什么是漏洞评估？为什么漏洞评估很重要？

‍

什么是漏洞评估？
漏洞评估是对 IT 系统的系统审查，用于发现、分类和确定安全漏洞的优先级。这种类型的分析有三个目标：

评估系统是否存在可利用的缺陷。
为每个漏洞分配风险级别。
建议采取措施防止黑客利用这些弱点。

漏洞评估的其他常用名称是漏洞分析和漏洞测试。

该测试的主要目标是在黑客破坏系统之前发现可利用的错误和弱点。大多数缺陷是代码中的错误、软件架构中的缺陷和安全程序中的错误。常见漏洞示例如下：

系统配置错误
允许SQL 注入的数据库弱点
缺乏谨慎的员工行为
政策不合规错误
通过网络传输的未加密数据
软件或编程接口中的错误
允许黑客管理APT 攻击 或设置勒索软件的恶意后门程序
无需病毒和恶意软件 检查即可自动执行脚本
账户权限的缺陷
一种可利用的身份验证机制
未打补丁的操作系统和应用程序
弱口令
0day漏洞

企业和中小型企业都可以从漏洞测试中受益。公司通常每年或在团队做出重大改变时进行评估，例如：

添加新服务
开辟新港口
安装新设备
在新地点开设办公室
移动到云端

希望组织漏洞测试的公司有两种选择：让内部人员运行测试或聘请第三方评估系统。虽然与内部团队一起去是更便宜的选择，但最好的结果来自不熟悉主题系统及其协议的测试人员。

漏洞评估的类型
企业依靠不同类型的漏洞测试来发现系统缺陷。根据所审查的基础设施领域，有三种类型的测试：

外部扫描：检查直接面向 Internet 且可供外部用户使用的组件（端口、网络、网站、应用程序等）
内部扫描：检查只有员工可以访问的内部网络和系统
环境扫描：这些测试侧重于特定的操作技术，例如云部署、物联网或移动设备

以下是四种最常见的漏洞评估类型。

一、网络评估
网络评估扫描可识别对网络安全的可能威胁。测试人员检查集线器、交换机、路由器、集群和服务器，以确保网络可访问的资源不受恶意行为者的攻击。网络测试是最常见的漏洞扫描类型。此扫描可确保网络、通信通道和所有网络设备的安全。网络评估还可以检测无线网络中的漏洞。这些扫描通常侧重于潜在的攻击点、配置错误和不良的防火墙设置。

二、主机评估
此分析可定位和分类工作站、笔记本电脑和其他主机中的漏洞。主机扫描检查：

主机配置
用户目录
文件系统
内存设置

主机评估可确保端点内的错误配置不会让攻击者越过边界并破坏系统。

三、应用程序扫描
应用程序扫描可检测 Web 应用程序及其源代码的软件缺陷和错误配置。有两种常见的应用程序扫描形式：

动态应用程序安全测试 (DAST)：此测试技术执行应用程序并实时检测缺陷。
静态应用程序安全测试 (SAST)：此分析无需运行程序即可识别应用程序缺陷。
这两种方法以不同的方式测试应用程序，并且在软件开发生命周期 (SDLC)的不同阶段更有效 例如，SAST 在 SDLC 早期发现了跨站点脚本 (XSS) 等缺陷，而 DAST 在应用程序进入生产时更有用。

四、数据库扫描
数据库扫描识别数据库中的潜在漏洞。这些测试会发现错误配置、恶意数据库以及不安全的开发和测试环境。数据库扫描对于防止 SQL 注入至关重要。

如何进行漏洞评估？
典型的漏洞测试包括五个步骤，在此期间团队检查系统、评估风险并提出改进建议。

第 1 步：初步准备
这一步是计划阶段。团队决定即将进行的测试的范围和目标。一旦计划准备好，测试人员就会检查测试环境中的硬件和软件。该团队执行以下任务：

识别所有主题资产和关键设备
定义所有主题系统的价值、访问控制和功能
确定敏感数据所在的位置以及数据如何在系统之间移动
记录目标设备的所有服务、进程和开放端口
映射所有端点
检查操作系统
了解每种环境的风险缓解实践和政策

此步骤中的信息有助于团队提出攻击场景并制定合理的补救策略，在此步骤中，测试团队通常会制作一个中心文档来构建流程

第 2 步：漏洞评估测试
团队开始在主题设备和环境上运行扫描。分析师使用自动化和手动工具来测试系统的安全健康状况。团队还依赖以下资产来准确识别缺陷：

漏洞数据库
供应商漏洞公告
资产管理系统
威胁情报
网络安全审计

测试人员需要确定他们发现的每个漏洞的根本原因，确定漏洞的根本原因可以让测试人员了解漏洞的范围以及解决问题的最佳方法。
根据目标系统的大小和扫描类型，一次测试可能需要一分钟到几个小时之间的任何时间。

