软件vs硬件:精准定位企业中的安全威胁

漏洞扫描最初是不法分子用来查找漏洞的工具;现在这一工具被用来帮公司查找暴露的网络端口和受到威胁的应用。在他们进入网络之前,骇客必须先知道大多数漏洞的位置。这意味着,要将扫描工具利用起来,大范围地查找开放的网络端口以及存在安全威胁的应用和操作系统。

扫描工具现在已经被白帽们用来扫描漏洞位置,以便在骇客们找到这些漏洞前对其进行修复。事实上,许多公司都没有充分利用这些工具。Gartner研究公司认为有85%的网络攻击都是利用已经发布过补丁的漏洞渗透到网络中的。

无止尽的利用

现在,全球可供骇客利用的Web应用越来越多。安全供应商Acunetix 在最近的一项研究中宣称在接受调查的3200家企业和非商业性组织中,有70%的受访者的网站的网页扫描器自06年1月份开始检测以来,都发现了严重的漏洞和可被骇客利用的威胁。

Acunetix销售运营副主席Kevin Vella称:“企业,政府和大学都依法保护我们的数据”,“但是网页应用安全却被忽视。”

补丁巡查

漏洞扫描器会使用供应商持续更新的数据库检查已知漏洞,追踪网络上可能被破坏的设备和系统。它们寻找的是不安全代码,错误配置的系统,恶意程序以及应该具备而没有具备的补丁。

除此以外,还有一些额外因素。可以利用这些程序执行“预扫描”,例如,要确定网络中有哪些设备和系统。没有什么比未知的危险更具有威胁性了,而这种情况却频繁出现在企业中。

许多扫描器可以被设置成安装完补丁后才扫描网络,目的是确保一切能按照预期设置操作。而漏洞扫描器不能像防火墙,入侵防御系统和反恶意软件产品那样主动进行拦截防御。但是当扫描器与这些程序结合起来使用时,扫描效果会更精准。

被动攻击

漏洞扫描器分被动扫描和主动扫描,二者各有所长。被动扫描时通过吸收系统间的网络流量监控设备,它主要查找一些不符合常规的数据。其优点是这种方法对网络上的操作没有影响,因此,有需要的话,它可以24小时连轴运转。但是它有可能错过网络上的漏洞,尤其是那些隐秘部分的漏洞。

主动扫描检测系统的方式和骇客所用的方式差不多,即通过响应设备查找漏洞。这种方式比被动扫描更具有侵略性,但是他们可以引致服务器瘫痪。

许多人认为这二者是互为补充的,因此他们建议同时使用主动扫描和被动扫描。被动扫描可以提供更为持续的监控,再周期性地使用主动扫描来隐秘漏洞。

软件vs硬件

扫描器还可以是直接放置在服务器,工作站或是硬件设备上的软件型代理。托管型扫描器可会耗尽系统上的处理器周期,但是通常人们认为这种扫描器扫描漏洞的时候更灵活。网络型扫描器是即插即用的硬件设备,与软件型代理相比,所需维护比较少。

在过去的几年里,漏洞的关注点几经变迁。一方面,企业越来越清楚保护网络和系统的重要性,因此骇客的入侵难度加大。与此同时,Web服务已经成为许多公司的命脉,所以,骇客也意识到这其中有利可图。

由于Web流量通过网络的 Port 80端口进出,因此如果公司的客户和业务合作伙伴要使用Web服务,此端口就必须开放。

保护网络中较薄弱的环节不是一件容易的事情,一旦骇客获得访问Web应用的权利,他们就会使用这些权利从数据库获取数据,从根目录检索文件或者使用Web服务器在网页中放上恶意代码,然后将其发送给受信任用户。

解释其结果

漏洞扫描通过向应用发出假冒的攻击来查找漏洞,然后它报告查找到的漏洞,并提出修复或删除建议。

尽管如此,漏洞扫描对企业的整体安全性而言就像是一个强大的插件,一些观察家建议对其扫描结果进行解释。

独立安全顾问Kevin Beaver称漏洞扫描和网络知识要结合起来操作,再将语境考虑进来的话,才能更准确地解释扫描结果。否则,扫描器可能将对供应商而言很重要的数据视为威胁。另外,了解被测试对象,测试方法以及漏洞被利用的原因也很重要。这样,那些在特定用户环境中需被特殊对待的漏洞就会被标识出来,供用户决定是否要对其进行修复。他还强调称,漏洞扫描器是必须的,因为这样可以免去很多安全评估的烦恼。