1.3.2　选择服务提供商的考虑因素

与其他类型的安全即服务有所不同，云扫描服务提供商的类型相对单一，通常是提供扫描器产品（硬件、软件、平台）的厂商，在原有产品能力的基础上，做了相应的云化服务的调整，从而转型为云扫描服务的提供商。虽然服务提供商大多数比较专业，在选择的时候不用有太多的顾虑，但还是有几个因素需要大家注意。

（1）扫描范围是否可以覆盖企业IT环境？

现在企业的IT环境要比以前复杂得多，企业IT系统不仅有硬件服务器，还有虚拟化环境、公有云资源、行业云资源、容器化资源、各种办公软件、管理软件等。这种日益复杂的IT环境对于云扫描服务提供商来说也是个挑战，不仅需要支持传统的、以硬件服务器为主的环境，还要覆盖虚拟化环境、容器环境。企业在选择云扫描服务提供商时，需要考察云服务提供商提供的扫描范围能否支持企业所有的IT资源类型，包括各种软、硬件，否则还是会有漏网之鱼，从而产生木桶理论中的最短板。

（2）能够识别的资产范围是否可以覆盖企业的软、硬件环境？

扫描工作的第一步是资产扫描、资产识别，如果无法实现对资产的准确识别，就无法定位与这个硬件或者软件相关的安全漏洞，接着就会出现漏报的现象。以漏洞CNVD-2020-10493/CVE-2019-4592为例，它是由软件IBM Tivoli Monitoring Service产生的漏洞，但如果云扫描服务无法识别这款IBM软件（或者通过集成CMDB来识别），那就无法识别漏洞。这就要求企业在试用或者测试的过程中，要将企业用到的所有操作系统、软件全部检测到，确认可以对所有软件进行识别，并且匹配已经发布的漏洞。

（3）基础漏洞库更新是否及时？

如图1-33所示，2016年到2019年新增漏洞逐年增加。以2019年为例，新增漏洞17 930个，平均每天新增49个，每小时新增2个。可以预见，未来的漏洞数的增速还会更快。因此，云扫描服务提供商能否及时更新漏洞库就显得极为重要，试想如果云扫描服务提供商的漏洞库如果还停留在2017年版本，那最少会漏掉对34 219个潜在漏洞（2018年新增漏洞和2019年新增漏洞）的核查。

（4）当发现漏洞后，能否提供修复或者防御建议？

在扫描工作结束后，云扫描服务提供商最好能够针对所有发现的漏洞提供修复建议（例如补丁修复、配置修改等）或者防护建议。避免出现“只看病不治病”的现象。

（5）当发现高危漏洞后，能否发出告警？能否与企业已有的运维平台进行联动？

在扫描工作结束后，云扫描服务提供商最好能够以多种方式（例如短信、邮件、微信等）进行告警，也可以和企业已有的运维平台进行联动，例如在运维平台中创建一个漏洞修复工单，并且对工单的进展进行跟踪。

（6）企业在一开始进行试用的时候，可以选择使用两家或者多家的扫描工具，进行交叉验证。

在使用扫描工具时总是有一个挥之不去的问题，那就是误报和漏报，无论使用哪个厂商的服务都会存在这个问题。所以，在这里建议企业在一开始试用云扫描服务的时候，可以考虑至少选择两家的产品，对它们的扫描结果进行交叉验证，做比较、看效果。如果预算允许的话，也可以一直使用至少两个厂商提供的服务，互为补充。

（7）服务提供商如何保证扫描数据的安全性？

由于云扫描服务的特点，所有的扫描结果都会存储在云端，这些数据对于企业来讲是非常重要且敏感的，所以服务提供商需要提供一套完整的数据安全保障机制，防止数据被盗取。 PbRfwhnzJYieOrlFQYItMTdC5l0N/0X5CwhRzrtKV9lRQiISw3V9sEm+rPAQqgTb