安全技術(shù)：系統(tǒng)安全脆弱性掃描技術(shù)分析

   脆弱性掃描器不同于入侵檢測系統(tǒng)，因為前者搜索的是靜態(tài)配置，而后者搜索的是瞬時誤用或異常情況。脆弱性掃描器可能會通過檢查一個遠(yuǎn)程系統(tǒng)上的可用服務(wù)和配置，來搜索一個已知的NFS脆弱性。處理同樣脆弱性的入侵檢測系統(tǒng)只有在攻擊者試圖利用一項脆弱性時才會報告脆弱性的存在。

　　脆弱性掃描器(不論是網(wǎng)絡(luò)掃描器還是主機掃描器)使企業(yè)有機會在故障出現(xiàn)之前將其修復(fù)，而不是對一項已經(jīng)進行的入侵或誤用情況作出反應(yīng)。入侵檢測系統(tǒng)檢查的是正在進行的入侵活動，而脆弱性掃描器可以讓用戶首先防止入侵。脆弱性掃描器也許對那些沒有很好的事件響應(yīng)能力的用戶會有幫助。

　　網(wǎng)絡(luò)脆弱性掃描器

　　網(wǎng)絡(luò)脆弱性掃描器通過檢查遠(yuǎn)程系統(tǒng)上的網(wǎng)絡(luò)接口，以遠(yuǎn)程方式進行操作。它搜索在遠(yuǎn)程機器上運行的脆弱服務(wù)，并報告可能存在的脆弱性。例如，rexd是一項脆弱服務(wù)，網(wǎng)絡(luò)脆弱性掃描器將試圖與目標(biāo)系統(tǒng)上的rexd服務(wù)相連。如果連接成功，掃描器將會報告rexd脆弱性。

　　由于網(wǎng)絡(luò)脆弱性掃描器能夠從網(wǎng)絡(luò)上的單一機器中運行，所以安裝它不會影響其他機器的配置管理。這些掃描器經(jīng)常被審計員和安全部門使用，因為它們能夠提供給“局外人”對計算機或網(wǎng)絡(luò)中的安全漏洞的看法。

　　優(yōu)點

　　網(wǎng)絡(luò)脆弱性掃描能夠報告各種目標(biāo)體系結(jié)構(gòu)。有些是利用路由器來工作，有些是利用Unix系統(tǒng)來工作，還有一些是利用NT或其他Windows平臺工作。

　　網(wǎng)絡(luò)脆弱性掃描器通常非常容易安裝和使用。和通常需要軟件安裝或重新配置的基于主機的系統(tǒng)不一樣，基于網(wǎng)絡(luò)的系統(tǒng)可以放在網(wǎng)絡(luò)上。只需將接口插入交換機并啟動機器就行了。

　　網(wǎng)絡(luò)系統(tǒng)中的GUI往往相當(dāng)直觀，這意味著初級人員就能監(jiān)控系統(tǒng)，如果出現(xiàn)異常情況可以呼叫更多的高級分析人員。

　　缺點

　　網(wǎng)絡(luò)脆弱性掃描器是幾乎完全基于特征的系統(tǒng)。和基于特征的入侵檢測系統(tǒng)一樣，基于特征的脆弱性掃描器只能檢測它能通過程序識別的那些脆弱性。如果出現(xiàn)新的脆弱性(這種事情經(jīng)常發(fā)生)，攻擊者在廠商更新特征(以及用戶下載并安裝新的特征)之前就有攻擊的機會。如果脆弱性仍被保留，那么系統(tǒng)就可能在很長的時間里容易受到攻擊。

　　如果用戶對脆弱性特征像過去對病毒特征一樣粗心大意，那么許多企業(yè)就容易受到攻擊，即使它們定期運行脆弱性掃描器。最近的分析顯示，90%的運行IIS的Web服務(wù)器仍然容易出現(xiàn)非常嚴(yán)重的安全脆弱性，廠商為此已經(jīng)提供了修補程序和安全顧問。脆弱性掃描器只能指出可能存在的問題;解決這些問題仍然要靠企業(yè)自己。

　　網(wǎng)絡(luò)脆弱性掃描器的另一個潛在問題是，“脆弱性”概念包含其他一些松散定義的概念，如風(fēng)險、威脅、可接受性和預(yù)計的攻擊者技能。由于這些因素都因用戶而異，所以某項配置代表一項“脆弱性”的程度也因用戶而異。

　　當(dāng)脆弱性掃描器報告某項脆弱性時，企業(yè)的網(wǎng)絡(luò)或操作人員必須根據(jù)該企業(yè)的操作環(huán)境來對報告進行評估。那些脆弱性也許在該企業(yè)的環(huán)境里不會構(gòu)成為一項不可接受的風(fēng)險，或者說這項風(fēng)險也許是被商業(yè)需求強加給該企業(yè)的。

