网络安全行业报告：2019年度漏洞威胁分析与2020安全展望报告（35页）

行业报告下载 2020年04月07日 15:42 管理员

扫描器的漏洞库就像是军人的武器库，覆盖的类型越多在检测时才可能发现更多的漏洞。而扩充漏洞库的方式有两个，一方面要把常见的通用型漏洞覆盖，如SQL、XSS、OpenRedirect等，这些检测模块可以以一敌百，甚至具备挖掘“未知”漏洞的能力；另一方面是非通用型漏洞的覆盖，如框架漏洞、服务漏洞等，可是其中的问题在于，这部分漏洞实在是太多了。2019年共计出现了 18938个CVE漏洞，这些漏洞中可以被通用检测模块扫出来的寥寥无几，而想要手工实现这些漏洞的检测是一件不可能完成的工作，面对这令人畏惧的数量，有一条捷径是版本匹配技术。简单来讲，版本匹配就是基于应用版本去漏洞库检查当期版本有无漏洞。这里的漏洞库可以由NVD和CVE 的公开数据构建而来，而版本的识别就需要自行实现了，不同的服务有截然不同的版本获取方式，在确认版本之后就可以构建CPE信息去漏洞库查询，如此便能实现数万漏洞的快速集成。综合来看，通过提高漏洞覆盖面，可以在同样的资产下扫出尽可能多的漏洞。

在一家中大型企业中，机器数量成千上万，每日新增业务不计其数。在这种情况下，如果扫描速度很慢以至于扫不完，那即使算法再高效，漏洞覆盖再全面也无济于事。当高危漏洞爆发时，企业希望能赶在攻击者之前发现业务薄弱点，那么扫描速度就成了与攻击者赛跑的制胜点。在这种场景下，可以采用“分布式扫描+增量扫描”的解决方案。分布式扫描通过添加扫描节点，根据调度算法将任务分配到不同的节点上，整体算力大致与节点数量成正比，如此便能极大提升企业安全巡检的速度。不过每次都进行全量的扫描不仅浪费资源而且容易产生大量的垃圾数据给业务造成困扰，增量扫描便有效补足了这个缺陷。增量扫描是指每次只扫描相比上次新增的业务，在这种模式下，系统管理员需要定期为增量扫描设置“零点”，比如可以每周做一次完整扫描，后续扫描便能以此为基准只做增量扫描，大大提升整体效率。