然而,太多漏报,就完全是另一码事了。对这些“可疑”漏洞的识别,可能是多种原因影响的结果,包括“广撒网”式漏洞测验方式。如果没有实现更针对性的测验,此类检测可能会让系统更为脆弱,更易沦为漏洞利用的受害者。 当检测结果被证明为“假”时,最佳处理方式是什么呢?实际上安全缺但报称系统脆弱?或者实际上系统脆弱但预报为安全? 我们不妨先考虑下面几个例子再决定哪种选择更好: 1. 环境 鉴于支付卡行业数据安全标准( PCI DSS )合规系统的实现方式,支付卡行业安全标准委员会( PCI SSC )声明,误报比漏报更好。该争议随后在支付卡行业授权服务提供商( PCI ASV )那里被充分讨论了。 2. 回滚/灾难恢复 红帽Linux允许保留一些旧内核包以进行回滚。即便当前内核没有漏洞,这些旧包也可能是脆弱的。因此,如果你不考虑带漏洞的回滚包,万一以这些包为基础的恢复事件发生,你的系统就可能会受到影响了。 3. 配置改变 Win系统现在没有标记任何与活动目录(AD)相关的漏洞,但未来更新后,难保不会遭到利用AD或LDAP(轻量级目录访问协议)架构漏洞的攻击。 4. 向后兼容 有时候某些配置会因为要保持系统向后兼容而保留,尤其是运用遗留脆弱加密相关算法的情况下。即便你的系统再也不运用这些密码,攻击者也依然可以利用它们。 上面提到的例子中蕴含这一些经验教训: 1. 主机评分不代表系统安全的真实情况。高分系统可能显示出系统的真实安全态势,而低分系统可能表现出的是系统安全的错觉。 2. 风险接受,是风险缓解策略的一部分,应谨慎运用,要考虑到接受风险并不总是不可取的。 3. 最重要的是,配置/修改管理变得关键。为获得所有更新/回滚操作的完整视图,这些改变应被注意到,且应进行漏洞扫描。因此,配置和漏洞管理应协同部署。 报告中看到误报并非总是坏事。每个误报都应审视其中潜在价值。毕竟,接受误报,总比让系统漏洞满满,更不失为一种安全操作。后者可是会导致信誉损失、员工情绪低落、长时间梳理审计日志、努力控制潜在攻击,以及恢复系统到安全状态等等诸多不利后果的。 |