Какие факторы следует учитывать, выбирая сканер уязвимостей?23.04.2014
Недостатки сканеров уязвимостей: сканер уязвимостей может оценить
лишь «моментальный снимок» с точки зрения системы или статуса безопасности
сети и, таким образом, сканирование должно проводиться регулярно, конфигурация
системы может дать новую дыру в безопасности;
сканер уязвимостей лишь сообщит
об уязвимости (в соответствии с плагинами), но не может определить,
является ли это опасностью, поэтому человеческое вмешательство всегда
необходимо, как и анализ данных после сканирования;
сканер уязвимостей
предназначен для обнаружения только известных уязвимостей, он не может
идентифицировать другие угрозы безопасности (например, такие, как связанные
с физическими, оперативными или процедурными вопросами), многие сканеры полагаются
на плагинов для определения потенциала уязвимости (а плагины – лишь часть
знаний, базы данных уязвимостей, которые сканер способен обнаружить); к
тому же плагинов – конечное число и сканер может проверять только те
уязвимости, которые он "знает", по перекрестной проверке при
наличии соответствующего установленного плагина.Факторы, которые следует учитывать при выборе сканера
уязвимостей: 1. Обновление, частота и метод. Как правило, сканер
уязвимостей не может идентифицировать уязвимости, если соответствующий "плагин"
недоступен. В результате, чем быстрее продавец может производить обновление и
новые плагины, тем более способны сканеры находить недостатки. Сканеры с функцией
"автоматического обновления" могут автоматически скачивать и устанавливать
последнюю версию плагина регулярно. 2. Качество и количество обнаруженных уязвимостей. Точность,
с которой критические уязвимости были определены - важнее, чем число
уязвимостей. Эффективное число уязвимостей с точки зрения открытости (CVE) и список
стандартизированных шаблонов уязвимостей - важнее. 3. Качество сканирования и отчеты. Полезный доклад
сканирования дает четкую и краткую информацию о проблеме. Когда администраторы
должны выполнить последующие проверки после первоначального сканирования (изменения
конфигурации), или сделать сравнение результатов предыдущих проверок, сканер с
серверной базой данных может вести архив результатов сканирования для анализа
тенденций. Это предпочтительнее. Если сканер находится «впереди» или «позади»
брандмауэра, это также будет иметь влияние на результат сканирования. Сканирование
внутренней сети «за пределами» брандмауэра не может рассматриваться как защита
брандмауэра. С другой стороны, сканирование хостов DMZ «изнутри» не может
обеспечить полной картины безопасности.
|
