ライトポートスキャンの信頼オプション

オプションプロファイルにあるこのオプションは、信頼スキャンとして実行されるライトポート脆弱性スキャンを設定するために使用されます。ここでは信頼スキャンの動作と特定の使用例について説明します。


信頼スキャンとは

スキャンの信頼性は、以前に検出された結果(ステータスが「New」、「Active」、または「Reopened」であるもの)を現在のスキャンの結果に基づいてクローズするときの方法に影響を与えます。

信頼スキャンでは、QID がスキャンに含まれており(オプションプロファイルの QID を含む検索リストで「Vulnerability Detection」が「Complete」または「Custom」である場合)、かつ、以下のいずれかの条件が満たされる場合、以前にオープンされた検出結果はクローズされます。

1)QID が実行され、脆弱性が修正されていることが明らかになった場合

2)以前に脆弱性が検出されたポートがオープンされていない、またはスキャナによって到達可能でなくなったため、あるいはポートがスキャンするポートのリストに含まれていないために、QID を実行することができない場合

同じ脆弱性の 2 つのインスタンスが複数のポート上に存在している場合(例えば、Web サーバが 80/tcp と 443/tcp で QID をリリースしている場合)、各インスタンスの脆弱性は指定されている条件に従って独立して評価されます。

非信頼スキャンでは、スキャンするポートのリストにポートが含まれていない場合、QID のステータスは更新されません。

ライトポートスキャンと標準ポートスキャンまたは完全ポートスキャンとの比較

- ライトポートスキャンはデフォルトで非信頼スキャンです。つまり脆弱性ステータスは、スキャンしたポートで検出した脆弱性についてのみ更新されます。ライトポートスキャンは、オプションプロファイルの「Authoritative Option」を有効にすることで、ライトスキャンを信頼スキャンにすることができます。

- 標準ポートまたは完全ポートのリスト設定で TCP ポートや UDP ポートのスキャンを行う場合は常に信頼スキャンであり、これを非信頼スキャンに変更することはできません。

ベストプラクティス

信頼オプションを使用して対象ホストでライトポートスキャンを実行する場合は、同じ方法で継続的にスキャンを行う必要があります。同じ対象ホストに対するスキャンを標準ポートスキャンまたは完全ポートスキャンに変更すると、予期しない脆弱性ステータスとトレンドが取得されることがあります。

組織で完全な標準スキャンを標準としている場合、信頼オプションを有効にしたままライトスキャンを実行することは推奨されません。これにより、脆弱性ステータスが予期せずに変更されることがあります。

使用例 - Web サービスのシャットダウン

Web サーバのポート 80/tcp で前回、脆弱性が検出されています。問題に対処するため、サービスは停止されました。検索リストに特定の QID を含む(または完全な脆弱性検出を使用する)スキャンが行われますが、これは信頼スキャンではないので、後続のスキャンではポートが開かれておらず、QID を実行できないため、脆弱性はクローズされません。信頼スキャンを使用すると、脆弱性は強制的にクローズされます。

使用例 - 認証済みの QID とリモートチェック

Shadow Brokers による脆弱性である QID 91345 など、特定の QID には、認証チェックとリモートチェックがあります。これは「Results」項の「Port」にこの QID が検出されたことはスキャナによってレポートされますが、アセットの詳細(つまり、ホストベースのデータ)にはタグが設定されないことを意味します。

スキャン処理の側から見てみると、ライトポートスキャンでカスタムポートリストが使用されると、スキャナはスキャンしたカスタムポートの 1 つで検出されたホストに対して、現行のすべての脆弱性の検査を行ってから、スキャン結果に応じて、これを「Active」、「Fixed」、「Reopened」としてマークすることになります。

認証スキャンと認証なしのスキャン

認証スキャン中に脆弱性が検出された場合、その脆弱性をクローズできるのは、信頼スキャンであるかどうかに関係なく、別の認証スキャンのみになります。認証なしのスキャンには認証スキャンと同じアクセス権がないため、QID をクローズする結果にはなりません。