可以收集軟件的供應(yīng)商和版本號(hào)等詳細(xì)信息。許多基礎(chǔ)設(shè)施掃描儀還會(huì)向某些類型的服務(wù)發(fā)送安全測(cè)試消息，以探測(cè)更多信息的響應(yīng)或直接測(cè)試漏洞是否存在。一旦獲得服務(wù)“指紋”，也會(huì)根據(jù)已知包含安全漏洞的產(chǎn)品知識(shí)庫(kù)來引用該服務(wù)“指紋”。

雖然一些網(wǎng)絡(luò)漏洞掃描器也使用比這更先進(jìn)的方法，甚至可以支持首先需要身份驗(yàn)證的檢查，但在覆蓋范圍方面，它們通常注重廣度而不是深度。例如，此類掃描儀通常缺乏導(dǎo)航 Web 應(yīng)用程序或檢測(cè)需要與專用協(xié)議進(jìn)行復(fù)雜交互的漏洞的能力。然而，他們很可能能夠檢測(cè)到由于在這些相同端口上使用過時(shí)的軟件或弱加密設(shè)置而產(chǎn)生的漏洞。

因此，網(wǎng)絡(luò)漏洞掃描器是監(jiān)控具有大量外部足跡的網(wǎng)絡(luò)的絕佳選擇，以發(fā)現(xiàn)可能被來自互聯(lián)網(wǎng)或公司內(nèi)部網(wǎng)絡(luò)的攻擊所利用的新的常見漏洞。它們對(duì)于主要由“現(xiàn)成”解決方案組成且很少或根本不包含定制開發(fā)軟件的 IT 資產(chǎn)也更有用。

Web 應(yīng)用程序掃描儀

Web應(yīng)用程序掃描器專門設(shè)計(jì)用于檢測(cè)通過HTTP/S暴露的應(yīng)用程序和 Web服務(wù)中的漏洞。

它們通過與Web瀏覽器幾乎相同的方式與應(yīng)用程序交互來實(shí)現(xiàn)此目的，盡管能夠以更快的速度發(fā)送請(qǐng)求，并制定為從Web服務(wù)器引出表明存在漏洞的響應(yīng)。

Web 應(yīng)用程序掃描程序通常會(huì)檢查可能影響 Web 服務(wù)器本身和應(yīng)用程序的其他用戶的各種安全問題。通常與OWASP Top 10等出版物一致，這是定期更新的Web應(yīng)用程序最關(guān)鍵安全風(fēng)險(xiǎn)列表。與網(wǎng)絡(luò)基礎(chǔ)設(shè)施掃描器不同，Web應(yīng)用程序掃描器旨在檢測(cè)定制（通常很復(fù)雜）Web應(yīng)用程序中的漏洞。

高級(jí)Web應(yīng)用程序掃描儀還可能支持更精細(xì)的配置。這可能包括為目標(biāo)應(yīng)用程序指定登錄頁面和憑據(jù)的能力，或者排除特定類型的掃描或頁面的能力。如果沒有這些功能，掃描儀就不可能對(duì)更復(fù)雜的Web應(yīng)用程序?qū)崿F(xiàn)良好的測(cè)試覆蓋率，或者可能產(chǎn)生不良的副作用，例如重復(fù)表單提交產(chǎn)生的大量數(shù)據(jù)庫(kù)條目。一般來說，掃描儀越適合目標(biāo)Web應(yīng)用程序，結(jié)果就越相關(guān)和有用。

當(dāng)與網(wǎng)絡(luò)漏洞掃描器結(jié)合使用時(shí)，或者當(dāng)自定義 Web 應(yīng)用程序占據(jù)大部分外部網(wǎng)絡(luò)足跡并因此給您的企業(yè)或組織帶來大部分風(fēng)險(xiǎn)時(shí)，Web 應(yīng)用程序安全掃描器是一個(gè)絕佳的選擇。（英國(guó)NCSC的 Web Check 服務(wù)就是此類服務(wù)的一個(gè)示例，盡管該服務(wù)只能向公共部門提供。Web Check 專門設(shè)計(jì)為“輕觸式”，旨在檢測(cè)最常見且廣泛適用的安全問題。）

