漏洞扫描频率最佳实践

所以你决定建立一个漏洞扫描程序，太好了。这是避免数据泄露的最佳方法之一。不过，你应该多久扫描一次并不是一个简单的问题。对于你扫描的每种类型的组织或系统，答案都不一样。

本指南将帮助你理解你应该问的问题，并帮助你找到适合你的答案。

漏洞扫描应该多久运行一次

下面的很多建议取决于你扫描的内容。如果你还不确定这一点，请查看这本全面的漏洞扫描指南。

一旦你决定了哪些系统应该在范围内，以及你需要什么类型的扫描仪，你就可以开始扫描了。那么，理想情况下，您应该多久运行一次漏洞扫描？

这里有五个要考虑的策略，我们将讨论它们在哪种情况下工作得最好：

• 基于变化
• 基于卫生的
• 基于法规遵从性的
• 基于资源的
• 基于威胁的新出现

基于变化

快速发展的科技公司通常每天多次部署代码或基础设施更改，而其他组织的设置可能相对静态，可能不会定期更改任何系统。

我们使用的技术的复杂性意味着每次更改都可能带来灾难性的配置错误，或者意外引入具有已知漏洞的组件。因此，在对系统应用了哪怕是微小的更改之后运行漏洞扫描都是一种明智的方法。

因为它基于变化，所以这种方法最适合于快速变化的资产，如web应用程序，或AWS、Azure和GCP等云基础设施，在这些基础设施中，新资产可以一分钟一分钟地部署和销毁。在这些系统暴露于公共互联网的情况下，这样做也特别值得。

出于这个原因，许多公司选择通过API和他们选择的扫描工具自动将测试工具集成到部署管道中。

同样值得考虑的是，你所做的改变有多复杂。

虽然自动化工具对于常规测试来说是很好的，但是你所做的改变越大或越戏剧性，你就越想考虑渗透测试来进行双重检查，没有引入任何问题。

这方面的好例子可能是对web应用程序的体系结构进行重大的结构更改、任何全面的身份验证或授权更改，或者引入大量复杂性的大型新功能。在基础设施方面，相当于大规模迁移到云，或者从一个云提供商迁移到另一个云提供商。

基于卫生的

即使您没有定期更改系统，仍然有一个非常重要的原因需要定期扫描您的系统，而这一点经常被刚刚进行漏洞扫描的组织忽略。

安全研究人员经常在各种软件中发现新的漏洞，而使利用这些漏洞轻而易举的公开攻击代码可以随时公开披露。从Equifax漏洞到Wannacry勒索软件，这就是近年来最具影响力的黑客攻击的原因。这两种攻击都是由普通软件中发现的新缺陷以及犯罪分子迅速将漏洞武器化以达到自己的目的而引起的。

任何软件都不能免于这种经验法则。无论是您的web服务器、操作系统、您使用的特定开发框架、远程工作VPN还是防火墙。最终的结果是，即使你昨天做了扫描，显示你是安全的，明天也不一定会是这样。

每天都会发现新的漏洞，因此即使没有对系统进行任何更改，它们也可能在一夜之间变得易受攻击。

这是否意味着你应该不间断地运行漏洞扫描？不一定，因为这可能会因流量过大而产生问题，或掩盖任何出现的问题。

作为衡量标准，臭名昭著的WannaCry网络攻击向我们表明，在这种情况下，时间安排很紧，如果组织不能在合理的时间内做出反应，发现并纠正其安全问题，就会将自己置于危险之中。微软发布了针对WannaCry在攻击发生前59天传播的漏洞的补丁。更重要的是，攻击者能够制造一个漏洞，并在一个公开漏洞泄露后仅仅28天就开始破坏机器。

仅从本例的时间线来看，不在30-60天内运行漏洞扫描和修复问题显然是在冒很大的风险，而且不要忘记，即使在发现问题后，修复可能也需要一些时间。

我们建议大多数企业保持良好的网络卫生，至少每月一次在面向外部的基础设施上使用漏洞扫描器，让您在这些令人不快的意外事件前领先一步。对于对网络安全高度敏感的组织来说，每周甚至每天的扫描可能更有意义。同样，内部基础设施每月扫描一次有助于保持良好的网络卫生。