　　我們知道一些脆弱性掃描器把目標(biāo)系統(tǒng)給毀了。某些IP工具不夠健壯，不能處理許多同時的連接或者擁有異常標(biāo)記組合的IP包。例如，一次過分的端口掃描所生成的通信量有時可能使機器癱瘓。

　　最后，網(wǎng)絡(luò)脆弱性掃描器往往包含大量脆弱性數(shù)據(jù)。如果任何人闖入了掃描器系統(tǒng)，那么破壞網(wǎng)絡(luò)上的大部分其他的機器就如同兒童游戲一樣容易。所以要保護掃描器，防止未經(jīng)授權(quán)使用掃描數(shù)據(jù)。

　　主機脆弱性掃描器

　　主機脆弱性掃描器與網(wǎng)絡(luò)脆弱性掃描器不同，因為它完全局限于本地操作系統(tǒng)。網(wǎng)絡(luò)脆弱性掃描器需要能夠從網(wǎng)絡(luò)上訪問目標(biāo)機器，以便它可以運行;而主機脆弱性掃描器則不需要這樣。

　　主機脆弱性掃描器是安裝在一個特殊操作系統(tǒng)上的軟件包。一旦安裝了軟件，它就能被配置成在白天或晚上的任何時候運行。通常，由這種工具進行的掃描被安排在低優(yōu)先級上運行，以減少掃描對生產(chǎn)工作的影響。

　　優(yōu)點

　　主機脆弱性掃描器對特定操作系統(tǒng)而言往往更加協(xié)調(diào)、更加精確。它可以經(jīng)常告訴用戶用哪些修補程序來修復(fù)被確認(rèn)的脆弱性，而網(wǎng)絡(luò)掃描器有時只提供一般的指導(dǎo)方針。在考慮購買哪個產(chǎn)品時，研究一下你的特定操作系統(tǒng)的抽樣報告，以確定這些報告中包含了多少信息。報告的廣度和深度應(yīng)當(dāng)是一項選擇標(biāo)準(zhǔn)。

　　主機脆弱性掃描器在運行時不消耗網(wǎng)絡(luò)帶寬。所有的處理工作只限于本地主機系統(tǒng)。

　　主機脆弱性掃描器不像網(wǎng)絡(luò)掃描器那樣可能使目標(biāo)系統(tǒng)上的IP堆棧暫停。某些操作系統(tǒng)有一些與網(wǎng)絡(luò)接口有關(guān)的、薄弱的或執(zhí)行較差的IP堆棧。發(fā)送大量的通信量(像端口掃描器那樣)或者異常的TCP頭部標(biāo)記可能會使接口暫停，這就需要重新啟動。

　　主機脆弱性掃描器不太可能被一個成功的入侵者用來對付你。黑客如果闖入了一個系統(tǒng)并發(fā)現(xiàn)了一個網(wǎng)絡(luò)脆弱性掃描器或者來自該掃描器的報告，可能會使用這項工具或這些報告來攻擊你的企業(yè)內(nèi)的其他系統(tǒng)?；谥鳈C的工具提供的可用于擴充攻擊范圍的信息要少得多;也就是說，基于主機的工具要比基于網(wǎng)絡(luò)的工具劃分得更好。

　　缺點

　　主機脆弱性掃描器也是基于特征的。它搜索已知危險的系統(tǒng)配置，并報告一種減少那些特殊威脅的“食譜式”方法。本地系統(tǒng)步驟和操作要求可能需要在發(fā)現(xiàn)任何特定脆弱性并對其采取措施時有靈活性。

　　安裝主機脆弱性掃描器要求系統(tǒng)管理員的合作。由于該軟件在運行時通常擁有特權(quán)，所以每臺機器的系統(tǒng)管理員應(yīng)當(dāng)接受該工具的目標(biāo)和配置。在許多企業(yè)里，這可能是一很難協(xié)調(diào)的任務(wù)。

　　與對待任何基于主機的系統(tǒng)一樣，攻擊者可以修改脆弱性掃描工具，使它不報告攻擊者希望利用的脆弱性。這里有一項重要結(jié)論，即脆弱性掃描工具不能保護一個在安裝掃描工具時受到破壞的系統(tǒng)。
 

更多系統(tǒng)行業(yè)研究分析，詳見中國報告大廳《系統(tǒng)行業(yè)報告匯總》。這里匯聚海量專業(yè)資料，深度剖析各行業(yè)發(fā)展態(tài)勢與趨勢，為您的決策提供堅實依據(jù)。

更多詳細(xì)的行業(yè)數(shù)據(jù)盡在【數(shù)據(jù)庫】，涵蓋了宏觀數(shù)據(jù)、產(chǎn)量數(shù)據(jù)、進出口數(shù)據(jù)、價格數(shù)據(jù)及上市公司財務(wù)數(shù)據(jù)等各類型數(shù)據(jù)內(nèi)容。