漏洞扫描频率最佳实践

所以你决定建立一个漏洞扫描程序，很好。这是避免数据泄露的最佳方法之一。不过，你应该多久扫描一次并不是一个简单的问题。对于你扫描的每种类型的组织或系统，答案都不一样。本指南将帮助你理解你应该问的问题，并帮助你找到适合你的答案

漏洞扫描应该多久运行一次

下面的很多建议取决于你扫描的内容。如果你还不确定这一点，请查看这本全面的漏洞扫描指南

一旦你决定了哪些系统应该在范围内，以及你需要什么类型的扫描仪，你就可以开始扫描了。那么，理想情况下，您应该多久运行一次漏洞扫描

这里有五个要考虑的策略，我们将讨论它们在哪种情况下工作得最好：

基于变化

以卫生为基础

基于法规遵从性

基于资源

基于威胁的新出现

 

基于变化

快速发展的科技公司通常每天多次部署代码或基础架构更改，而其他组织的设置可能相对静态，可能不会定期更改其任何系统

我们使用的技术的复杂性意味着每次更改都可能带来灾难性的配置错误，或者意外引入具有已知漏洞的组件。因此，在对系统应用了哪怕是微小的更改之后运行漏洞扫描都是一种明智的方法。

因为它基于变化，所以这种方法最适合快速变化的资产，如web应用程序，或AWS、Azure和GCP等云基础设施，在这些基础设施中，新资产可以一分钟一分钟地部署和销毁。在这些系统暴露于公共互联网的情况下，这样做也特别值得

出于这个原因，许多公司选择通过API和他们选择的扫描工具自动将测试工具集成到部署管道中。

虽然自动化工具对于常规测试来说是很好的，但是你所做的改变越大或越戏剧性，你就越想考虑渗透测试来进行双重检查，没有引入任何问题。

这方面的好例子可能是对web应用程序的体系结构进行大的结构性更改，任何全面的身份验证或授权更改，或引入大量复杂性的大型新功能。在基础设施方面，相当于大规模迁移到云，或者从一个云提供商迁移到另一个云提供商。

即使您不定期更改系统，仍然有一个非常重要的原因需要定期扫描系统，而这一点经常被刚刚进行漏洞扫描的组织忽略

安全研究人员经常在各种软件中发现新的漏洞，而使利用这些漏洞轻而易举的公开攻击代码可以随时公开披露。从Equifax漏洞到Wannacry勒索软件，这就是近年来最具影响力的黑客攻击的原因。这两种攻击都是由普通软件中发现的新缺陷以及犯罪分子迅速将漏洞武器化以达到自己的目的而引起的。

没有任何软件可以免于这一经验法则。无论是您的web服务器、操作系统、您使用的特定开发框架、远程工作VPN还是防火墙。最终的结果是，即使你昨天做了扫描，显示你是安全的，明天也不一定会是这样

每天都会发现新的漏洞，因此即使没有对系统进行任何更改，它们也可能在一夜之间变得容易受到攻击

这是否意味着您应该不间断地运行漏洞扫描？不一定，因为这可能会因流量过大而产生问题，或掩盖任何出现的问题

臭名昭著的WannaCry网络攻击表明，在这种情况下，时间安排很紧，没有在合理时间内做出反应以发现和纠正安全问题的组织将自己置于风险之中。微软发布了针对WannaCry在攻击发生前59天传播的漏洞的补丁。更重要的是，攻击者能够制造一个漏洞，并在一个公开漏洞泄露后仅仅28天就开始破坏机器

仅从本例的时间线来看，不在30-60天的时间内运行漏洞扫描和修复问题显然是冒着很大的风险，而且不要忘记，即使在发现问题后，也可能需要一些时间来修复#我们对大多数企业良好网络卫生的建议是，至少每月在面向外部的基础设施上使用漏洞扫描器，让您在这些令人不快的意外事件前领先一步。对于对网络安全高度敏感的组织来说，每周甚至每天的扫描可能更有意义。同样，内部基础设施每月扫描一次有助于保持良好的网络卫生

对于web应用程序，定期扫描其框架和基础结构组件同样有意义，但如果您正在通过身份验证扫描查找自己代码中的错误，基于更改的方法更有意义

基于法规遵从性

如果出于法规遵从性原因而运行漏洞扫描，那么特定的法规通常会明确说明应执行漏洞扫描的频率。例如，PCI DSS要求对其范围内的系统进行季度外部扫描

然而，你应该仔细考虑你的扫描策略，因为监管规则意味着一刀切的指导方针，可能不适合你的业务

简单地将这一90天的规定与上述WannaCry示例中的时间线进行比较，我们就会发现，这样的指导方针并不总是起到关键作用。如果你真的想保持安全，而不是简单地勾选一个方框，那么以上述方式超越这些规定通常是有意义的

基于资源

漏洞扫描程序可以产生大量信息，并揭示许多缺陷，其中一些缺陷的风险比其他缺陷更大。当考虑到需要处理的信息量，以及纠正这些缺陷所需的工作量时，人们可能会倾向于认为，尽可能频繁地扫描所有输出是有意义的，比如每季度扫描一次

虽然这是一种很好的方法，但不幸的是，新的漏洞被发现的频率比这要高很多，因此与其将扫描限制在处理输出的频率上，不如首先寻找一种产生较少噪音的扫描仪，帮助你首先关注最重要的问题；并为你提供指导，告诉你其他人应该在什么样的时间范围内解决问题

入侵者就是这种扫描仪的一个例子。它的设计目的是自动优先处理对您的安全有实际影响的问题，过滤掉扫描结果中的信息噪音。入侵者的扫描结果是针对面向互联网的系统定制的，这意味着它可以帮助您监控和减少攻击面

作为人类，如果事物变得太吵，我们也会开始忽略它们。警惕疲劳是网络安全中的一个真正问题，因此你应该确保你使用的工具不会全天候向你发送信息，因为这可能会让你停止关注，并且在重要问题发生时更容易错过它们。在选择扫描仪时一定要考虑到这一点，因为认为输出最多的扫描仪是最好的是一个常见的错误

 

基于威胁的新出现

 

因此，现在您已经决定了运行扫描的时间表，有必要考虑在不运行扫描时，间隙中会发生什么

例如，假设你认为每月扫描一次对你来说是有意义的，可以半定期地了解你所做的任何更改。这很好，但正如Equifax漏洞的时间表所示，如果在上次扫描的第二天发现漏洞，即使在30天这样短的时间内，您也可能会遇到问题。不过，结合我们对上述警报疲劳的看法，仅仅安排每日扫描可能不是避免这种情况的最佳方法#入侵者也提供了类似的概念，称为“新兴威胁扫描”，他们的软件在每次出现新漏洞时都会主动扫描客户。这样可以确保所有信息都是最新的，并且不会基于旧信息发出错误警报

总之为了解决这个问题，一些漏洞扫描器提供了弥补这些漏洞的方法——一些扫描器通过存储上次扫描时检索到的信息，并在发布任何新漏洞时提醒您这些信息是否与之相关。

与网络安全领域的许多事情一样，没有适合所有人的方法来计算理想的扫描频率。根据你保护的资产类型或你经营的特定行业，答案会有所不同。我们希望本文能帮助您做出明智的决定，确定漏洞扫描的正确频率。