什么是漏洞评测？

漏洞评测是指用于检查业务的特定组成部分，以发现潜在安全漏洞的工具、技术或流程。应用程序、服务、网络、基础设施和人员都可能无意中产生安全问题。通过执行漏洞评测（例如自动补丁检查、代码分析和社会工程测试），组织可以缓解威胁并提升整体安全态势。

对于希望增强安全态势的企业来说，进行漏洞评测有多项好处。

降低安全风险

漏洞评测可以直接识别您的环境中可能被攻击者利用的漏洞。通过了解安全态势需要改进的方面，您可以立即开始制定预防措施以增强安全性。经常进行漏洞评测将发现未知的安全漏洞，使您能够提前修复这些问题。

改善事件响应路径和暴露管理

漏洞评测可帮助您规划事件响应流程和暴露管理技术。通过漏洞分析，您可能会发现某些漏洞难以消除或需要很长时间才能修复。

在这种情况下，您可以制定或完善事件响应计划，包括暴露管理技术、利益相关者沟通计划和其他事后处理流程。

支持合规和审计工作

安全合规的一个重要部分是定期监控您的系统是否符合监管框架的审计和报告要求。进行符合特定框架的漏洞分析有助于确定您可能需要完善架构和控制措施以实现合规的领域。通过定期进行漏洞评测，您可以创建安全态势管理检查日志，用于审计目的。

通过修复已识别的漏洞来增强安全态势管理

漏洞评测有助于确定您的企业可以在哪些领域增强安全态势，或改进当前的网络安全协议和控制措施。通过了解可以在哪些方面提高安全性，您可以根据漏洞的潜在影响更轻松地确定其优先级。该漏洞管理计划提供了路线图，可帮助您的网络安全团队加快解决关键安全问题的速度。

以下是您的企业在进行漏洞分析时可能遇到的一些最常见的安全漏洞。

未加固的网络

网络固化是指通过添加防护解决方案和控制措施，使您的网络基础设施达到尽可能高的安全水平的过程。如果攻击面的某一部分缺乏特定安全控制措施（例如防火墙配置错误），则会被视为未加固的网络漏洞。开放端口或公共网络可能导致第三方未经许可访问您的敏感数据。监控网络中是否存在这些潜在威胁是漏洞管理的核心环节。

过时的软件

许多遗留系统和软件都存在行业内广泛已知的安全漏洞。如果企业继续使用遗留系统和过时软件，将面临安全风险。不受支持的系统以及缺乏新的安全补丁和更新的软件存在风险。应尽快对这些系统进行现代化改造或更换。

不安全的数据管理

数据管理是有效安全态势管理的核心部分。如果您企业的数据处理政策不符合标准（例如加密技术无效、使用默认登录账户或访问控制缺乏管理），未经授权的人员将更容易获取您的数据。

配置漏洞

配置漏洞是指数字系统中的配置错误，这些错误使其容易被利用。例如，将 Amazon S3 存储桶公开共享的错误配置可能会导致意外的信息泄露。因此，企业定期检查当前配置以识别和处理已知漏洞至关重要。

薄弱的用户管理

员工和保护不力的用户账户（例如密码薄弱或未启用多重身份验证（MFA）的账户）可能会对您的安全态势构成潜在风险。企业应定期审查用户账户，推广良好的密码使用习惯，要求所有账户启用多重身份验证，并删除任何不再与公司合作的用户的账户。

未修补的漏洞

当网络安全团队发现广泛使用的系统中存在漏洞时，按照行业标准，应公开相关信息并与其他团队共享。通过私人渠道共享这些信息，相关工具可在第三方团队利用该漏洞之前发布补丁以解决问题。

因此，网络安全团队应努力将使用的所有软件更新至最新版本，因为这些版本包含最新的安全补丁。

内部威胁

当在职员工故意或意外触发意外安全事件时，就会产生内部威胁。这些威胁通常与缺乏安全知识有关，例如陷入网络钓鱼诈骗或丢失账户访问权限。内部威胁相当普遍，因此用户教育是全面、持续的安全措施的重要组成部分。

漏洞评测分为多种类型，分别针对不同类型的漏洞。

扫描漏洞评测工具

自动漏洞扫描会监控公司的攻击面，并与操作系统、网络设备和应用程序联动，对照主要威胁监控组织已识别的漏洞数据库进行检查。如果扫描器在您的系统中发现数据库中的常见漏洞之一，则会提醒您的安全团队采取行动。

