| 出版日期:2004-09-06 总期号:626 本年期号:33 |
|
 |
漏洞扫描器选购秘笈
绿盟科技高级产品经理 杨冀龙 选择漏洞扫描器的3大因素 继8月30日刊出“漏洞与漏洞防范”之后,本期《高端导刊-安全》,继续关注这方面的话题。 延续上期如何正确地认识漏洞,如何及早地发现漏洞等话题,本期关注的焦点是用户在采购和选择漏洞扫描产品时应该注意哪些问题,以及8月份被安全厂商发现的安全漏洞主要有哪些。 栏目热线:jiez@ccu.com.cn 漏洞扫描是依赖漏洞的特征进行的,有点类似杀毒软件,需要对已有漏洞分析后,找到检测方法并编写检测规则。安全漏洞每天都在出现,重大漏洞的出现如果不能即时修补会造成严重的安全问题,这就需要扫描器厂商长期跟踪漏洞的发布情况、研究漏洞的机理、快速响应给出新漏洞的检测规则。 计算机紧急响应小组CERT对一些严重安全漏洞都会发布安全公告。从CERT近年发布的安全公告来看,自从20世纪90年代开始,每年的严重安全漏洞的数目基本上是保持稳定增长趋势的:1998年,13起;2000年,22起;到了2003年,已经上升至38起。 新漏洞的发现情况是非常严峻的。这些漏洞中,有的能够被黑客很容易地用于入侵计算机系统,有的能导致蠕虫的泛滥。安全公司需要投入相当的精力和人力研究这些漏洞,并提供检测手段和修补方案,以保护用户避免可能受到的伤害。 对于用户来说,如果网络计算机数量多到管理员自己已经不清楚每台主机使用的是什么操作系统,哪些打了最新的安全补丁,哪些没有的话,就表明他已经需要购买一款扫描器产品了。 当前市场上的扫描器产品有很多,选择一个适合企业网络的扫描器产品需要注意很多方面。 扫描器的首要工作目标是尽可能准确地发现网络主机的安全漏洞,协助管理员进行漏洞修补;次要目标是评估网络的安全等级和变化趋势,指导企业制定安全预算和战略。这一目标决定了选择扫描器产品需要从以下方面考虑: 
扫描器类产品主要评价指标概要图 第一大因素:实用性 扫描器需要许多的辅助功能来实现漏洞的准确扫描和报表生成;同时扫描器自身的许多使用特性、协助用户进行风险评估和安全管理等也能提升产品的使用价值。实用性反映了产品的操作接口和使用特性,是产品的第一印象。 评估扫描器的实用性主要考查系统的以下几项:管理特性、使用特性、扫描辅助特性和评估特性。 管理特性 管理特性可以从以下几方面考查: 如果企业的网络比较大,有多个管理员进行管理,就需要看产品是否支持多用户管理,用户是否有权限划分;有的扫描器提供了资产管理功能,使得网络管理员在扫描的同时能收集到网络资产信息,并允许管理员手工修改和补充;有的扫描器甚至能根据资产信息在报表中给出有漏洞的主机是谁维护的、物理位置在哪里等,使得漏洞的修补能快速落实。 使用特性 使用特性可从以下几方面考查: 通常硬件扫描器部署和使用比软件产品简单,扫描速度也快很多,但价格要贵一些。国内厂商自己的扫描器产品通常为中文界面,国外的产品或OEM的产品通常为英文界面,如果选择中文的产品还需要看语言描述是否易懂,一些国外翻译过来的产品有时翻译的很生硬,难以阅读。 扫描辅助特性 扫描辅助特性主要从以下几方面考查:有的产品不能输入域名进行扫描,有的不能同时指定多个网段,有的不能扫描虚拟主机,有的不能指定口令文件进行简单口令猜测,选购扫描器产品时需要了解清楚。 如果企业希望应用一些高级功能的话,还需要看扫描策略的定制项目有哪些,是否能指定只扫描开机的主机,是否能指定端口扫描范围等;如果企业所处的行业有特殊要求,比如扫描时要求向被扫描主机发通知,告知正在对它进行扫描的话,就需要选择有扫描探测通知能力的扫描器,而且还要看该功能是否能被禁用和启用。 评估特性 扫描器在扫描漏洞的同时应该能给出网络的风险状态和主机的风险状态,不能给出状态的扫描器不具备分析能力,通常不建议用户购买;对于能给出风险情况的扫描器还需要考查如下几点:漏洞脆弱性判定标准、主机风险判定算法、网络风险判定算法。也就是看产品的相关算法是否公开、科学合理。 第二大因素:探测能力 扫描器的工作性质决定了其最重要的能力是漏洞的探测能力,但探测能力属于扫描器的内在核心,不是很容易在第一次接触产品时能比较出来,需要继续细化,并在选购前多打听和了解。 