NCC小組安全工程師Clint Gibler表示,雖然全自動(dòng)漏洞掃描器大多數(shù)警報(bào)都是錯(cuò)誤的,但是這種手段還是比企業(yè)自己手動(dòng)操作掃描要廉價(jià)不少。
印度國(guó)產(chǎn)安全會(huì)議:Nullcon
在印度果阿(Goa)的Nullcon安全會(huì)議上,Gibler為來(lái)自10個(gè)不同工業(yè)部門(mén)的百位NCC客戶(hù)介紹了一款未命名的全自動(dòng)掃描器。
這種掃描器掃描出了大約90萬(wàn)的安全紅色警報(bào),但是人們發(fā)現(xiàn)在一些區(qū)域中存在89%的誤報(bào)。即使是掃描器表現(xiàn)最好的時(shí)候也有50%的誤報(bào)率。
這項(xiàng)調(diào)查是在2014年2月至2015年5月之間實(shí)施的,由NCC小組員工對(duì)所有公司進(jìn)行手動(dòng)漏洞掃描。
Gibler在Nullcon會(huì)議上表示,雖然他覺(jué)得處理誤報(bào)的代價(jià)可能是巨大的,但是自動(dòng)掃描器對(duì)于大多數(shù)公司來(lái)說(shuō)仍舊是值得的選擇的,他的論斷是基于這一數(shù)據(jù):一名安全工程師的工資是7.5萬(wàn)美元,但是評(píng)估一個(gè)自動(dòng)掃描器發(fā)現(xiàn)的漏洞只需要不到一分鐘。
Gibler認(rèn)為:
“人們浪費(fèi)大量時(shí)間來(lái)審批這些評(píng)分在1到9的誤報(bào)。”
最好的情況就是你支付1千美元給員工去花時(shí)間審核這些問(wèn)題(其中包括了真正存在的漏洞);糟糕的情況就是你花費(fèi)了1萬(wàn)到1.6萬(wàn)美元去審核這些問(wèn)題。大多數(shù)人在購(gòu)買(mǎi)工具時(shí)只看價(jià)格,而不會(huì)考慮潛在因素,那就是審查這些結(jié)果要花費(fèi)多長(zhǎng)時(shí)間,而這些結(jié)果中又有多少是正確的。
自動(dòng)掃描工具價(jià)值猶存
然而,Gibler還告訴Vulture South:
“這些自動(dòng)掃描工具還是很有價(jià)值的,因?yàn)樗鼈兣c價(jià)格昂貴的滲透測(cè)試之間架起了橋梁。我認(rèn)為它們?nèi)耘f是有用的,將來(lái)更是如此。”
Gibler在通知客戶(hù)發(fā)現(xiàn)漏洞之后企業(yè)往往還要花費(fèi)10到20個(gè)星期的時(shí)間才會(huì)進(jìn)行修補(bǔ),有的甚至?xí)系揭荒旰笤傩扪a(bǔ)。在NCC進(jìn)行的9000次漏洞測(cè)試中,發(fā)現(xiàn)自動(dòng)掃描沒(méi)有掃描到的最大的一樁漏洞是1萬(wàn)個(gè)跨站點(diǎn)腳本漏洞。
受到結(jié)果影響的主要是休閑娛樂(lè)、媒體產(chǎn)業(yè)(25769個(gè)漏洞)以及公共教育部門(mén)(15550個(gè)漏洞)。
Gibler認(rèn)為公司沒(méi)有必要優(yōu)先修復(fù)高危漏洞,從而擱置了低風(fēng)險(xiǎn)的漏洞。