說一說漏洞掃描

漏洞掃描一般指掃描暴露在外網或者內網里的系統、網絡組件或應用程序，檢測其中的漏洞或安全弱點，而漏洞掃描器則是用來執行漏洞掃描的工具。漏洞掃描器一般基于漏洞數據庫來檢查遠程主機，漏洞數據庫包含了檢查安全問題的所有信息（服務、端口、包類型、潛在的攻擊路徑，等等）。它可以掃描網絡和網站上的上千個漏洞，提供一個風險列表，以及補救的建議。

下列人員會用到漏洞掃描器：

安全審計人員在進行安全審計時。

惡意攻擊者或者黑客在攻擊目標、獲取非法訪問時。

程序開發團隊在發布環境中部署產品之前。

流行的掃描工具包含下面的功能：

1.維護一個包含最新漏洞的數據庫。

2.以較低的誤報率檢測出漏洞。

3.同時掃描多個目標。

4.提供詳細的報告，包括請求和響應對。

5.提供修復漏洞的建議。

架構（掃描器的組件）

漏洞掃描可以分成四個部分：

1、用戶接口：用戶通過這個接口運行和配置一個掃描。這可以是圖形界面（GUI）也可以是命令行接口（CLI）。

2、掃描引擎：掃描引擎通過安裝和配置的插件來執行掃描。

3、掃描數據庫：掃描數據庫保存了掃描器需要的數據。包括，漏洞信息、插件、消除漏洞的步驟、CVE-ID映射（常見的漏洞）、掃描結果，等等。

4、報告模塊：報告模塊提供了不同的選項，可以生成不同類型的報告。比如，詳細報告、漏洞列表、圖形化報告，等等。

掃描可以分成兩類

外網掃描：有一些設備和資產是暴露在互聯網的。大部分的機構都開放了80或者443端口，這樣人們可以通過互聯網訪問他們的網站。許多管理員覺得他們實現了邊界防火墻，這樣他們就很安全了。但是，并不總是這樣的。防火墻可以依據定義的規則和策略阻止對網絡的非授權訪問，但是如果攻擊者找到了通過這些端口（比如80或者443）攻擊其它系統的方法，防火墻就不能保護你了，因為利用這些端口，攻擊者就自動繞過了防火墻，進入了你的網絡。

外部掃描是重要的，它檢測那些面向互聯網的資產的漏洞。攻擊者通過這些漏洞可以訪問內網。外部掃描可以通過在互聯網機器上運行漏洞掃描器來實現。最好在攻擊者利用已公開的安全問題和漏洞之前，就消除它們。

內網掃描：并不是所有的攻擊都來自外部網絡。黑客和惡意軟件也可以在內網中出現。通過以下方式，就可以訪問內網：

惡意軟件或者病毒通過互聯網或者USB下載到網絡中

一個可以訪問內網的不滿的員工

外部的黑客獲取了訪問內部網絡的權限

因此，在內網里運行漏洞掃描器也同樣重要。在內網的一臺機器上運行漏洞掃描器，可以對網絡中的關鍵組件進行掃描。重要的組件包括核心路由器、交換機、工作站、web服務器、數據庫，等等。

多久掃描一次？

每天都有很多新漏洞被發現。每個新的漏洞都會增加危險。因此，定期掃描資產非常重要。發現最新的安全問題可以幫助機構關閉安全漏洞，抵御攻擊。

多久執行一次漏洞掃描并沒有確定的數字。根據機構的不同而不同。

掃描的頻率基于以下幾點：

資產的重要性：越重要的資產掃描應該越頻繁，這樣就能打上最新的補丁。

曝光度：識別和掃描那些暴露給大量用戶的組件。這可以是外部和內部資產。

變動現存環境時：對現存環境的任何修改，增加新的組件和資產等，都應該進行漏洞掃描。

免費 vs 收費

并沒有確定的答案來回答使用免費、開源的漏洞掃描器還是商業掃描器。在互聯網上可以下載到許多可用的漏洞掃描器。一些是免費的，還有一些是收費的版本。免費版本的工具，比如Burp、Nessus等，在滲透測試常會用到。但是在一些場合，強制使用商業版。免費版本的漏洞掃描器可以在初步安全掃描時使用，但是他們也有一些限制：

掃描范圍：免費的掃描器在掃描范圍上有限制。在比較高的層級上掃描，不能覆蓋到應用程序的所有部分。

精確性：可能會導致漏報，發現不了存在的安全問題。與誤報相比，這個更為嚴重。

支持所有的攻擊和輸入載荷：免費的掃描支持的攻擊和輸入載荷與付費版相比要少。付費版的漏洞和載荷數據庫會定期更新，能檢查最新的漏洞。

支持詳細的報告：大部分掃描器都支持報告功能，但是免費版的掃描也許不能夠生成包含有請求-響應對、修補方法、補丁下載鏈接等詳細內容的報告。

藍隊云漏洞掃描采用旁路部署， 部署方式靈活簡單、安全，不會對客戶業務連續性造成任何影響。 并且運用智能頁面爬取、資源動態調節、代理緩存機制和實時任務調度等技術，實現了對大規模網站的快速、穩定的掃描。