本帖最后由 南京水建 于 2016-4-6 08:18 编辑
老牌代码安全审计机构 NCC Group 的安全工程师克林特·吉布勒称,自动漏洞扫描器产生的结果大多是误报,但即使是无用功,也比人工处理要经济实惠得多。 日前在印度果阿邦举行的Nullcon安全大会上,吉布勒称,他曾用一款自动扫描器对NCC横跨10个行业的100家客户进行了漏洞扫描。结果产生了大约90万个安全相关的警报,某些行业中,误报率高达89%。即使是“最好”的结果,误报率也高达50%。 这次扫描是在2014年2月到去年5月之间进行的,每家公司被扫描了4次,所有结果都由 NCC Group 的成员人工审核。吉布勒估测,用以跟踪处理误报的资源消耗是十分巨大的,但对大多数公司而言,自动扫描器仍不失为一项经济实惠的选择。 假设一名安全工程师的年薪为7.5万美元,评估每条自动扫描器警报耗时少于1分钟。那么,用于排除误报的时间浪费大概在1~9周之间。最好的情况下,排查这些扫描结果(包括真实警报和误报)的人工在1000美元左右。最坏的情况则在1至1.6万美元左右。 大多数人在购买工具时都只看重价格,没有考虑到排查结果的人工耗费,以及警报有效率等等隐藏因素。不过,自动扫描工具依然具有其自身的价值,因为它们能一定程度上弥补与昂贵的渗透测试之间的差距。而且在不远的将来,自动扫描的作用可能会越来越大。 吉布勒通知了客户自动扫描测试中发现的漏洞,但大多数漏洞仍花去了客户10~20周的时间才修复,有些则整整1年过去了都还没打上补丁。 NCC的测试大约发现了9000种不同的安全缺陷,其中有1万条跨站脚本漏洞,是本次测试中数量最多的一类。受影响的公司主要来自休闲和媒体行业(25,769条)以及公共教育产业(15,550条)。 另外,吉布勒还表示,公司修复高危漏洞的速度未必比修复低风险性漏洞的速度快。 | 
|安全论坛
( 晋ICP备2023016270号-1 )
发表于 2016-4-5 09:42