第 3 步：优先考虑系统缺陷
团队根据威胁级别对缺陷进行优先级排序。大多数测试人员通过分配严重性分数来确定风险。影响分数的一些因素是：

潜在攻击的后果
利用弱点是多么容易
问题的年代
该缺陷是常见问题还是罕见问题
横向移动的空间
业务功能和敏感数据面临风险
补丁可用性
过错是否为公众所知

团队还必须确保在此步骤中过滤掉误报。当扫描工具错误地标记安全缺陷时会出现误报，从而导致不必要的补救工作。

第 4 步：创建漏洞评估报告
测试人员编制一份分析报告，概述未发现的缺陷并指导如何解决问题。虽然小问题不需要深入解释，但测试人员应针对每个中高风险弱点提供以下信息：

漏洞的名称
发现日期
团队发现威胁的方法
漏洞的详细描述
有关受影响系统的详细信息
攻击者利用该缺陷可能造成的潜在损害
有关如何纠正漏洞的说明
量化威胁可以清楚地了解每个缺陷背后的紧迫程度。如果可能，团队还应为每个重大漏洞提供概念证明 (PoC)

第 5 步：根据报告实施更改
该公司使用报告中的信息来弥补 IT 系统中的安全漏洞。变更的实施通常是安全人员、开发和运营团队之间的共同努力。风险排名使公司能够优先考虑补救过程并首先处理紧急威胁。忽略低风险缺陷也很常见，因为某些威胁的影响很小，以至于修复它们不值得付出成本或必要的停机时间。

最常见的补救措施是：

引入新的程序和措施
安装新的安全工具
软件更新
自定义补丁
增加零信任安全
操作和配置更改
网络分割
防火墙更新
改进网络杀伤链

根据安排，运行漏洞测试的雇佣团队可以参与此步骤。如果团队对系统进行了重大更改，则强烈建议进行后续测试。如果团队只添加小更新，则下一轮常规测试可以评估改进后系统的健康状况



漏洞评估工具
漏洞评估涉及使用自动和手动测试技术。常见的工具类型包括：

模拟不同攻击模式以测试网络防御的 Web 应用程序扫描程序
搜索不安全进程、端口和服务的协议扫描程序
发现漏洞的网络扫描程序，例如杂散 IP 地址、可疑数据包生成和欺骗数据包

为什么漏洞评估很重要？
漏洞扫描使公司能够确保采用一致和全面的策略来识别和解决网络威胁。彻底和定期的安全检查可为企业带来显著的好处，包括：

及早发现 IT 弱点
保护敏感数据和资产
确保符合 HIPPA、PCI和 GDPR等法规
防止未经授权的访问
准确的业务规划，允许谨慎的安全投资

评估可降低成功数据泄露的可能性，对于防范所有主要类型的网络攻击至关重要

漏洞评估与渗透测试
漏洞分析和渗透测试都可以检测 IT 系统中的弱点并提高整体安全级别。默认情况下，渗透测试通常还包括漏洞扫描，
但是，两个测试过程之间存在差异。漏洞扫描试图检测和缓解系统缺陷，而渗透测试则涉及利用弱点的实际尝试。渗透测试人员（或道德黑客）通过在受控环境中模拟真实的网络攻击来积极尝试闯入系统。目标是证明：

一个系统有一个可利用的弱点
攻击者可以利用该漏洞破坏系统

漏洞扫描还可以包括小规模渗透测试，分析师使用渗透测试工具 来检测标准网络或系统扫描不可见的特定缺陷。

漏洞评估与风险评估

漏洞评估可发现、量化 IT 环境中的弱点并确定其优先级。相比之下，风险评估评估某些缺陷和威胁参与者将导致暴露或 数据丢失的可能性。漏洞扫描的范围大于风险评估。完整的分析不仅可以评估违规的可能性，还可以处理潜在的后果和避免未来事件的策略。

确保高系统弹性

漏洞测试是任何坚如磐石的 IT 安全策略的重要组成部分。安排对所有关键系统的定期扫描，以最大限度地降低代价高昂的违规风险并确保业务增长不间断。

原文始发于微信公众号（网安之道）：什么是漏洞评估？为什么漏洞评估很重要？