静态分析和动态分析技术

静态应用程序安全性测试（SAST）是一种漏洞扫描工具，用于检查应用程序的源代码以发现潜在漏洞。SAST 是安全编码的核心部分，通常集成到软件开发流程中，以帮助开发人员在漏洞被推送至实时代码之前将其捕获它们。

动态应用程序安全性测试（DAST）会在运行时环境中观察应用程序，以检测任何可能表明存在第三方交互的异常情况。DAST 漏洞测试可识别常见漏洞，例如跨站脚本攻击、SQL 注入和不当的会话处理场景。

内部同行评审

在软件开发左移时代，同行进行内部代码评审已成为标准做法。在内部同行评审中，内部网络安全团队会相互检查现有代码和系统，以识别错误配置、潜在漏洞和逻辑缺陷等可能会被第三方在意外安全事件中利用的问题。

外部评审和渗透测试

外部评审的流程与内部同行评审类似，但由外部安全公司执行。这些公司会专门对安全态势进行细致的检查，以排查工具、系统、应用程序和代码中是否存在潜在漏洞。外部评审还可能涉及红队模拟演习和渗透测试。

综合评测流程

许多云安全漏洞评测工具（如 AWS Security Hub）会主动从一系列内部来源（如数据日志、访问控制系统和配置设置）收集数据，以提供云环境的全面概览。综合漏洞分析使安全团队能够全面了解其安全态势。

社会工程和物理评测

造成安全漏洞的主要原因之一是人为错误，例如员工意外陷入网络钓鱼诈骗或点击恶意链接，这些都可能构成潜在漏洞。安全团队可以通过提供研讨会和培训机会来减少此类事件的发生。此外，企业可以开展自动社会工程测试，以评估员工识别和应对这些威胁的能力。

持续漏洞评测流程是一种定期或实时的漏洞扫描系统，用于监控异常情况。这种漏洞分析方法有助于实现持续响应，因为可以尽快识别任何异常并确定修复的优先级。

漏洞评测报告可以随时深入分析系统的当前运行状况。报告可以与统一安全解决方案集成，以提供更深入的安全见解。

风险评测是一项额外的评测，如果企业想了解已发现漏洞的潜在影响，可以采用该评测。例如，在进行漏洞评测后，企业可能会进一步开展风险评测和漏洞分析，以确定哪些漏洞对其目标和安全构成最大威胁。

将全面的漏洞评测与对已识别漏洞的风险评测相结合，可以为公司提供更全面的背景信息，使其能够更好地优先处理某些修复工作。 

漏洞和攻击模拟（BAS）是一种红队演习形式，由内部或外部团队模拟对您的网络防御系统的攻击。这些演习旨在采用未经授权第三方团体可能使用的真实策略，高度模拟攻击。通常，BAS 会遵循已知的攻击向量框架（例如 MITRE ATT&CK 中记录的框架）。

漏洞评测旨在识别漏洞，而漏洞模拟则旨在在安全可控的环境中利用这些漏洞，以测试事件响应能力。企业在修补已知漏洞后，可能会通过漏洞模拟来测试修复措施的有效性。

绝大多数网络安全合规框架（例如 ISO 27001、SOC 2 和 PCI DSS）都要求企业定期进行漏洞评测。通过持续开展这些评测，企业可以履行法定的尽职调查义务，并提供合规证明报告。

经常进行漏洞评测可以帮助公司为审计做准备，并降低发生漏洞时可能受到处罚的风险。 

AWS 云安全解决方案可以帮助保护您的资产、网络和人员管理。

Amazon Inspector 可以自动发现工作负载，例如 Amazon Elastic Compute Cloud（Amazon EC2）实例、容器映像、AWS Lambda 函数和代码存储库，并扫描它们是否存在软件漏洞和网络安全攻击。这项持续的漏洞评测服务利用当前的常见漏洞和暴露（CVE）信息以及网络可访问性，生成上下文风险评分，帮助确定漏洞资源的优先级并进行修复。

AWS Security Hub 可以统一您的云安全运营，包括集成式持续漏洞评测和不间断的威胁检测。

AWS Security Hub 云安全态势管理（CSPM）可以执行安全最佳实践检查，并从 AWS 安全服务和合作伙伴处收集安全调查发现。它将这些调查发现与其他服务和合作伙伴安全工具的发现相结合，自动检查您的 AWS 资源，以帮助您识别错误配置并评估您的安全状况。

立即创建免费账户，开始在 AWS 上进行漏洞评测。