对于web应用程序来说，定期扫描其框架和基础设施组件同样有意义，但如果您正在通过经过身份验证的扫描查找自己代码中的错误，那么基于更改的方法更有意义。

基于法规遵从性的

如果出于法规遵从性原因而运行漏洞扫描，那么特定的法规通常会明确说明应该执行漏洞扫描的频率。例如，PCI DSS要求对其范围内的系统进行季度外部扫描。

然而，你应该仔细考虑你的扫描策略，因为监管规则是指一刀切的指导方针，可能不适合你的业务。

简单地将这一90天的规定与上述WannaCry示例中的时间表进行比较，我们就会发现，这样的指导方针并不总是能起到关键作用。如果你真的想保持安全，而不是简单地勾选一个方框，那么以上述方式超越这些规定通常是有意义的。

基于资源的

漏洞扫描程序可以产生大量信息，并揭示许多缺陷，其中一些缺陷的风险比其他缺陷更大。当考虑到需要处理的信息量，以及纠正这些缺陷所需的工作量时，人们可能会倾向于认为，尽可能频繁地扫描所有输出是有意义的，比如每季度扫描一次。

虽然这是一种很好的方法，但不幸的是，新的漏洞正在被更经常地发现，因此与其将扫描限制在处理输出的频率上，不如首先寻找一种产生较少噪音的扫描仪，帮助你首先关注最重要的问题；并为你提供指导，告诉你其他人应该在什么样的时间范围内解决问题。

入侵者就是这种扫描仪的一个例子。它的设计目的是自动优先处理对您的安全有实际影响的问题，过滤掉扫描结果中的信息噪音。入侵者的扫描结果是针对面向互联网的系统定制的，这意味着它可以帮助您监控和减少攻击面。

入侵者问题页面截图，帮助技术团队快速了解需要立即关注的问题。

同样的情况是，作为人类，如果事物变得太吵，我们就会开始忽略它们。警惕疲劳是网络安全中的一个真正问题，因此你应该确保你使用的工具不会全天候向你发送信息，因为这可能会让你停止关注，并且在重要问题发生时更容易错过它们。在选择扫描仪时一定要考虑到这一点，因为认为输出最多的扫描仪是最好的是一个常见的错误！

基于威胁的新出现

因此，现在您已经决定了运行扫描的时间表，有必要考虑在不运行扫描时，间隙中会发生什么。

例如，假设你决定每月进行一次扫描，以便在半定期的基础上了解所做的任何更改。这很好，但正如Equifax漏洞的时间表所示，如果在上次扫描的第二天发现漏洞，即使在30天这样短的时间内，您也可能会遇到问题。不过，结合我们对上述警报疲劳的看法，仅仅安排每日扫描可能不是避免这种情况的最佳方法。

为了解决这个问题，一些漏洞扫描器提供了弥补这些漏洞的方法——一些扫描器通过存储上次扫描时检索到的信息，并在发布任何新漏洞时提醒您这些信息是否与之相关。

入侵者也提供了类似的概念，称为“新兴威胁扫描”，他们的软件在每次出现新漏洞时都会主动扫描客户。这样可以确保所有信息都是最新的，并且不会基于旧信息发出错误警报。

一旦发现新的漏洞，入侵者就会主动扫描您的系统并自动提醒您。

总而言之

与网络安全领域的许多事情一样，没有适合所有人的方法来计算理想的扫描频率。根据你保护的资产类型或你经营的特定行业，答案会有所不同。我们希望这篇文章能帮助您做出明智的决定，为您自己的组织选择正确的漏洞扫描频率。

入侵者脆弱性评估平台

入侵者是一个全自动的漏洞评估工具，旨在检查您的基础设施是否存在超过10000个已知漏洞。它旨在通过主动运行安全扫描、监控网络更改、同步云系统等方式节省您的时间。入侵者生成一份报告，概述问题并提供可采取行动的补救建议–；所以你可以在黑客攻击之前找到并修复你的漏洞。