系统漏洞检测方法

本文中我们只考虑Windows系统和UNIX/Linux系统。应该如何在真实系统环境下进行漏洞检测。这个工作通常使用漏洞评估扫描器完成。漏洞评估扫描器一般是运行漏洞评估软件的网络工具,或者运行在一个企业自己资产中的漏洞评估软件。

1.利用配置工具评估漏洞

许多组织已经在管理/配置工具上做了投资,常常利用这些工具做一些相当常规的工作,但是通过扩展这些工具来从我们的环境中提取漏洞数据。比如赛门铁 克的产品(以前的Bind View,2005年被赛门铁克收购),能够帮助一个组织处理大部分日常的windows活动目录(AD)操作,也可以发现组织中的漏洞。为了更好地理 解,下面看一个BindView的部署。

2.漏洞评估工具

一个好的工具最少要有的特征:低的误报率(false positives)、零漏报率(false negatives)、一个完整的检测数据库、对网络流量的影响小、直观的和可定制的报告引擎。

目前,很多漏洞扫描产品都被开发出来,不同的软件扫描漏洞的功能存在一定的差异,有些扫描软件还带有一定的入侵性质,例如X-Scan、Shadow Security Scanner和流光等。

几个商业漏洞管理工具:

eEye Digital Security在漏洞研究中处于领导地位。它也开发了一套用来帮助进行漏洞管理的工具。

BindView的Compliance Manager是一个基于软件的解决方案,允许组织对比公司标准或者行业最好的经验来评佔资产,在大多数情况下不需要用到代理。

  • Attachmate(NetIQ,2006年被Attachmate收购)

NetIQ的Compliance套件是一个NetIQ的安全管理器和漏洞管理工具的组合,并且把漏洞扫描、补丁管理、配置修复和报告整合在一起。 NetIQ漏洞管理器能够通过AutoSync技术让用户定义和维护配置策略模板、漏洞公告板和自动检测。它也有能力根据这些策略评估系统。

StiIISecure是VAM的制造商,是一个安全产品的集成套件,能够执行漏洞管理、终端符合性监控,以及入侵防御和检测。它也包含一个内置的 工作流方案(可扩展漏洞修复工作流),这个方案能够自动地分配修复、进度安排、生命周期追踪和修复确认,所有维护详细的设备历史记录。

几个开源工具:

  • 主机发现工具nmap

Nmap是一个免费开源的网络搜索或安全审计工具。尽管它对单台主机工作非常好,但被设计为快速扫描大型网络。

  • 漏洞扫描与配置扫描nessus

Tenable Network Security的Nessus是一个漏洞扫描和配置扫描工具。Nessus项目由Renaud Deraison开始于1998年,为了给网络社会提供一个免费的、强大的、最新的且好用的远程安全扫描器。Nessus是最好的免费网络漏洞扫描器并且 无论如何在Unix上运行是最好的。它持续更新(超过11000种免费插件可用)。

  • 配置和补丁扫描MBSA

Microsoft Base Security Analyzer(MBSA)是一个好用的工具,为专业人员设计以便帮助中小型企业依靠Microsft的安全建议来测定安全状态,并且也提供特定的修复 指导。建立在Windows升级代理和Microsoft升级设施基础上,MBAS确保了和其他Microsoft管理产品的一致性,这些产品包括 Microsoft Update(MU),Windows Server Update Services(WSUS), systems management server(SMS)和Microsoft Operarations Manager(MOM)。

发表评论