组织计划漏洞扫描

Question

我想知道其他人在设置他们的企业计划漏洞扫描策略方面做了什么。例如，您喜欢创建单个扫描策略并扫描所有网络，而不管主机平台(windows、linux、SQL Server、Oracle、Apache、IIS等)。还是您最终创建了多个扫描策略，只启用了对操作系统、数据库、web服务器等的检查？后者似乎是一个更好的选择，为目标平台的性能和自定义设置，但我认为将很难确保扫描覆盖和维护策略，因为主机被添加，改变，或删除。它还在将扫描结果从多个报表策略合并回一起的末尾添加了一个步骤。

我正在使用Nessus，目前我有一个单独的策略，它被配置为扫描multiple /24's，启用了大多数插件，并为Windows和Linux主机提供了执行身份验证扫描的凭据。这些扫描被配置为每月运行一次，我通常为临时请求创建一个关闭扫描策略。这是可行的，但我想知道其他人可能有什么建议和意见。

谢谢!

Answer 1

Nessus和其他漏洞扫描只会使用适用的包进行扫描，这取决于在发现期间每个主机找到了哪些端口和应用程序。Nessus不会针对db进程运行web漏洞扫描，也不会在linux服务器上运行windows扫描，因此将扫描裁剪到特定的db和软件包是浪费时间。

此外，在您的系统上运行漏洞扫描器的好处之一是发现一些您不知道的东西。如果你把扫描限制在应该在那里的范围内，而不是可能在那里的时候，你可能会错过各种重要的事情。如果只扫描db相关包的db服务器，则可能会根据策略错过已安装在其上的游戏服务器。

所以你最好的策略是扫描所有的东西，使用每一个非破坏性的测试。限制扫描会浪费你的时间，可能会让你错过一些重要的事情。

Answer 2

除了GdD之外，我还建议您对扫描进行计时，以便：

• 当没有人可以恢复关键系统时，不要扫描它们，如果你把它们打翻了
• 在夜间或周末进行扫描(通常是在服务器上设置最小负载的所有小时)