安全漏洞的评估与管理

日期: 2008-01-23 来源:TechTarget中国

  一个不起眼的网络安全漏洞在早上时还没造成什么不良影响,可到了晚上,它就可能成为你的噩梦。这些安全隐患传播的速度一直在增长,与之相适应,传统的安全扫描产品也变得越来越全面。


  前不久,美国《Network World》测试了8款这样的产品,评估它们发现安全漏洞的准确性和有效性。测试者发现这些产品的漏洞识别成功率还有待提高,并且扫描活动会对无线AP和一些打印服务器产生不良影响。另外,还会吞噬大量目标主机的CPU处理能力和带宽。


  现在,这类产品加入了漏洞修复和跟踪的功能,可以在出现新的漏洞时向管理员发出告警,并自动对漏洞是否已经被修复进行确认。


  业务分析功能也被很多这样的设备所采纳。它可以帮助用户分析一个安全漏洞可能对公司业务造成何种影响。比如,接入了Internet的网络核心中出现了一个严重漏洞,它可能造成的损失和公司内部试验网中漏洞造成的影响是截然不同的。


  最终,Qualys的QualysGuard因为其正确性和强大的管理能力获得了最高评价,NCircle的IP360位列其次,它只是在漏洞识别和易用性上稍逊一些。Visionael的Enterprise Security Protector和Lockdown的Auditor在管理能力上比较突出。


  如何测试


  测试者搭建了一个扁平的网络,所有设备都接在了一台Cisco Catalyst 3500交换机上。共有31台设备,种类多样,包括:无线AP,NetScreen防火墙,Cisco VPN集中器,HP打印服务器,Snap服务器,FreeBSD 5.2服务器,以及安装了不同版本Windows和RedHat Linux操作系统的服务器和工作站。


  测试者依据厂商的说明书和提供的硬件将参测设备安装起来。开始测试前,测试者将测试环境中的待扫描设备配置到了每一个参测产品上。然后开始“发现之旅”,来确认该产品是否可以发现网络中的每样东西,包括设备和操作系统等内容。搜索完毕,开始实施安全漏洞扫描,测试者监视整个扫描过程,并检查所有服务器是否因为扫描而影响了它们的性能。用SNMP和MRTG监视RedHat企业级服务器在被扫描时的CPU利用率、网络带宽和TCP连接的负载。


  为了测试产品辨认安全漏洞的能力,测试者在服务器和工作站上采用缺省方式安装了以下四种操作系统:Windows XP,Windows 2003企业级服务器,Feora Core 2和RedHat 6.2。


  产品表现


  QualysGuard 3.3


  它在操作系统识别的测试中表现最好,而且是惟一能正确识别无线AP的产品。在漏洞识别正确性的测试中,它和其他设备表现相当,尽管出现了一些错误,但它针对Windows系统的漏洞识别能力还是很出色的。


  使用它进行扫描对网络本身的影响很小,但是测试者不得不在扫描结束后重启一台RedHat企业级服务器来使它恢复运行能力。


  它可以根据扫描结果自动进行漏洞修复,还提供业务分析能力。QualysGuard 3.3还具备绘图能力。它可以将它所发现的所有设备用图形表示出来,你可以在图形上察看某个设备的操作系统以及启动了哪些服务。


  NCircle IP360 6.2


  它提供了最优的危险评估能力,涉及内容非常详细。用户首先提供某台主机的商业价值,IP360然后就能计算出该系统的风险值,这个值可以用美元计算,也可以是公司资产的比值。


  它是惟一可以正确识别Cisco VPN集中器的参测设备,但是它却没能识别出一些其他多数产品都能正确识别的系统,包括FreeBSD 5.2 服务器和 Quantum Snap 服务器。在漏洞识别方面,它所报告的漏洞数量是最小的,虽然这可以限制误报量,但也存在漏报的可能。


  IP360特性之一是它在扫描时可以选择采用连续扫描还是仅扫描某个设备。它采用提供补丁下载链接等方式来提供漏洞修复信息。


  Visionael Enterprise Security Protector


  它使用Nessus作为底层扫描引擎,它将注意力放在一些非常好的漏洞管理功能上,比如提供安全趋势信息。


  它在系统识别测试中遇到了一些问题。测试者即便调整了扫描的并发连接数,并启动了详细操作系统扫描,最后得出的结果是所有Windows操作系统,不管是哪个版本,它的报告都显示为“Windows”。


  它对于网络和系统的影响比较大。用它扫描会使无线AP不能正常工作,使Windows XP系统出现蓝屏,并会消耗目标主机30%的CPU能力。不过,在商务分析方面它可以提供强有力的趋势信息,可依据漏洞对业务的危险程度而进行的分类。


  Lockdown Auditor 3.0


  虽然它提供了最直观的管理特性,但它的扫描引擎有点落后。它使用40M字节的网络带宽以及目标主机上40%的CPU处理能力,管理员也不能改变任何扫描配置。


  在识别操作系统的测试中,它漏掉了两个设备,也没有明确地区分出几个不同的Windows版本。在识别的准确性上,它的表现和其他参测产品相当。


  它的扫描报告非常清晰,除了提供一份已经识别到的漏洞摘要外,还能显示出目前针对某个系统的扫描所完成的百分比。在管理方面,它的用户界面是所有参测产品中最好的,它将图形和工作流程有效地结合起来。


  它具有优秀的漏洞报告机制,它允许管理员定义触发告警的策略,可以定义将告警发往何处,比如SNMP trap。此外,它还可以对含有打分信息的e-mail进行加密,也可以使用LDAP对用户进行验证。


  另外,测试者还测试了StillSecure,Tenable Lightning,TraceSecurity和PredatorWatch的相关产品,它们在弱点扫描和管理上都表现出自己的特点,正像上面所提到的那样,这些产品不再是单纯的扫描机器,它们已经融合了如漏洞管理,业务影响分析等功能。但它们也都还存在一些待改进之处。如果这类产品不仅提供完备的管理工具,准确的漏洞扫描,并且不会对目标系统的正常工作产生负面影响,相信它们对用户会大有裨益。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