2022年行業(yè)分析安全技術(shù)：系統(tǒng)安全脆弱性掃描技術(shù)分析

安全技術(shù)：系統(tǒng)安全脆弱性掃描技術(shù)分析脆弱性掃描器不同于入侵檢測(cè)系統(tǒng)，由于前者搜尋的是靜態(tài)配置，而后者搜尋的是瞬時(shí)誤用或特別狀況。脆弱性掃描器可能會(huì)通過(guò)檢查一個(gè)遠(yuǎn)程系統(tǒng)上的可用服務(wù)和配置，來(lái)搜尋一個(gè)已知的NFS脆弱性。處理同樣脆弱性的入侵檢測(cè)系統(tǒng)只有在攻擊者試圖利用一項(xiàng)脆弱性時(shí)才會(huì)報(bào)告脆弱性的存在。

脆弱性掃描器(不論是網(wǎng)絡(luò)掃描器還是主機(jī)掃描器)使企業(yè)有機(jī)會(huì)在故障消失之前將其修復(fù)，而不是對(duì)一項(xiàng)已經(jīng)進(jìn)行的入侵或誤用狀況作出反應(yīng)。入侵檢測(cè)系統(tǒng)檢查的是正在進(jìn)行的入侵活動(dòng)，而脆弱性掃描器可以讓用戶首先防止入侵。脆弱性掃描器或許對(duì)那些沒(méi)有很好的大事響應(yīng)力量的用戶會(huì)有關(guān)心。

網(wǎng)絡(luò)脆弱性掃描器

網(wǎng)絡(luò)脆弱性掃描器通過(guò)檢查遠(yuǎn)程系統(tǒng)上的網(wǎng)絡(luò)接口，以遠(yuǎn)程方式進(jìn)行操作。它搜尋在遠(yuǎn)程機(jī)器上運(yùn)行的脆弱服務(wù)，并報(bào)告可能存在的脆弱性。例如，rexd是一項(xiàng)脆弱服務(wù)，網(wǎng)絡(luò)脆弱性掃描器將試圖與目標(biāo)系統(tǒng)上的rexd服務(wù)相連。假如連接勝利，掃描器將會(huì)報(bào)告rexd脆弱性。

由于網(wǎng)絡(luò)脆弱性掃描器能夠從網(wǎng)絡(luò)上的單一機(jī)器中運(yùn)行，所以安裝它不會(huì)影響其他機(jī)器的配置管理。這些掃描器常常被審計(jì)員和平安部門(mén)使用，由于它們能夠供應(yīng)給“局外人”對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)中的平安漏洞的看法。

優(yōu)點(diǎn)

網(wǎng)絡(luò)脆弱性掃描能夠報(bào)告各種目標(biāo)體系結(jié)構(gòu)。有些是利用路由器來(lái)工作，有些是利用Unix系統(tǒng)來(lái)工作，還有一些是利用NT或其他Windows平臺(tái)工作。

網(wǎng)絡(luò)脆弱性掃描器通常特別簡(jiǎn)單安裝和使用。和通常需要軟件安裝或重新配置的基于主機(jī)的系統(tǒng)不一樣，基于網(wǎng)絡(luò)的系統(tǒng)可以放在網(wǎng)絡(luò)上。只需將接口插入交換機(jī)并啟動(dòng)機(jī)器就行了。

網(wǎng)絡(luò)系統(tǒng)中的GUI往往相當(dāng)直觀，這意味著初級(jí)人員就能監(jiān)控系統(tǒng)，假如消失特別狀況可以呼叫更多的高級(jí)分析人員。

缺點(diǎn)

網(wǎng)絡(luò)脆弱性掃描器是幾乎完全基于特征的系統(tǒng)。和基于特征的入侵檢測(cè)系統(tǒng)一樣，基于特征的脆弱性掃描器只能檢測(cè)它能通過(guò)程序識(shí)別的那些脆弱性。假如消失新的脆弱性(這種事情常常發(fā)生)，攻擊者在廠商更新特征(以及用戶下載并安裝新的特征)之前就有攻擊的機(jī)會(huì)。假如脆弱性仍被保留，那么系統(tǒng)就可能在很長(zhǎng)的時(shí)間里簡(jiǎn)單受到攻擊。

假如用戶對(duì)脆弱性特征像過(guò)去對(duì)病毒特征一樣馬虎大意，那么很多企業(yè)就簡(jiǎn)單受到攻擊，即使它們定期運(yùn)行脆弱性掃描器。最近的分析顯示，90%的運(yùn)行IIS的Web服務(wù)器仍舊簡(jiǎn)單消失特別嚴(yán)峻的平安脆弱性，廠商為此已經(jīng)供應(yīng)了修補(bǔ)程序和平安顧問(wèn)。脆弱性掃描器只能指出可能存在的問(wèn)題;解決這些問(wèn)題仍舊要靠企業(yè)自己。

網(wǎng)絡(luò)脆弱性掃描器的另一個(gè)潛在問(wèn)題是，“脆弱性”概念包含其他一些松散定義的概念，如風(fēng)險(xiǎn)、威逼、可接受性和估計(jì)的攻擊者技能。由于這些因素都因用戶而異，所以某項(xiàng)配置代表一項(xiàng)“脆弱性”的程度也因用戶而異。

