觀(guān)點(diǎn):全自動(dòng)安全漏洞掃描器的低準(zhǔn)確率與高性?xún)r(jià)比

責(zé)任編輯:editor005

作者:極客小默

2016-03-17 14:13:42

摘自:FreeBuf

NCC小組安全工程師Clint Gibler表示,雖然全自動(dòng)漏洞掃描器大多數(shù)警報(bào)都是錯(cuò)誤的,但是這種手段還是比企業(yè)自己手動(dòng)操作掃描要廉價(jià)不少。

NCC小組安全工程師Clint Gibler表示,雖然全自動(dòng)漏洞掃描器大多數(shù)警報(bào)都是錯(cuò)誤的,但是這種手段還是比企業(yè)自己手動(dòng)操作掃描要廉價(jià)不少。

觀(guān)點(diǎn):全自動(dòng)安全漏洞掃描器的低準(zhǔn)確率與高性?xún)r(jià)比

  印度國(guó)產(chǎn)安全會(huì)議:Nullcon

在印度果阿(Goa)的Nullcon安全會(huì)議上,Gibler為來(lái)自10個(gè)不同工業(yè)部門(mén)的百位NCC客戶(hù)介紹了一款未命名的全自動(dòng)掃描器。

這種掃描器掃描出了大約90萬(wàn)的安全紅色警報(bào),但是人們發(fā)現(xiàn)在一些區(qū)域中存在89%的誤報(bào)。即使是掃描器表現(xiàn)最好的時(shí)候也有50%的誤報(bào)率。

這項(xiàng)調(diào)查是在2014年2月至2015年5月之間實(shí)施的,由NCC小組員工對(duì)所有公司進(jìn)行手動(dòng)漏洞掃描。

Gibler在Nullcon會(huì)議上表示,雖然他覺(jué)得處理誤報(bào)的代價(jià)可能是巨大的,但是自動(dòng)掃描器對(duì)于大多數(shù)公司來(lái)說(shuō)仍舊是值得的選擇的,他的論斷是基于這一數(shù)據(jù):一名安全工程師的工資是7.5萬(wàn)美元,但是評(píng)估一個(gè)自動(dòng)掃描器發(fā)現(xiàn)的漏洞只需要不到一分鐘。

Gibler認(rèn)為:

“人們浪費(fèi)大量時(shí)間來(lái)審批這些評(píng)分在1到9的誤報(bào)。”

最好的情況就是你支付1千美元給員工去花時(shí)間審核這些問(wèn)題(其中包括了真正存在的漏洞);糟糕的情況就是你花費(fèi)了1萬(wàn)到1.6萬(wàn)美元去審核這些問(wèn)題。大多數(shù)人在購(gòu)買(mǎi)工具時(shí)只看價(jià)格,而不會(huì)考慮潛在因素,那就是審查這些結(jié)果要花費(fèi)多長(zhǎng)時(shí)間,而這些結(jié)果中又有多少是正確的。

自動(dòng)掃描工具價(jià)值猶存

然而,Gibler還告訴Vulture South:

“這些自動(dòng)掃描工具還是很有價(jià)值的,因?yàn)樗鼈兣c價(jià)格昂貴的滲透測(cè)試之間架起了橋梁。我認(rèn)為它們?nèi)耘f是有用的,將來(lái)更是如此。”

Gibler在通知客戶(hù)發(fā)現(xiàn)漏洞之后企業(yè)往往還要花費(fèi)10到20個(gè)星期的時(shí)間才會(huì)進(jìn)行修補(bǔ),有的甚至?xí)系揭荒旰笤傩扪a(bǔ)。在NCC進(jìn)行的9000次漏洞測(cè)試中,發(fā)現(xiàn)自動(dòng)掃描沒(méi)有掃描到的最大的一樁漏洞是1萬(wàn)個(gè)跨站點(diǎn)腳本漏洞。

受到結(jié)果影響的主要是休閑娛樂(lè)、媒體產(chǎn)業(yè)(25769個(gè)漏洞)以及公共教育部門(mén)(15550個(gè)漏洞)。

Gibler認(rèn)為公司沒(méi)有必要優(yōu)先修復(fù)高危漏洞,從而擱置了低風(fēng)險(xiǎn)的漏洞。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)