D6-02 8–10 分钟 重要程度:高

漏洞评估、SCAP 与扫描类型

漏洞评估用标准化语言和扫描技术识别可被利用的弱点;登录扫描通常比非登录扫描更准确,但仍需确认误报、漏报和业务风险。

一、必须记住

  • Vulnerability assessment 识别、分类并评估漏洞,不等于实际利用漏洞。
  • SCAP 为漏洞描述和自动化评估提供通用语言。
  • CVE 命名漏洞,CVSS 衡量严重性,CCE 命名配置问题,CPE 命名平台。
  • XCCDF 描述安全检查表,OVAL 描述安全测试过程。
  • Network discovery scan 发现主机、端口和服务状态。
  • Vulnerability scan 更深入地识别已知漏洞。
  • 登录扫描通常减少误报和漏报,但需要保护扫描凭据。

二、核心概念

SCAP 组件

SCAP 把漏洞、平台、配置和测试描述标准化。CVE 让团队谈论同一个漏洞;CVSS 支持优先级排序;CCE、CPE、XCCDF 和 OVAL 支持配置检查与自动化评估。

发现扫描

网络发现扫描探测开放端口和服务。TCP SYN scan 是半开放扫描;TCP connect scan 建立完整连接;TCP ACK scan 可帮助推断防火墙规则;Xmas scan 设置 FIN、PSH、URG 等标志位。

漏洞扫描

网络、Web 应用和数据库漏洞扫描会继续探测已知弱点,例如缺少补丁、错误配置、SQL Injection、XSS 或 CSRF。扫描结果需要人工确认,因为工具可能产生误报或遗漏上下文风险。

三、CISSP 判断规则

  • 问“漏洞统一命名”,选 CVE。
  • 问“漏洞严重性评分”,选 CVSS。
  • 问“平台命名”,选 CPE;问“配置问题命名”,选 CCE。
  • 问“开放、关闭、过滤端口”,通常是 Nmap 或网络发现扫描。
  • 问“实际尝试攻破”,不是漏洞评估,而是 Penetration testing。

四、常见陷阱

  • 漏洞扫描发现风险线索,不代表漏洞一定可被成功利用。
  • 非登录扫描更安全简单,但可见性较低;登录扫描更准确但需要凭据治理。
  • CVSS 高分不自动等于最高修复优先级,还要结合资产价值、暴露面和补偿控制。

五、英文关键字

Vulnerability assessment SCAP (安全内容自动化协议) CVE (通用漏洞披露) CVSS (通用漏洞评分系统) CCE (通用配置枚举) CPE (通用平台枚举) XCCDF (可扩展配置检查表描述格式) OVAL (开放漏洞与评估语言) Nmap (网络映射工具) TCP SYN scan TCP connect scan TCP ACK scan Xmas scan Credentialed scan (登录扫描)

小测验

1. 安全团队需要一个标准编号来引用某个公开漏洞,应使用?

CVE 是漏洞命名系统;CVSS 是严重性评分,不是漏洞编号。

2. 扫描器显示某端口为 filtered,CISSP 上最合理的含义是?

Nmap 的 filtered 表示因为过滤干扰,扫描器不能判断端口是开放还是关闭。

3. 为什么登录漏洞扫描通常比非登录扫描更准确?

登录扫描具备更高可见性,通常减少误报和漏报;但仍需保护凭据并控制扫描影响。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成