观点:全自动安全漏洞扫描器的低准确率与高性价比

安全
NCC小组安全工程师Clint Gibler表示,虽然全自动漏洞扫描器大多数警报都是错误的,但是这种手段还是比企业自己手动操作扫描要廉价不少。

NCC小组安全工程师Clint Gibler表示,虽然全自动漏洞扫描器大多数警报都是错误的,但是这种手段还是比企业自己手动操作扫描要廉价不少。

[[164011]]

印度国产安全会议:Nullcon

在印度果阿(Goa)的Nullcon安全会议上,Gibler为来自10个不同工业部门的百位NCC客户介绍了一款未命名的全自动扫描器。

这种扫描器扫描出了大约90万的安全红色警报,但是人们发现在一些区域中存在89%的误报。即使是扫描器表现***的时候也有50%的误报率。

这项调查是在2014年2月至2015年5月之间实施的,由NCC小组员工对所有公司进行手动漏洞扫描。

Gibler在Nullcon会议上表示,虽然他觉得处理误报的代价可能是巨大的,但是自动扫描器对于大多数公司来说仍旧是值得的选择的,他的论断是基于这一数据:一名安全工程师的工资是7.5万美元,但是评估一个自动扫描器发现的漏洞只需要不到一分钟。

Gibler认为:

“人们浪费大量时间来审批这些评分在1到9的误报。”

***的情况就是你支付1千美元给员工去花时间审核这些问题(其中包括了真正存在的漏洞);糟糕的情况就是你花费了1万到1.6万美元去审核这些问题。大多数人在购买工具时只看价格,而不会考虑潜在因素,那就是审查这些结果要花费多长时间,而这些结果中又有多少是正确的。

自动扫描工具价值犹存

然而,Gibler还告诉Vulture South:

“这些自动扫描工具还是很有价值的,因为它们与价格昂贵的渗透测试之间架起了桥梁。我认为它们仍旧是有用的,将来更是如此。”

Gibler在通知客户发现漏洞之后企业往往还要花费10到20个星期的时间才会进行修补,有的甚至会拖到一年后再修补。在NCC进行的9000次漏洞测试中,发现自动扫描没有扫描到的***的一桩漏洞是1万个跨站点脚本漏洞。

受到结果影响的主要是休闲娱乐、媒体产业(25769个漏洞)以及公共教育部门(15550个漏洞)。

Gibler认为公司没有必要优先修复高危漏洞,从而搁置了低风险的漏洞。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2020-04-17 10:35:28

微软AI系统安全漏洞

2016-05-13 17:07:00

Docker安全

2011-03-23 13:20:41

漏洞扫描器Unix

2011-03-23 13:44:24

2010-09-17 16:16:28

2013-04-25 13:31:01

漏洞扫描器Nessus 5.2

2014-10-28 09:11:10

2013-08-14 10:24:38

2010-09-25 10:25:23

2010-12-09 11:01:58

2010-09-26 13:25:16

2009-04-08 10:55:19

2021-04-08 11:35:02

网络漏洞扫描器漏洞黑客

2017-06-01 12:53:18

WPSekuWordPress漏洞扫描器

2021-04-09 08:00:00

容器开发云原生

2016-08-17 09:18:11

2012-05-10 14:37:57

激光打印机推荐

2011-01-11 10:29:46

2015-01-06 11:50:40

安全扫描器IBM Appscan

2024-11-18 09:50:00

模型训练
点赞
收藏

51CTO技术栈公众号