在漏洞探测方面,要考察:漏洞库的可持续性、扫描漏洞分布的全面性、扫描的准确性、扫描速度和效率。 可持续性 可持续性主要评测产品的升级能力,扫描器工作原理类似杀毒软件,当出现新的漏洞时需要升级产品漏洞库,只有这样扫描器才能具备扫描新漏洞的能力。这要求产品具备升级能力,同时厂商具备国际漏洞的跟踪或发现漏洞的能力。如果买了一家不具备稳定升级支持能力公司的产品,那么新漏洞出来时产品就会过时,失去产品的价值。 可持续性可以通过考查厂商的规模、研究能力、持续的漏洞跟踪能力获得。建议选购产品时选择一家资深安全公司的产品,比如看这个厂商是否有公开的漏洞库、是否发现过重大安全漏洞、是否在国际上有影响力等,以此鉴别该公司的实力。同时也需要查看该产品以前的升级记录,用户连接到其公司网站,看一下上一年度的升级包发布情况,建议用户不要选择那些长时间不发布升级包的产品。 扫描的全面性 全面性主要考查扫描器扫描对象覆盖的范围是否能够满足企业的网络,比如操作系统、数据库、应用软件、网络设备等。 在漏洞数目方面,目前国际上几个大的安全厂商的产品漏洞库都在1200~1400间;在覆盖面上,有的产品可能对数据库扫描强一些,有的在某类操作系统上强些,用户需要根据自己网络的状况进行选择;有个值得注意的现象是,国外的扫描器产品和OEM国外的产品对国产系统软件的支持极少。 一个好的产品除完成漏洞扫描外,通常还能获取非常多的目标Profile能力,如补丁列表、用户名信息、进程列表、路由表等。可以通过查看扫描器产品信息是否有分类,并按照合理的格式展现来判断该产品的扫描全面性。 准确性 准确性直接决定了扫描器的扫描结果是否有参考价值,但除非企业自己对漏洞知识有较多的了解,否则很难判断。一个侧面的评价是看报表中是否能看到每台主机的操作系统、操作系统是否准确、每个端口是否列出了服务的名称,这些信息能够判断系统的识别和端口的识别是否准确,还不能看出漏洞识别的漏报和误报情况。 误报可以通过观察较大规模的扫描结果,看是否有属于UNIX的漏洞在Windows主机上出现之类来大致了解;也能通过查看扫描到的Profile信息是否完备来作为漏洞识别的一个侧面反应。 扫描性能 扫描性能分两个方面:扫描负荷、扫描速度。 快速地发现漏洞有利于快速地采取措施,尤其是对于大的网络,这就要求在保证扫描准确的前提下扫描速度要快,通常硬件产品的速度都比软件的好,各个产品扫描速度上的差距很大。扫描负荷指能一次指定扫描范围的能力,很多扫描器在指定扫描几个C类地址后就反应很慢,甚至扫描结果无法查看,而另一些扫描器能够允许一次下达一个B类地址,并能完成扫描和出具报表。这两点对大网络很重要,但对小网络重要性要低一些,都需要针对网络实际来选择,通常好的产品价格都会高些。 第三大因素:扫描结果处理能力 扫描器的工作性质决定了扫描结果处理能力在扫描器中的重要地位。安全管理人员需要根据报表获得主机漏洞信息和修复建议,通过漏洞查看哪些主机存在漏洞来指定补丁计划;领导需要知道企业的安全状况和变化趋势以指定安全战略。 用户需要考查产品报表内容是否易懂、美观,修复建议是否有参考价值,按照修复建议是否能很容易的修补漏洞等。 对于大型的网络,如果需要多个扫描器共同部署,还需要看产品是否支持分布式部署,能不能通过一个扫描器查看到其它扫描器上的扫描结果,并作整体分析。 扫描器作为信息安全建设链路底层的产品,通常需要给其它安全产品提供底层数据,这就要求产品允许进行二次开发及产品间的联动,如果企业现在有这个需求或正在规划的前景中有此需求就需要注意产品是否有此功能。 扫描报告的数据分析角度通常来自漏洞库的分类,很多产品只有单一的分类原则,不能提供多视角的分类,这样用户就不能灵活查找如数据库有漏洞的主机有哪些之类的操作,选择产品时要看产品支持多少个视角的分类,总共有多少分类等。 5款漏洞扫描产品方案一览 1、绿盟科技极光远程安全评估系统 绿盟科技自主研发的极光远程安全评估系统(AURORA)是NSFOCUS系列安全工具中的一款专门针对网络安全评估的网络安全产品,当前版本为V3.0。该产品为专用硬件扫描系统,使用基于浏览器远程HTTPS连接的管理,可满足企业级的安全评估需求。 