ncc小組安全工程師clint gibler表示,雖然全自動漏洞掃瞄器大多數警報都是錯誤的,但是這種手段還是比企業自己手動操作掃瞄要廉價不少。
印度國產安全會議:nullcon
在印度果阿(goa)的nullcon安全會議上,gibler為來自10個不同工業部門的百位ncc客戶介紹了一款未命名的全自動掃瞄器。
這種掃瞄器掃瞄出了大約90萬的安全紅色警報,但是人們發現在一些區域中存在89%的誤報。即使是掃瞄器表現最好的時候也有50%的誤報率。
這項調查是在2023年2月至2023年5月之間實施的,由ncc小組員工對所有公司進行手動漏洞掃瞄。
gibler在nullcon會議上表示,雖然他覺得處理誤報的代價可能是巨大的,但是自動掃瞄器對於大多數公司來說仍舊是值得的選擇的,他的論斷是基於這一資料:一名安全工程師的工資是7.5萬美元,但是評估乙個自動掃瞄器發現的漏洞只需要不到一分鐘。
gibler認為:
「人們浪費大量時間來審批這些評分在1到9的誤報。」
最好的情況就是你支付1千美元給員工去花時間審核這些問題(其中包括了真正存在的漏洞);糟糕的情況就是你花費了1萬到1.6萬美元去審核這些問題。大多數人在購買工具時只看**,而不會考慮潛在因素,那就是審查這些結果要花費多長時間,而這些結果中又有多少是正確的。
自動掃瞄工具價值猶存
然而,gibler還告訴vulture south:
「這些自動掃瞄工具還是很有價值的,因為它們與**昂貴的滲透測試之間架起了橋梁。我認為它們仍舊是有用的,將來更是如此。」
gibler在通知客戶發現漏洞之後企業往往還要花費10到20個星期的時間才會進行修補,有的甚至會拖到一年後再修補。在ncc進行的9000次漏洞測試中,發現自動掃瞄沒有掃瞄到的最大的一樁漏洞是1萬個跨站點指令碼漏洞。
受到結果影響的主要是休閒娛樂、**產業(25769個漏洞)以及公共教育部門(15550個漏洞)。
gibler認為公司沒有必要優先修復高危漏洞,從而擱置了低風險的漏洞。
網路漏洞掃瞄器的設計與實現
李志強 lizq 99 163.com xml error please enter a value for the author element s jobtitle attribute,or the company name element,or both.簡介 漏洞掃瞄器是一種自動檢測遠端或本...
Linux 平台下的漏洞掃瞄器 Vuls
vuls 是一款適用於 linux freebsd 的漏洞掃瞄程式,無 採用 go 語言編寫,對於系統管理員來說,每天必須執行安全漏洞分析和軟體更新都是乙個負擔。為避免生產環境宕機,系統管理員通常選擇不使用軟體包管理器提供的自動更新選項,而是手動執行更新。這會導致以下問題 系統管理員必須不斷注意nv...
學習筆記九 漏洞掃瞄器的意義和利用思維
什麼是漏洞掃瞄器?有什麼 就是針對某種漏洞進行發掘的工具,對一些 或一些網路裝置進行漏洞的發掘發現。為什麼會有掃瞄器的出現?用來代替人工來對一些 進行漏洞掃瞄和發掘。具會不會被認為是指令碼 很顯然不會。掃瞄器掃瞄不出漏洞是不是就意味著 標沒有漏洞?並不是,掃瞄器並不是全能的,它所能掃瞄到的部分都是人...