漏洞评估中“误报”不可能避免 哪种处理方式最佳?

简介:

虽然误检测应尽可能清除掉,但这是任何漏洞评估工具的一个固有部分。误检测的可能原因包括:特定于供应商的补丁/更新的快速改变、零日漏洞、访问限制、网络故障等。

漏洞评估

安全目标,就是企业网络中检测出的漏洞数量很少,最好还是漏洞评级/危险程度最低的那种。漏洞评分是客观而科学的可再现衡量标准,低漏洞评分,意味着主机防护薄弱,但依然安全。顶级管理和缓解团队对此结果相对满意,而显示出更少漏洞的评估工具通常广受赞誉。

然而,太多漏报,就完全是另一码事了。对这些“可疑”漏洞的识别,可能是多种因素影响的结果,包括“广撒网”式漏洞测试方法。如果没有实现更针对性的测试,此类检测可能会让系统更为脆弱,更易沦为漏洞利用的受害者。

当检测结果被证明为“假”时,最佳处理方式是什么呢?实际上安全缺但报称系统脆弱?或者实际上系统脆弱但预报为安全?

我们不妨先考虑下面几个例子再决定哪种选择更好:

1. 环境

鉴于支付卡行业数据安全标准( PCI DSS )合规系统的实现方式,支付卡行业安全标准委员会( PCI SSC )声明,误报比漏报更好。该争议随后在支付卡行业授权服务提供商( PCI ASV )那里被充分讨论了。

2. 回滚/灾难恢复

红帽Linux允许保留一些旧内核包以进行回滚。即便当前内核没有漏洞,这些旧包也可能是脆弱的。因此,如果你不考虑带漏洞的回滚包,万一以这些包为基础的恢复事件发生,你的系统就可能会受到影响了。

3. 配置改变

Windows系统目前没有标记任何与活动目录(AD)相关的漏洞,但未来更新后,难保不会遭到利用AD或LDAP(轻量级目录访问协议)架构漏洞的攻击。

4. 向后兼容

有时候某些配置会因为要保持系统向后兼容而保留,尤其是使用遗留脆弱加密相关算法的情况下。即便你的系统再也不使用这些密码,攻击者也依然可以利用它们。

上面提到的例子中蕴含这一些经验教训:

  • 主机评分不代表系统安全的真实情况。高分系统可能显示出系统的真实安全态势,而低分系统可能表现出的是系统安全的错觉。
  • 风险接受,是风险缓解策略的一部分,应谨慎使用,要考虑到接受风险并不总是不可取的。
  • 最重要的是,配置/修改管理变得关键。为获得所有更新/回滚操作的完整视图,这些改变应被注意到,且应进行漏洞扫描。因此,配置和漏洞管理应协同部署。

结论

报告中看到误报并非总是坏事。每个误报都应审视其中潜在价值。毕竟,接受误报,总比让系统漏洞满满,更不失为一种安全操作。后者可是会导致信誉损失、员工情绪低落、长时间梳理审计日志、努力控制潜在攻击,以及恢复系统到安全状态等等诸多不利后果的。


原文发布时间为:2017-10-01

本文作者:nana

本文来自云栖社区合作伙伴51CTO,了解相关信息可以关注51CTO。

目录
相关文章
|
4月前
|
传感器 数据采集 Web App开发
揭秘攻击者规避XDR检测的惯用手法及应对建议
为了更好地理解攻击者如何规避XDR系统,本文深入分析了XDR系统运营的三个关键时期:数据采集、检测分析和响应处置,并对其中容易发生的检测规避情况提出防护建议和策略。
|
6月前
系统误报键盘隐藏问题
系统误报键盘隐藏问题
30 0
|
6月前
|
人工智能 监控 安全
大模型安全风险的具体表现
【1月更文挑战第23天】大模型安全风险的具体表现
288 3
大模型安全风险的具体表现
|
机器学习/深度学习 人工智能 安全
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)(下)
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)
255 1
|
自然语言处理 安全 API
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)(上)
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)
362 0
|
存储 设计模式 安全
渗透攻击实例-设计缺陷/逻辑错误
渗透攻击实例-设计缺陷/逻辑错误
|
JavaScript 安全 前端开发
修改MD5值:降低iOS应用程序关联性判定,减少拒绝风险
ios应用程序存储一些图片,资源,配置信息,甚至敏感数据如用户信息、证书、私钥等。这些数据怎么保护呢?可以使用iOS提供的Keychain来保护敏感数据,也可以使用加密技术,或者使用Ipa Guard 来弱化文件名称含义,增加破解难度。实现保护iOS app应用程序不被反编译、破解或篡改。
|
安全 开发者
损失规避 | 学习笔记
快速学习损失规避。
206 0
损失规避 | 学习笔记
|
监控 安全 Java
安全配置错误规避指南
安全配置错误规避指南
310 0
下一篇
无影云桌面