漏洞評估中「誤報」不可能避免哪種處理方式最佳？

本文講的是漏洞評估中「誤報」不可能避免哪種處理方式最佳？，雖然誤檢測應盡可能清除掉，但這是任何漏洞評估工具的乙個固有部分。誤檢測的可能原因包括：特定於**商的補丁/更新的快速改變、零日漏洞、訪問限制、網路故障等。

安全目標，就是企業網路中檢測出的漏洞數量很少，最好還是漏洞評級/危險程度最低的那種。漏洞評分是客觀而科學的可再現衡量標準，低漏洞評分，意味著主機防護薄弱，但依然安全。頂級管理和緩解團隊對此結果相對滿意，而顯示出更少漏洞的評估工具通常廣受讚譽。

然而，太多漏報，就完全是另一碼事了。對這些「可疑」漏洞的識別，可能是多種因素影響的結果，包括「廣撒網」式漏洞測試方法。如果沒有實現更針對性的測試，此類檢測可能會讓系統更為脆弱，更易淪為漏洞利用的受害者。

當檢測結果被證明為「假」時，最佳處理方式是什麼呢？實際上安全缺但報稱系統脆弱？或者實際上系統脆弱但預報為安全？

我們不妨先考慮下面幾個例子再決定哪種選擇更好：

環境鑑於支付卡行業資料安全標準( pci dss )合規系統的實現方式，支付卡行業安全標準委員會( pci ssc )宣告，誤報比漏報更好。該爭議隨後在支付卡行業授權服務提供商( pci asv )那裡被充分討論了。

回滾/災難恢復

紅帽linux允許保留一些舊核心包以進行回滾。即便當前核心沒有漏洞，這些舊包也可能是脆弱的。因此，如果你不考慮帶漏洞的回滾包，萬一以這些包為基礎的恢復事件發生，你的系統就可能會受到影響了。

配置改變

windows系統目前沒有標記任何與活動目錄(ad)相關的漏洞，但未來更新後，難保不會遭到利用ad或ldap(輕量級目錄訪問協議)架構漏洞的攻擊。

向後相容

有時候某些配置會因為要保持系統向後相容而保留，尤其是使用遺留脆弱加密相關演算法的情況下。即便你的系統再也不使用這些密碼，攻擊者也依然可以利用它們。

上面提到的例子中蘊含這一些經驗教訓：

主機評分不代表系統安全的真實情況。高分系統可能顯示出系統的真實安全態勢，而低分系統可能表現出的是系統安全的錯覺。

風險接受，是風險緩解策略的一部分，應謹慎使用，要考慮到接受風險並不總是不可取的。

最重要的是，配置/修改管理變得關鍵。為獲得所有更新/回滾操作的完整檢視，這些改變應被注意到，且應進行漏洞掃瞄。因此，配置和漏洞管理應協同部署。

結論報告中看到誤報並非總是壞事。每個誤報都應審視其中潛在價值。畢竟，接受誤報，總比讓系統漏洞滿滿，更不失為一種安全操作。後者可是會導致信譽損失、員工情緒低落、長時間梳理審計日誌、努力控制潛在攻擊，以及恢復系統到安全狀態等等諸多不利後果的。

漏洞評估中「誤報」不可能避免 哪種處理方式最佳？