在選擇漏洞掃描服務(wù)時(shí)，需要考慮漏洞掃描的中可能引入的風(fēng)險(xiǎn)，雖然漏洞掃描沒有滲透測(cè)試要求那么高，但是專業(yè)性還是非常強(qiáng)的。所有專業(yè)的工作，都是需要有專業(yè)的人來執(zhí)行，是將風(fēng)險(xiǎn)降低的最優(yōu)有效手段。不專業(yè)的人的操作，本身就是對(duì)網(wǎng)絡(luò)安全不負(fù)責(zé)的行為，引入的風(fēng)險(xiǎn)將是更加隱蔽更加危險(xiǎn)的行為。

本機(jī)軟件掃描儀

這些掃描解決方案與相應(yīng)的 Web 應(yīng)用程序解決方案類似，旨在識(shí)別自定義應(yīng)用程序構(gòu)建和部署中的常見缺陷。

然而，與 Web 應(yīng)用程序掃描儀不同的是，本機(jī)軟件掃描解決方案設(shè)計(jì)為在內(nèi)部設(shè)置中運(yùn)行，通常與正在評(píng)估的軟件產(chǎn)品在同一主機(jī)上，或者可以直接訪問其源代碼的地方。這使得能夠執(zhí)行通過與網(wǎng)絡(luò)暴露有限的外部 Web 應(yīng)用程序交互而無法進(jìn)行的檢查。

檢測(cè)和管理軟件開發(fā)過程中的漏洞超出了本指南的范圍，但是可以在此處找到有關(guān)此主題的更多信息，作為安全開發(fā)原則之一。

比較基礎(chǔ)設(shè)施和Web應(yīng)用程序掃描儀

4. 選擇部署模型

漏洞掃描解決方案和服務(wù)市場(chǎng)包括傳統(tǒng)的本地模型和日益流行的供應(yīng)商托管模型。應(yīng)該選擇最能與基礎(chǔ)設(shè)施集成并滿足組織的安全約束的部署模型

本地解決方案

通過本地部署，客戶需要在自己的基礎(chǔ)設(shè)施上自行托管掃描產(chǎn)品。例如，這可能涉及數(shù)據(jù)中心內(nèi)的虛擬機(jī) (VM) 或物理設(shè)備。

這種類型的部署使得掃描沒有外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)區(qū)域變得更加容易。在此類部署中，數(shù)據(jù)也存儲(chǔ)在本地，因此確保您可以完全控制與系統(tǒng)漏洞相關(guān)的任何敏感信息的位置。

然而，更大程度的行政控制是有代價(jià)的。此類部署不可避免地需要一些初始配置和持續(xù)維護(hù)，以確保它們及時(shí)了解最新的漏洞。

此外，本地解決方案無法輕松擴(kuò)展以滿足同時(shí)掃描大部分 IT 資產(chǎn)時(shí)可能出現(xiàn)的需求高峰。這可能會(huì)導(dǎo)致在不確定是否需要的情況下維持過剩產(chǎn)能的費(fèi)用。此問題并非特定于漏洞掃描程序，而是普遍存在于現(xiàn)場(chǎng)基礎(chǔ)設(shè)施托管中。因此，我們建議使用本地解決方案來掃描無法通過 Internet 輕松訪問的系統(tǒng)，或者如果您的組織已經(jīng)具有現(xiàn)場(chǎng)基礎(chǔ)設(shè)施托管功能。

供應(yīng)商托管解決方案

許多解決方案現(xiàn)在也作為服務(wù)提供，其中掃描軟件仍然托管在其他地方，由供應(yīng)商控制和管理。

此模型通常稱為軟件即服務(wù)或 SaaS。這可能是克服本地解決方案的許多缺點(diǎn)的一種經(jīng)濟(jì)高效的方法，但它也有其自身的缺點(diǎn)。

作為外部托管服務(wù)，SaaS 掃描儀無法輕松訪問位于防火墻和路由器后面的內(nèi)部網(wǎng)絡(luò)。可以通過在內(nèi)部網(wǎng)絡(luò)上安裝代理以形成與供應(yīng)商服務(wù)器的出站連接以接收指令來克服這一挑戰(zhàn)。如果不可能，可以重新配置防火墻以允許來自已知掃描儀的傳入連接。這將不可避免地涉及網(wǎng)絡(luò)管理員的一定程度的初始配置，這可能很簡(jiǎn)單，也可能不那么簡(jiǎn)單，具體取決于您的 IT 資產(chǎn)的結(jié)構(gòu)。

