漏洞扫描调度方法随需求变化而变化？

Question

我有一个关于安排漏洞扫描和评估工作的问题。

我正在制定漏洞扫描的时间表。我想知道什么时候，为什么要开始扫描，首先-什么条件应该需要这个要求。

是否应该在系统/应用程序设计或配置发生更改时启动此练习？

如果我采用这种方法，我就不得不质疑变化的正确性。这一改变是否得到批准，是否遵循了实施/引入变革的指导方针或最佳方式。

由于不遵守变更管理协议/程序所产生的风险并不是漏洞扫描器的直接责任，因此，如果不通过变更控制系统和其他手段(审计等)来处理这种风险，则该风险并不是直接责任。

当我知道是否遵循了适当的变更管理流程时，我为什么要浪费时间评估风险/测试漏洞，我不需要扫描。

那么，漏洞扫描是否应该由变化或需求驱动呢？

Answer 1

有几次您应该进行漏洞扫描和配置审计，每一次都有各自的目的：

1. 当一个新系统或应用程序被引入到环境中时。这是为了评估在您的环境中引入新元素所带来的风险。
2. 当对环境中的现有系统或应用程序进行更改时。这是为了评估变化带来的风险。
3. 定期扫描所有系统，按照一个定期的时间表。这可以说是这三者中最重要的。它有几个用途：
   • 保持环境安全态势的最新基线。
   • 检测对环境的意外和/或未经授权的更改。
   • 找出那些易受新发现的漏洞攻击的系统，这些漏洞在以前的扫描中是不会被覆盖的。

正如这里所概述的，所有这些都有其自身的目的。每个人在适当的风险管理和发现政策中都有自己的位置。您应该将所有这些都包含在您的过程中，如果没有任何一个，则可能会留下一个不必要的窗口，在该窗口中您可能会忽略您可能在早期发现的漏洞。

Answer 2

联邦的共识是，漏洞扫描应该是连续的。

我认为，更改驱动扫描是有效的；周期性扫描对于检测未跟踪的更改也是有效的。

恐怕我不能遵循“摇滚乐”战略，也不知道为什么你不得不质疑这种改变的合法性。扫描漏洞；评估风险，建议有权接受风险的个人。