本文講的是漏洞評估中「誤報」不可能避免 哪種處理方式最佳?,雖然誤檢測應盡可能清除掉,但這是任何漏洞評估工具的乙個固有部分。誤檢測的可能原因包括:特定於**商的補丁/更新的快速改變、零日漏洞、訪問限制、網路故障等。
安全目標,就是企業網路中檢測出的漏洞數量很少,最好還是漏洞評級/危險程度最低的那種。漏洞評分是客觀而科學的可再現衡量標準,低漏洞評分,意味著主機防護薄弱,但依然安全。頂級管理和緩解團隊對此結果相對滿意,而顯示出更少漏洞的評估工具通常廣受讚譽。
然而,太多漏報,就完全是另一碼事了。對這些「可疑」漏洞的識別,可能是多種因素影響的結果,包括「廣撒網」式漏洞測試方法。如果沒有實現更針對性的測試,此類檢測可能會讓系統更為脆弱,更易淪為漏洞利用的受害者。
當檢測結果被證明為「假」時,最佳處理方式是什麼呢?實際上安全缺但報稱系統脆弱?或者實際上系統脆弱但預報為安全?
我們不妨先考慮下面幾個例子再決定哪種選擇更好:
環境 鑑於支付卡行業資料安全標準( pci dss )合規系統的實現方式,支付卡行業安全標準委員會( pci ssc )宣告,誤報比漏報更好。該爭議隨後在支付卡行業授權服務提供商( pci asv )那裡被充分討論了。
回滾/災難恢復
紅帽linux允許保留一些舊核心包以進行回滾。即便當前核心沒有漏洞,這些舊包也可能是脆弱的。因此,如果你不考慮帶漏洞的回滾包,萬一以這些包為基礎的恢復事件發生,你的系統就可能會受到影響了。
配置改變
windows系統目前沒有標記任何與活動目錄(ad)相關的漏洞,但未來更新後,難保不會遭到利用ad或ldap(輕量級目錄訪問協議)架構漏洞的攻擊。
向後相容
有時候某些配置會因為要保持系統向後相容而保留,尤其是使用遺留脆弱加密相關演算法的情況下。即便你的系統再也不使用這些密碼,攻擊者也依然可以利用它們。
上面提到的例子中蘊含這一些經驗教訓:
主機評分不代表系統安全的真實情況。高分系統可能顯示出系統的真實安全態勢,而低分系統可能表現出的是系統安全的錯覺。
風險接受,是風險緩解策略的一部分,應謹慎使用,要考慮到接受風險並不總是不可取的。
最重要的是,配置/修改管理變得關鍵。為獲得所有更新/回滾操作的完整檢視,這些改變應被注意到,且應進行漏洞掃瞄。因此,配置和漏洞管理應協同部署。
結論報告中看到誤報並非總是壞事。每個誤報都應審視其中潛在價值。畢竟,接受誤報,總比讓系統漏洞滿滿,更不失為一種安全操作。後者可是會導致信譽損失、員工情緒低落、長時間梳理審計日誌、努力控制潛在攻擊,以及恢復系統到安全狀態等等諸多不利後果的。
開放式漏洞評估系統 OpenVAS
openvas是開放式漏洞評估系統,也可以說它是乙個包含著相關工具的網路掃瞄器。其核心部件是乙個伺服器,包括一套網路漏洞測試程式,可以檢測遠端系統和應用程式中的安全問題。使用者需要一種自動測試的方法,並確保正在執行一種最恰當的最新測試。openvas包括乙個 伺服器和乙個圖形化的前端。這個伺服器准許...
GUN C中的錯誤報告
在c語言中,很多庫函式在呼叫失敗時都會返回特定的值。比如返回 1,空指標,eof等。但是這些值僅僅表示的呼叫失敗,並未給出詳細的錯誤資訊。如果想檢視詳細的錯誤內容,就要去檢視errno的錯誤 errno在errno.h中定義。關於errno的解釋 乙個int型別,可修改的左值 errno包含了系統中...
Nessus 網路和主機漏洞評估程式安裝試用
基本上只要寫 name 即可,如果選擇了visibility為shared,則別人也可以利用你這個策略進行掃瞄。填好後 next 即可看到下面的介面 我現在要掃瞄windows主機,則在最上面選擇 windows credentials 即可,下面的可以為空。然後 next 選擇 families ...