弱点扫描是什么?认识定期弱点扫描 5 大优势
如同人类进行身体健康检查,资讯系统也可以透过全面盘点,找出潜在的资安风险,并先行补救、防范于未然。「弱点扫描(Vulnerability Scanning)」就是一种常见的系统健康检查。本文将深入介绍弱点扫描是什么,有哪些种类、为什么重要,以及回答相关常见问题。
弱点扫描是什么?
「弱点扫描(Vulnerability Scanning)」有时也称为「弱点评估(Vulnerability Assessment)」,是针对 IT 设备与环境,包含网络连线、应用程序等,进行彻底检测的过程。目的在于找出系统内潜藏的弱点,并在弱点被骇客利用来发动网络攻击前(例如零日攻击),及早修补,以将资安威胁降到最低。
看重资安的企业和组织通常会同时使用多种防护措施,保护系统免受资安危机的影响,包含 WAF、端点安全防护、DDoS 防御工具。然而即便如此,弱点扫描仍有一定的重要性。因为资讯系统中,难免会因为像是网页或应用程序设计不良、久未更新、系统架构规划不佳、钓鱼攻击等原因出现安全弱点。例如以下常见的系统漏洞:
骇客利用上述安全弱点的手法变化多端莫测,也可能以前所未见的方式进行网络攻击。针对已知的恶意攻击手法安排的防护措施,不一定能成功阻绝新型态的网络攻击。因此定期进行弱点扫描、即时补救,对维护系统资安来说还是相当重要。
弱点扫描同时是弱点管理生命周期(Vulnerability Management Lifecycle)中的第一步,在「探索」阶段,以自动化工具扫描系统,寻找弱点。弱点管理生命周期可分为:「探索」、「排列优先顺序」、「评定」、「报告」、「补救」以及「验证和监控」。下面段落将详细介绍探索中的弱点扫描有哪些方式、范畴与项目。
弱点扫描的方式、范围与项目
现代企业和组织的 IT 系统复杂,且多为因应各自的营运需求,有不同的规划、设计和内容。弱点扫描的项目自然也就包罗万象,种类繁多。企业可依照自身 IT 架构和弱点扫描期望目标,选择最适合的扫描方式、范围与项目。
一、弱点扫描方式:黑箱 vs 白箱
-
- 黑箱:黑箱弱点扫描在执行过程中,扫描者无从得知受测试系统的程式码内容,接近真实使用情形。也因此,黑箱弱点扫描可协助找出外部骇客能利用的弱点。
- 白箱:白箱则相反,扫描者可以看到受测试系统的程式码内容。而白箱弱点扫描会因为知道程式码内容,扫描中可避免针对已知项目进行无意义测试,也让企业或组织有机会分析程式码和排除错误。
二、弱点扫描范围
-
-
- 外部弱点扫描(External Vulnerability Scans):针对企业内网以外的地方,以及面向公共网络的资产进行的弱点扫描,例如网站应用程序、外围防火墙等。
- 内部弱点扫描(Internal Vulnerability Scans):针对企业网络内部进行的弱点扫描,检查有没有骇客可以利用来入侵并深入系统的弱点。
- 已验证弱点扫描(Authenticated/Credentialed Vulnerability Scans):授予弱点扫描工具系统的存取权限,以检查在拥有存取权限的情况下,系统中哪些可被利用的弱点。
- 未验证弱点扫描(Unauthenticated/Non-credentialed Vulnerability Scans):不将系统存取权限授予弱点扫描工具,以了解在无存取权限的情况下,有哪些弱点。
-
弱点扫描虽然可以依据范围分成以上四类,但这四个类别在实务上并非互相独立存在的。进行扫描时,通常会依需求综合使用,以达到最佳效果。
三、弱点扫描常见项目
而根据弱点扫描的对象,又有以下常见的扫描项目:
-
-
- 网络扫描:检查 IP 地址、网络埠、路由器、网络交换器、防火墙等中是否有弱点。
- 系统扫描:检查作业系统和更新版本、与作业系统运作有关的应用程序中是否有弱点。
- 应用程序扫描:检查 Web 应用程序、API 接口、使用者安装的软体中是否有弱点。
- 数据库扫描:检查所使用的数据库中是否有弱点,同时会注意数据库是否容易遭受 SQL 注入攻击的影响。
- 凭证和身份验证扫描:检查系统的身份验证机制是否有弱点、系统中有无弱密码。
- 配置扫描:检查系统、网络设备和应用程序的配置、安全协定和加密方式中是否有弱点。
- 修补程序扫描:检查系统和应用程序的版本是否已更新到最新版,安装最新的安全修补程序,或是系统中有没有原供应商已无支援更新版的软体。
