之前有跟大家講解一些關于漏洞掃描的一些情況。這期呢主要想簡單的聊一下安全運營里，關于漏洞掃描的一些簡單常識。

  漏洞掃描是信息安全工作里，完成風險評估很常見的一種手段。就像是醫(yī)生用X光來檢查一下病人的身體，是不是有毛病一樣，安全工作者經(jīng)常通過漏洞掃描來評估目標系統(tǒng)是否存在漏洞，進而決策如何做下一步的安全防護。

  漏洞掃描的原理是發(fā)送特定的請求，到遠程服務，根據(jù)遠程服務返回的行為，判斷是否存在某個具體漏洞（也有很多時候是根據(jù)返回的版本號信息來判斷）。

  1、漏洞掃描有什么影響

  1.1 網(wǎng)絡影響

  請求網(wǎng)絡包的頻率、數(shù)量，對網(wǎng)絡和應用造成影響，交換機/路由器可能因此宕機，引發(fā)連鎖反應，QPS過高可能超出服務的性能極限，導致業(yè)務中斷；

  1.2 異常處理影響

  業(yè)務無法正確處理請求包里的特殊輸入，引發(fā)異常宕機，比如一個私有協(xié)議的服務也許只是碰巧聽在了TCP 80端口，收到一個HTTP Get請求就直接掛了；

  1.3 日志影響

  請求公網(wǎng)的業(yè)務時，每一個URL的探測，都可能造成一個40x或者50x的錯誤日志。而業(yè)務的正常監(jiān)控邏輯正是用Access Log里的狀態(tài)碼來進行的。不做任何處理的話，突然40x猛增，業(yè)務的SRE和RD必然要進行響應，如果他們從半夜、假期著急忙慌的登錄VPN查了半天發(fā)現(xiàn)是安全工程師觸發(fā)的，甚至還連帶了1.1、1.2的影響，把某業(yè)務弄出事了，這個責任一定是安全工程師要背負的。

  2、產(chǎn)生了什么問題

  對于安全工程師而言，不掃描可能意味著無法開展工作了，無法得知公司風險，無從開展治理工作；對于業(yè)務方而言，掃描意味著添亂，業(yè)務不可用的風險是較大的風險；有不少同行因此背鍋黯然受傷的，也有一些強勢的同行得罪了業(yè)務的。

  3、錯在了哪兒

  漏洞掃描對于業(yè)務側來說，是一種新的變化。一個變化的一次引入，有問題是必然的，沒問題才是異常的。合理的做法是遵循ITIL里的“變更管理”。

  變更計劃：掃描的時間、IP/URL/端口范圍、QPS、測試用例集（有DoS的測試用例選擇、有Delete/Update相關的資產(chǎn)選擇、有POST隱蔽接口的選擇）

  變更風險評估：交換機路由器的流量和容量、業(yè)務的QPS、業(yè)務/網(wǎng)絡掛掉的較極端風險評估

  變更知會：業(yè)務的管理者、RD、SRE、DBA、QA甚至網(wǎng)絡維護方，是否知道上述所有關鍵信息，并授權同意進行掃描（全公司強制的至少做到知會）

  回滾計劃：如果出了問題，怎么很快速的停止掃描和恢復業(yè)務（有些動作要上面的變更知情范圍的關鍵干系人配合）

  變更觀察：執(zhí)行掃描的時候，大家有沒有在盯著服務是否出錯（以及判斷業(yè)務是否正常），以便在出問題的很快做出響應；

  變更總結：灰度執(zhí)行過程中總結不到位的地方，在下一次工作中改進

  嚴格的說，不按照這些方法，上來就一通猛掃的，的確是安全同行自身沒有做到足夠專業(yè)。不能怪業(yè)務側不理解不支持。

  4、解決建議：公網(wǎng)堅決掃，內網(wǎng)謹慎

  按網(wǎng)絡分類：互聯(lián)網(wǎng)公開業(yè)務、內網(wǎng)業(yè)務

  按服務類型分類：Web類、高危服務類、私有協(xié)議類

  公網(wǎng)Web服務，業(yè)務必須接受安全檢查，因為我們不掃，黑也會沒日沒夜的盯著業(yè)務掃。與其未來無計劃的被黑掃掛，不如有節(jié)奏的按變更計劃，逐步適應被掃描。

  在遵守變更管理原則的前提下，也就是上線稍微繁瑣痛苦一些，比如業(yè)務側需要1個月時間修改監(jiān)控邏輯（忽略掃描器觸發(fā)的錯誤請求），需要對某些掃描觸發(fā)的異常進行兼容適配，甚至某些無人維護的業(yè)務被掃描之后改不了，只好加白名單。這些需要磨合。磨合完畢，也就是安全團隊可以例行周期不間斷掃描的時候，上述問題根本就不再是問題了。

  公網(wǎng)高危服務：只識別協(xié)議，不做漏洞檢測，因為高危服務的端口開放出來就是不可取的，直接關掉服務比較直接，檢測漏洞只是浪費更多的資源罷了；

  公網(wǎng)私有協(xié)議：大多數(shù)掃描器并不能支持這些協(xié)議的漏洞檢測，只能忽略不做掃描，當然這里會存在盲點，暫時不展開；

  內網(wǎng)服務的復雜度比上面高很多倍，一方面，內網(wǎng)你不掃，黑進來掃的幾率沒那么大。另一方面，大家對傳統(tǒng)的特權的依賴導致內網(wǎng)漏洞比公網(wǎng)多很多，也更禁不住掃，你一掃，大概率就是會出事的。

  所以，如果只做端口掃描，確定交換機路由器還扛得住的情況下（嗯，之前遇到過老舊的網(wǎng)絡設備你稍微開一點掃描請求它直接掛掉的現(xiàn)象），相對可接受。

  協(xié)議識別這一步可能觸發(fā)某些脆弱的服務掛掉，賬號爆破則可能觸發(fā)賬號封禁（繼而引發(fā)連帶的事故），而漏洞掃描風險更大。

  所以，多數(shù)時候其實并不鼓勵使用網(wǎng)絡掃描的方式來做內網(wǎng)風險評估，如果agent能夠采集到版本號、配置、賬號相關的信息，其實也能完成風險數(shù)據(jù)的采集，不必死盯著網(wǎng)絡掃描這一個手段。

  可是，這樣內網(wǎng)豈不是很多風險了？

  殘酷的事實是，是的，這是現(xiàn)在的絕大多數(shù)企業(yè)的現(xiàn)狀，非?？膳?，對么？如果某些漏洞特別情急（比如MS17-010)，針對特定的端口服務，內網(wǎng)其實也可以遵守上面的標準流程去掃描的，但是全量全范圍的漏洞掃描，就很難實施了。

  以上就是漏洞掃描的一些運營常識，大家可以參考一下，想要了解更多，歡迎關注本網(wǎng)站或者致電上海觀初網(wǎng)絡科技有限公司了解更多小知識。