1.3.2 选择服务提供商的考虑因素

与其他类型的安全即服务有所不同,云扫描服务提供商的类型相对单一,通常是提供扫描器产品(硬件、软件、平台)的厂商,在原有产品能力的基础上,做了相应的云化服务的调整,从而转型为云扫描服务的提供商。虽然服务提供商大多数比较专业,在选择的时候不用有太多的顾虑,但还是有几个因素需要大家注意。

(1)扫描范围是否可以覆盖企业IT环境?

现在企业的IT环境要比以前复杂得多,企业IT系统不仅有硬件服务器,还有虚拟化环境、公有云资源、行业云资源、容器化资源、各种办公软件、管理软件等。这种日益复杂的IT环境对于云扫描服务提供商来说也是个挑战,不仅需要支持传统的、以硬件服务器为主的环境,还要覆盖虚拟化环境、容器环境。企业在选择云扫描服务提供商时,需要考察云服务提供商提供的扫描范围能否支持企业所有的IT资源类型,包括各种软、硬件,否则还是会有漏网之鱼,从而产生木桶理论中的最短板。

(2)能够识别的资产范围是否可以覆盖企业的软、硬件环境?

扫描工作的第一步是资产扫描、资产识别,如果无法实现对资产的准确识别,就无法定位与这个硬件或者软件相关的安全漏洞,接着就会出现漏报的现象。以漏洞CNVD-2020-10493/CVE-2019-4592为例,它是由软件IBM Tivoli Monitoring Service产生的漏洞,但如果云扫描服务无法识别这款IBM软件(或者通过集成CMDB来识别),那就无法识别漏洞。这就要求企业在试用或者测试的过程中,要将企业用到的所有操作系统、软件全部检测到,确认可以对所有软件进行识别,并且匹配已经发布的漏洞。

(3)基础漏洞库更新是否及时?

如图1-33所示,2016年到2019年新增漏洞逐年增加。以2019年为例,新增漏洞17 930个,平均每天新增49个,每小时新增2个。可以预见,未来的漏洞数的增速还会更快。因此,云扫描服务提供商能否及时更新漏洞库就显得极为重要,试想如果云扫描服务提供商的漏洞库如果还停留在2017年版本,那最少会漏掉对34 219个潜在漏洞(2018年新增漏洞和2019年新增漏洞)的核查。

图1-33 漏洞增长数(2016~2019,CNCVE)

(4)当发现漏洞后,能否提供修复或者防御建议?

在扫描工作结束后,云扫描服务提供商最好能够针对所有发现的漏洞提供修复建议(例如补丁修复、配置修改等)或者防护建议。避免出现“只看病不治病”的现象。

(5)当发现高危漏洞后,能否发出告警?能否与企业已有的运维平台进行联动?

在扫描工作结束后,云扫描服务提供商最好能够以多种方式(例如短信、邮件、微信等)进行告警,也可以和企业已有的运维平台进行联动,例如在运维平台中创建一个漏洞修复工单,并且对工单的进展进行跟踪。

(6)企业在一开始进行试用的时候,可以选择使用两家或者多家的扫描工具,进行交叉验证。

在使用扫描工具时总是有一个挥之不去的问题,那就是误报和漏报,无论使用哪个厂商的服务都会存在这个问题。所以,在这里建议企业在一开始试用云扫描服务的时候,可以考虑至少选择两家的产品,对它们的扫描结果进行交叉验证,做比较、看效果。如果预算允许的话,也可以一直使用至少两个厂商提供的服务,互为补充。

(7)服务提供商如何保证扫描数据的安全性?

由于云扫描服务的特点,所有的扫描结果都会存储在云端,这些数据对于企业来讲是非常重要且敏感的,所以服务提供商需要提供一套完整的数据安全保障机制,防止数据被盗取。