- 云端基础设施扫描:检查云端运算环境中是否有弱点,包含云端服务、云端配置、云端资源的存取权限等。
- 物联网设备扫描:检查物联网(IoT)设备中是否有弱点。例如连网的 IoT 制造机器,可用来协助预测机器故障,掌握生产时程,但也因为连至网络,有机会出现资安弱点。
-
定期执行弱点扫描的好处
对企业和组织来说,定期进行弱点扫描有 5 大好处:
-
- 降低资安风险:抢先骇客发现系统中的弱点,并及时予以补强,可有效减少网络攻击与资安事件发生的机率。
- 评估资安措施效果:除了降低资安风险以外,进行弱点扫描也让企业和组织有机会仔细审视自己的资安防护设计与实施功效。
- 提高资安意识:进行弱点扫描之后,企业和组织可以更了解自己的系统可能受到哪种资安威胁,并在规划相当的内部资安教育训练,提高资安意识,并协助所有人员了解最佳的资安做法。
- 提升合规性:某些产业的企业和组织需遵守政府关于定期弱点扫描的法规,提高安全性,也避免法律问题。另外,有些企业或组织内部的资安政策也可能有关于弱点扫描的规范,定期弱点扫描有助于符合合规性要求。
- 维护企业/组织名誉:使用者资料外泄、系统停机、服务暂停等资安事件可能对企业和组织的名誉有负面影响,定期弱点扫描,减少资安事件,有助于维持正面形象。
弱点扫描 v.s. 渗透测试
除了弱点扫描以外,还有另一个常为企业与组织使用的资安系统检查作法:「渗透测试(Penetration Testing)」。渗透测试通常由资安专家进行,针对系统中的弱点设计不同的攻击手段,模拟骇客实际发动网络攻击的情况。如果说弱点扫描相当于身体健康检查,那渗透测试则如同军事演习。下面将两者主要差异整理为表格:
|
弱点扫描 Vulnerability Scanning |
渗透测试 Penetration Testing |
|
|
目的 |
|
|
|
进行方式 |
使用自动化扫描工具 |
由资安专家使用各式资安工具,人工进行测试 |
|
自动化程度 |
高度自动化 |
自动化程度有限,需要人工分析弱点、结果以及影响 |
|
报告内容 |
漏洞清单 |
详细解释利用的弱点种类、黑客路径,可采取的缓解措施等 |
|
所需时间 |
所需时间较短,受扫描方式、范围和项目影响,但多以小时为单位计算 |
所需时间较长,通常以天为单位计算 |
弱点扫描常见问题
Q1:弱点扫描会影响用户吗?
A:进行弱点扫描的同时,用户仍然可以访问系统内的资源。但由于弱点扫描也会消耗系统资源,例如 CPU、内存、网络带宽等,可能会导致负载,降低资源性能,影响用户。因此在业务量较低的时候进行弱点扫描,对一般企业来说是一个较好的选择。
Q2:一次弱点扫描需要多久?
A:弱点扫描所需时间会因选择的扫描方式、范围和项目有所不同,少则一小时内,多则 72 小时都有可能。
Q3:建议多久进行一次弱点扫描?
A:弱点扫描的频率多视企业组织的法规和资安需求而定,可能每周、每月一次,通常建议至少每 3 个月一次。也可以根据系统内数据的重要程度,来决定弱点扫描的频率。若信息系统中存储了大量敏感数据,如信用卡号码、身份证号等,可提高系统中存储和处理这些敏感数据相关软硬件的弱点扫描次数。
Q4:弱点扫描的流程是什么?
A:弱点扫描的流程可以简单分为三步骤。第一步是与弱点扫描厂商讨论需求和系统网络架构,决定扫描的范围、项目和方式。然后根据所选内容进行扫描、分析结果,完成弱点扫描报告。最后,厂商交付并解释报告。
【弱點掃描流程示意圖】
Q5:弱点扫描与渗透测试如何选择?
A:弱点扫描与渗透测试都是用于了解系统资安弱点的检测流程,两者目的不同:“弱点扫描”以全面检测为主;“渗透测试”则深入个别弱点,检测系统防御强度。建议两种测试都使用,更能做好资安防护。
Q6:弱点扫描有参考标准吗?
A:常用弱点扫描风险参考的国际标准有:OWASP TOP10、OSSTMM、NIST SP 800-171、CVSS、CVE、CWE。
晟崴科技的弱點掃描服務使用業界權威的掃描工具,為企業/組織量身打造全面的資安風險評估流程。除了協助企業和組織找出系統中的資安弱點以外,更有資安專家顧問,根據漏洞提供最佳解決方案,有效降低漏洞攻擊風險!
晟崴科技的弱点扫描服务使用业界权威的扫描工具,为企业/组织量身打造全面的资安风险评估流程。除了协助企业和组织找出系统中的资安弱点外,还有资安专家顾问,根据弱点提供最佳解决方案,有效降低弱点攻击风险!
立即联系晟崴科技帮您评估资安风险