當(dāng)脆弱性掃描器報(bào)告某項(xiàng)脆弱性時(shí)，企業(yè)的網(wǎng)絡(luò)或操作人員必需依據(jù)該企業(yè)的操作環(huán)境來(lái)對(duì)報(bào)告進(jìn)行評(píng)估。那些脆弱性或許在該企業(yè)的環(huán)境里不會(huì)構(gòu)成為一項(xiàng)不行接受的風(fēng)險(xiǎn)，或者說(shuō)這項(xiàng)風(fēng)險(xiǎn)或許是被商業(yè)需求強(qiáng)加給該企業(yè)的。

我們知道一些脆弱性掃描器把目標(biāo)系統(tǒng)給毀了。某些IP工具不夠健壯，不能處理很多同時(shí)的連接或者擁有特別標(biāo)記組合的IP包。例如，一次過(guò)分的端口掃描所生成的通信量有時(shí)可能使機(jī)器癱瘓。

最終，網(wǎng)絡(luò)脆弱性掃描器往往包含大量脆弱性數(shù)據(jù)。假如任何人闖入了掃描器系統(tǒng)，那么破壞網(wǎng)絡(luò)上的大部分其他的機(jī)器就猶如兒童嬉戲一樣簡(jiǎn)單。所以要愛(ài)護(hù)掃描器，防止未經(jīng)授權(quán)使用掃描數(shù)據(jù)。

主機(jī)脆弱性掃描器

主機(jī)脆弱性掃描器與網(wǎng)絡(luò)脆弱性掃描器不同，由于它完全局限于本地操作系統(tǒng)。網(wǎng)絡(luò)脆弱性掃描器需要能夠從網(wǎng)絡(luò)上訪問(wèn)目標(biāo)機(jī)器，以便它可以運(yùn)行;而主機(jī)脆弱性掃描器則不需要這樣。

主機(jī)脆弱性掃描器是安裝在一個(gè)特別操作系統(tǒng)上的軟件包。一旦安裝了軟件，它就能被配置成在白天或晚上的任何時(shí)候運(yùn)行。通常，由這種工具進(jìn)行的掃描被支配在低優(yōu)先級(jí)上運(yùn)行，以削減掃描對(duì)生產(chǎn)工作的影響。

優(yōu)點(diǎn)

主機(jī)脆弱性掃描器對(duì)特定操作系統(tǒng)而言往往更加協(xié)調(diào)、更加精確。它可以常常告知用戶用哪些修補(bǔ)程序來(lái)修復(fù)被確認(rèn)的脆弱性，而網(wǎng)絡(luò)掃描器有時(shí)只供應(yīng)一般的指導(dǎo)方針。在考慮購(gòu)買(mǎi)哪個(gè)產(chǎn)品時(shí)，討論一下你的特定操作系統(tǒng)的抽樣報(bào)告，以確定這些報(bào)告中包含了多少信息。報(bào)告的廣度和深度應(yīng)當(dāng)是一項(xiàng)選擇標(biāo)準(zhǔn)。

主機(jī)脆弱性掃描器在運(yùn)行時(shí)不消耗網(wǎng)絡(luò)帶寬。全部的處理工作只限于本地主機(jī)系統(tǒng)。

主機(jī)脆弱性掃描器不像網(wǎng)絡(luò)掃描器那樣可能使目標(biāo)系統(tǒng)上的IP堆棧暫停。某些操作系統(tǒng)有一些與網(wǎng)絡(luò)接口有關(guān)的、薄弱的或執(zhí)行較差的IP堆棧。發(fā)送大量的通信量(像端口掃描器那樣)或者特別的TCP頭部標(biāo)記可能會(huì)使接口暫停，這就需要重新啟動(dòng)。

主機(jī)脆弱性掃描器不太可能被一個(gè)勝利的入侵者用來(lái)應(yīng)付你。黑客假如闖入了一個(gè)系統(tǒng)并發(fā)覺(jué)了一個(gè)網(wǎng)絡(luò)脆弱性掃描器或者來(lái)自該掃描器的報(bào)告，可能會(huì)使用這項(xiàng)工具或這些報(bào)告來(lái)攻擊你的企業(yè)內(nèi)的其他系統(tǒng)。基于主機(jī)的工具供應(yīng)的可用于擴(kuò)充攻擊范圍的信息要少得多;也就是說(shuō)，基于主機(jī)的工具要比基于網(wǎng)絡(luò)的工具劃分得更好。

缺點(diǎn)

主機(jī)脆弱性掃描器也是基于特征的。它搜尋已知危急的系統(tǒng)配置，并報(bào)告一種削減那些特別威逼的“食譜式”方法。本地系統(tǒng)步驟和操作要求可能需要在發(fā)覺(jué)任何特定脆弱性并對(duì)其實(shí)行措施時(shí)有敏捷性。

安裝主機(jī)脆弱性掃描器要求系統(tǒng)管理員的合作。由于該軟件在運(yùn)行時(shí)通常擁有特權(quán)，所以每臺(tái)機(jī)器的系統(tǒng)管理員應(yīng)當(dāng)接受該工具的