由于需要對(duì)安全掃描供應(yīng)商給予一定程度的信任，因此對(duì)網(wǎng)絡(luò)進(jìn)行的任何更改以這種方式啟用掃描都會(huì)增加組織的風(fēng)險(xiǎn)級(jí)別。這應(yīng)該被清楚地記錄下來并考慮到您的安全模型中。

盡管存在上述考慮因素，但與本地解決方案相比，SaaS 掃描儀還具有許多優(yōu)勢(shì)。由于沒有安裝產(chǎn)品或設(shè)備，因此無需執(zhí)行維護(hù)任務(wù)，例如修補(bǔ)或更新內(nèi)部漏洞知識(shí)庫(kù)。此外，SaaS 解決方案通?？梢愿鶕?jù)需求進(jìn)行擴(kuò)展，而無需永久托管未使用的容量。

最后，讓供應(yīng)商托管漏洞掃描結(jié)果可以簡(jiǎn)化您應(yīng)用自己的保護(hù)措施的任務(wù)，以確保此類信息保持機(jī)密，同時(shí)可供需要查看這些信息的人訪問（假設(shè)您愿意信任供應(yīng)商的漏洞掃描結(jié)果）自己的控制。

如果可以輕松克服允許外部訪問IT資產(chǎn)以及讓供應(yīng)商保留組織的漏洞信息的技術(shù)挑戰(zhàn)和安全問題，建議使用托管解決方案。這種解決方案不適合評(píng)估氣隙網(wǎng)絡(luò)或保存高度敏感信息的網(wǎng)絡(luò)。

5. 決定掃描哪些資產(chǎn)以及何時(shí)掃描

雖然擴(kuò)大 IT 資產(chǎn)的覆蓋范圍確實(shí)可以更全面地了解組織的整體風(fēng)險(xiǎn)，但掃描所有內(nèi)容可能不切實(shí)際或負(fù)擔(dān)不起。在這些情況下，您應(yīng)該優(yōu)先考慮可通過 Internet 訪問、托管關(guān)鍵業(yè)務(wù)服務(wù)或包含最敏感數(shù)據(jù)（例如數(shù)據(jù)庫(kù)服務(wù)器）的資產(chǎn)。維護(hù)從漏洞掃描中排除的資產(chǎn)的記錄非常重要，以確保相關(guān)風(fēng)險(xiǎn)可以納入組織的安全模型中。

外推測(cè)試

如果多個(gè)主機(jī)是從保證相同配置的“黃金映像”構(gòu)建的（這在標(biāo)準(zhǔn)桌面部署中很常見）并且沒有進(jìn)行進(jìn)一步的更改，則掃描從該映像構(gòu)建的單個(gè)主機(jī)并推斷該主機(jī)可能是可以接受的。其他主機(jī)的發(fā)現(xiàn)。

雖然漏洞掃描程序不太可能影響服務(wù)的可用性或造成其他破壞，但您可能希望考慮首先掃描托管關(guān)鍵業(yè)務(wù)服務(wù)的服務(wù)器的非生產(chǎn)實(shí)例。如果兩個(gè)環(huán)境的配置一致，這只會(huì)產(chǎn)生可轉(zhuǎn)移到實(shí)時(shí)環(huán)境的結(jié)果。對(duì)于這些配置不同以及確認(rèn)掃描不會(huì)影響非生產(chǎn)實(shí)例的可用性的情況，仍應(yīng)執(zhí)行生產(chǎn)系統(tǒng)的后續(xù)掃描。

如果沒有代表性的非生產(chǎn)環(huán)境，并且擔(dān)心某些關(guān)鍵業(yè)務(wù)主機(jī)的脆弱性，則可以暫時(shí)從可能造成破壞的掃描中忽略這些主機(jī)，并將其記錄在風(fēng)險(xiǎn)登記冊(cè)中。必須謹(jǐn)慎執(zhí)行此操作，并且時(shí)間應(yīng)盡可能短，因?yàn)檫@樣做會(huì)在攻擊面中造成盲點(diǎn)。在這種情況下，更好的解決方案是解決脆弱性的根本原因，以便可以再次掃描主機(jī)，而不必?fù)?dān)心導(dǎo)致服務(wù)中斷。事實(shí)上，脆弱性本身就應(yīng)該被視為一種脆弱性，值得立即修復(fù)。