评价漏洞扫描系统最重要的指标是其能够检测漏洞的数目、准确程度以及规则更新的能力。 极光使用的漏洞知识库来源于绿盟科技五年来积累的7000余条安全漏洞信息。经过仔细挑选后,内置的漏洞知识库可用来检测和描述超过1300条以上当今网络上各种流行的安全漏洞隐患。同时,漏洞知识库能够保证每两周进行定期升级,重大漏洞甚至在三天内就能发布更新,使得产品随时都能拥有检测最新漏洞的能力。 2、启明星辰天镜脆弱性扫描与 管理系统 启明星辰公司自主研发的天镜脆弱性扫描与管理系统,是基于网络的安全性能评估分析系统。它采用实践性的方法扫描分析网络系统,综合检测网络系统中存在的弱点和漏洞,并以报表的方式提供给用户,适时提出修补方法和安全实施策略。 天镜脆弱性扫描与管理系统可以自由定制扫描策略,针对网络应用,按照国际划分惯例内置定时扫描、渐进式分级扫描等多种扫描策略,并提供了自定义策略的功能,让用户按需求定制策略,进行扫描。 天镜脆弱性扫描与管理系统采用分布扫描、集中管理的方式,系统能够通过扫描引擎的分布部署对多个网络同时进行网络脆弱性扫描,并能集中管理、配置各扫描引擎,将扫描结果集中分析。 3、榕基网络隐患扫描系统 榕基软件推出的榕基网络隐患扫描系统遵循标准协议,支持与其它网络产品和安全产品的互联,能够有效评估网络产品、安全产品和主机的脆弱性和安全漏洞,并给出修补建议。通过和多种主流防火墙、主流IDS产品协议联动,与多种安全管理平台兼容,统一安全策略配置,保障全网安全。 榕基网络隐患扫描系统基于模块化设计,其隐患扫描模块的特性是:侧重发生安全事故前这一阶段。通过模拟黑客的进攻方式,对被检系统进行攻击性的安全漏洞和隐患扫描,提交风险评估报告,并提供相应的整改措施。先于黑客发现并弥补漏洞,防患于未然。 榕基网络隐患扫描系统可以针对不同用户的需求,对扫描项进行合理的组合,有效地帮助不同用户构建自己专用的安全策略。 4、Symantec NetRecon 网络安全评估工具 Symantec NetRecon是一款基于网络的安全评估工具,它通过自动扫描探测系统和网络服务来发现、分析、并且报告安全漏洞。它以安全方式模拟常见的入侵或攻击过程,确定并报告网络安全漏洞,同时给出修补建议。管理员可在易于操作的界面内安排这样的扫描,并通过实时图形显示随机观察到的扫描进程和结果。 NetRecon利用渐进式扫描技术获取关于安全的信息,并将之在各组件之间共享。NetRecon在扫描的同时分析网络,在先前得到的结果基础上调整模拟入侵策略。比如,如果NetRecon成功破解了一个系统的密码,它会将该密码拿到别的系统上再实验,从而对安全漏洞进行更全面更深入的评估。用户通过赛门铁克 LiveUpdate功能实现的不断的安全更新,可获得最新的安全漏洞识别信息及警告,从而提供更强的安全保护。 5、三星安全SecuiSCAN 三星信息安全公司SecuiSCAN是基于网络的漏洞扫描工具,同时集成了基于主机的漏洞扫描工具和基于应用的漏洞扫描工具(如Oracle, MS-SQL扫描器)的功能,扫描对象丰富,而且操作简单方便。 其自动给管理员发送漏洞扫描报告功能可帮助管理员及时了解网络安全漏洞,即时采取安全防范和保护措施。用户可以自定义漏洞扫描规则并进行测试,而其所实现的server/client管理模式,极大地提高了secuiSCAN对大型网络, 特别是电信级或大型企业的服务能力。 2004年8月十大漏洞 发现时间 漏洞名称 8月23 日 Netscape NSS库远程缓冲区溢出漏洞 8月19日 NetBSD ftpd多个远程安全漏洞 8月2日 OpenFTPD远程格式串处理导致任意指令执行漏洞 8月9日 Gaim MSN协议处理远程缓冲区溢出漏洞 8月5日 libpng存在多个安全漏洞 8月5日 Linux内核文件offset指针敏感信息泄露漏洞 8月9日 Serv-U本地权限提升漏洞 8月16日 Adobe Acrobat Reader shell元字符任意命令执行漏洞 8月24日 XV多个缓冲区溢出和整数溢出漏洞 8月20日 Qt图象文件缓冲区溢出漏洞 数据来源:绿盟科技 左磊 制表:中国计算机用户 |
||||||||||||||||||||||
