D6-02 8–10 分钟 重要程度:高
漏洞评估、SCAP 与扫描类型
漏洞评估用标准化语言和扫描技术识别可被利用的弱点;登录扫描通常比非登录扫描更准确,但仍需确认误报、漏报和业务风险。
一、必须记住
- Vulnerability assessment 识别、分类并评估漏洞,不等于实际利用漏洞。
- SCAP 为漏洞描述和自动化评估提供通用语言。
- CVE 命名漏洞,CVSS 衡量严重性,CCE 命名配置问题,CPE 命名平台。
- XCCDF 描述安全检查表,OVAL 描述安全测试过程。
- Network discovery scan 发现主机、端口和服务状态。
- Vulnerability scan 更深入地识别已知漏洞。
- 登录扫描通常减少误报和漏报,但需要保护扫描凭据。
二、核心概念
SCAP 组件
SCAP 把漏洞、平台、配置和测试描述标准化。CVE 让团队谈论同一个漏洞;CVSS 支持优先级排序;CCE、CPE、XCCDF 和 OVAL 支持配置检查与自动化评估。
发现扫描
网络发现扫描探测开放端口和服务。TCP SYN scan 是半开放扫描;TCP connect scan 建立完整连接;TCP ACK scan 可帮助推断防火墙规则;Xmas scan 设置 FIN、PSH、URG 等标志位。
漏洞扫描
网络、Web 应用和数据库漏洞扫描会继续探测已知弱点,例如缺少补丁、错误配置、SQL Injection、XSS 或 CSRF。扫描结果需要人工确认,因为工具可能产生误报或遗漏上下文风险。
三、CISSP 判断规则
- 问“漏洞统一命名”,选 CVE。
- 问“漏洞严重性评分”,选 CVSS。
- 问“平台命名”,选 CPE;问“配置问题命名”,选 CCE。
- 问“开放、关闭、过滤端口”,通常是 Nmap 或网络发现扫描。
- 问“实际尝试攻破”,不是漏洞评估,而是 Penetration testing。
四、常见陷阱
- 漏洞扫描发现风险线索,不代表漏洞一定可被成功利用。
- 非登录扫描更安全简单,但可见性较低;登录扫描更准确但需要凭据治理。
- CVSS 高分不自动等于最高修复优先级,还要结合资产价值、暴露面和补偿控制。
五、英文关键字
Vulnerability assessment SCAP (安全内容自动化协议) 定义:标准化漏洞、平台、配置和自动化检查内容。 CVE (通用漏洞披露) 定义:公开漏洞的标准编号。 CVSS (通用漏洞评分系统) 定义:衡量漏洞严重性的评分系统。 CCE (通用配置枚举) 定义:标准化标识安全配置问题。 CPE (通用平台枚举) 定义:标准化标识软硬件平台。 XCCDF (可扩展配置检查表描述格式) 定义:描述安全检查表和配置基线。 OVAL (开放漏洞与评估语言) 定义:描述自动化漏洞和配置测试过程。 Nmap (网络映射工具) 定义:常用于主机发现、端口扫描和服务识别。 TCP SYN scan TCP connect scan TCP ACK scan Xmas scan Credentialed scan (登录扫描) 定义:使用凭据检查内部配置和补丁状态,通常更准确但需保护凭据。
小测验
1. 安全团队需要一个标准编号来引用某个公开漏洞,应使用?
CVE 是漏洞命名系统;CVSS 是严重性评分,不是漏洞编号。
2. 扫描器显示某端口为 filtered,CISSP 上最合理的含义是?
Nmap 的 filtered 表示因为过滤干扰,扫描器不能判断端口是开放还是关闭。
3. 为什么登录漏洞扫描通常比非登录扫描更准确?
登录扫描具备更高可见性,通常减少误报和漏报;但仍需保护凭据并控制扫描影响。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成