定期掃描

應(yīng)該定期（至少每月一次）或在應(yīng)用更改以修復(fù)關(guān)鍵問題后立即對(duì)基礎(chǔ)設(shè)施執(zhí)行漏洞掃描。

每當(dāng)目標(biāo)應(yīng)用程序發(fā)生更改時(shí)，例如安裝新版本或提交自定義應(yīng)用程序源代碼更改時(shí)，都應(yīng)運(yùn)行應(yīng)用程序掃描程序。如果可能，應(yīng)用程序掃描解決方案應(yīng)作為安全構(gòu)建和部署管道的一部分納入軟件開發(fā)過程中。

其他注意事項(xiàng)

在確定漏洞掃描服務(wù)是否適合您的需求時(shí)，還有許多其他事項(xiàng)需要考慮。雖然通常很難定義每種情況下“好”或“壞”的確切值，建議要求潛在供應(yīng)商提供以下基本標(biāo)準(zhǔn)列表，以便將答案反饋給自己評(píng)價(jià)：

• 響應(yīng)能力：一旦公開披露新漏洞，解決方案能否在合理的時(shí)間內(nèi)檢測(cè)到該漏洞？對(duì)于關(guān)鍵問題，應(yīng)該不超過幾天。
• 覆蓋范圍：掃描儀是否涵蓋與相關(guān)且重要的漏洞類別？例如，對(duì)于 Web 應(yīng)用程序掃描程序，是否所有問題都從OWASP Top 10中檢測(cè)到？
• 身份驗(yàn)證支持：掃描儀是否支持身份驗(yàn)證檢查？例如，它是否能夠登錄 Windows 主機(jī)來執(zhí)行其他方式無法執(zhí)行的檢查？它是否只支持使用代理的本地身份驗(yàn)證以及遠(yuǎn)程身份驗(yàn)證？是否有適當(dāng)?shù)谋Ｗo(hù)措施來幫助防止帳戶被鎖定？
• 準(zhǔn)確性：掃描儀是否經(jīng)常產(chǎn)生誤報(bào)（漏洞被報(bào)告存在但實(shí)際上并不存在）或漏報(bào)（漏洞存在但未被報(bào)告）？例如，它是否錯(cuò)誤地識(shí)別了軟件產(chǎn)品的舊版本，或者在知道已應(yīng)用補(bǔ)丁的情況下卻聲稱尚未應(yīng)用補(bǔ)丁？
• 可靠性：掃描儀是否可以隨時(shí)按自動(dòng)計(jì)劃和手動(dòng)按需執(zhí)行任務(wù)？
• 可擴(kuò)展性：掃描儀是否在需求增加期間保持高性能，并且成本模型基于任意時(shí)間所需的容量？
• 報(bào)告功能：可以定制報(bào)告以滿足您的特定需求嗎？報(bào)告功能是否提供正確的信息和指標(biāo)來支持您的安全和管理團(tuán)隊(duì)？
• 對(duì) VMP 其他領(lǐng)域的支持：該解決方案是否可以輕松地與您現(xiàn)有的產(chǎn)品或流程集成？或者，該解決方案是否提供了漏洞檢測(cè)之外的其他功能來補(bǔ)充您現(xiàn)有的 VMP（例如，內(nèi)置問題跟蹤）？
• 與其他操作系統(tǒng)組件集成：該解決方案能否通過利用目標(biāo)主機(jī)上現(xiàn)有安裝的軟件來提供附加價(jià)值？例如，它是否與Windows主機(jī)上的Microsoft System Center集成以提供智能補(bǔ)丁管理功能？
• 支持不同類型的資產(chǎn)：例如，該解決方案是否支持掃描虛擬機(jī)、容器或?qū)Ｓ脭?shù)據(jù)庫(kù)服務(wù)器？
• 與云環(huán)境集成：該解決方案能否詢問常見的云提供商以自動(dòng)發(fā)現(xiàn)和掃描這些環(huán)境中托管的其他資產(chǎn)？
• 安全性：供應(yīng)商是否保證掃描活動(dòng)不會(huì)破壞目標(biāo)服務(wù)的可用性？如果不是，解決方案是否可以配置為排除更危險(xiǎn)的檢查？

來源：英國(guó)NCSC