质量和McAfee引导六品测试自动工具扫描报告漏洞
都担心服务器有隐蔽安全漏洞尽我们所能补丁 学习最佳实践 更新训练新闻有自动化工具检查我们的工作 是不是很好弱分析器的允诺 检测配置问题的产品应用程序并补丁
正确使用, 脆弱分析器能帮助你置数百或千位服务器、网络设备 和嵌入式系统之上将注意力集中到安全整治上 并会知道系统到位 避免小事滑入裂缝 变成大事
错误使用这些分析器可生成上千页混淆信息、阻塞安全网络管理员并最终制造更多问题比解决更多问题。
我们评价六大市场引导产品的脆弱性扫描结果、报告特征、产品可管理性、工作流工具以及与其他企业产品互操作性
两种产品出名:aS基础QuayssGuardVM和McAfee脆弱程度管理员-软件或应用程序基础产品
SAINTmanager产品线排到第三位,由强扫描仪悬浮,但由弱GUI负载EEYE RetinaCS是首选挑战者,它配对强扫描机和新定位GUI发现数个错误和设计缺陷 需要修复后产品准备企业部署视网膜比较新产品正在开发中3个月测试期间 我们看到Retina升级 EEYE发布
临界观察FusionVM产品-另一个SAS提供-内有一些大点子-但缺少执行Lumension扫描产品范围较有限,在设计上做得很好,但没有企业焦点我们所寻找的
扫描东西
所有脆弱分析器都有一个常用核心:扫描仪查找漏洞如果你对网络做渗透测试 扫描仪就是你需要的
在某些产品中,特别是eEye的RetinaCS和SAINTCorpt的SAINTscanner/SAINTManager/SAINT(见web扫描选项.)
扫描器与其他片段密不可分安全咨询师想做扫描 EEYE和SAINT最合用
了解扫描机工作效果如何, 我们扫描三家公司的三个生产网络, 外加专用测试实验室网络测试实验室网络上,我们特意让四台服务器补丁落后2个月:2个月Windows系统系统(2003和2008Windows)inux系统系统OSX服务器.上传如何操作测试.)
并评价结果
第一,警告词:易失能扫描器可以并将会造成网络不稳定性SAINT和Cripen Watch对网络造成实际破坏,设法锁住我们制作Unix服务器,并引起SAN打嗝中断服务数客户
几乎所有产品都导致APCUPS重开,这(不幸)除管理接口外没有影响任何东西注意IP扫描地址和扫描运行方式
网络在两个月内不会太远过期 但这些扫描仪有很多话要说EEYE胜出180页报表,尽管McAfee数取胜537项,告诉我们四大系统的不同情况,其中380项不是特有漏洞,而只是信息项留有84个关键漏洞 macAfee希望我们修复
显而易见的结论是 某些商家没有做好数据减值Adobe补丁APSB10-14确实覆盖28个特有漏洞, 但它们都用单补丁固定, 并视之为28个独立事件-如McAfee-只是鼓励混淆
临界观察有相似问题,提供所有片段微软关键补丁独立分解,尽管修复任务相同:安装MS11-012修复5个单报漏洞pedantic安全 wack可能坚持知道 每一个单题,默认时,此信息应合并成易消化格式
部分结果极片段举个例子,Windows系统测试中, 我们有一个安全更新补丁列表 微软更新提供与McAfee,QuaysseEEYE, 我们发现所有清单关键守望者 Lumension and SAINT没有捕捉所有东西
如果已知缺失安全补丁清单是我们的全部测试 很容易排序产品每一个扫描仪都有很多要告诉我们, 并理解信息是否相关或值值是难事
举个例子 Lumension告诉我们,我们正在Windows系统上运行过期版SeetCRT没有其他产品我们测试采集表示路门信比其他扫描器强吗?
iEye发现隐式注册密钥上有circa-1999保护设置, 特权用户可用此密钥在系统启动期间进一步提升特权eEye比其他扫描器强吗?可永远置身于此循环中, 逐项产品都提出了问题, 主要是次要问题, 而其他人却没有问题
假阳性
我们还看假阳性位扫描仪报告易损性安全净化者敏感区某些扫描仪简单处理特定文件的存在使系统易损举个例子 Lumension标记Linux测试系统Unix内核过期, 可能是因为它看到安装的红帽包管理器用老内核系统不脆弱内核转盘
当然,并非所有假阳性都难判断关键观察识别出MacOSX系统缺失微软Windows补丁eEEEEYE系统 VMware和HyperV漏洞补丁在所有扫描器中都辨识出假阳性
比较扫描仪时还有其他挑战CVE数据库受U.S.支持国土安全部最接近常用命名标准原本期望商家确保弱点与CVE数据库条目相匹配,但在大多数扫描仪比较结果时发现错误和遗漏举个例子,我们认为McAfee发现一个问题 其他人没有抓住CVE-2010-3886, 直到我们发现它隐藏EEEYE
我们还研究了另外两个重要标准:报告漏洞证据和跨平台支持
证据在哪里
发现证据或缺少证据-大差分器扫描仪报告漏洞时,关键是要随时提供支持性证据举个例子,扫描仪中有一个报告弱点 即Windows服务器上用户从不登录 而不告诉我们用户是哪个多有用?swer:不甚多
macAfee,qayss和SAINT为我们提供大量支持证据,Drips Watch提供一些证据,但并不如我们所期望的多。EEYE和Lumension提供证据有缺陷,尽管eEYE的确隐藏报告内的一些证据,这些报告在Web接口中隐蔽。
扫描不同操作系统平台是另一个差异器,对网络管理员可能无关紧要所有产品支持Windows,但我们发现对非Windows系统的承诺程度不一,如Mac和Unix系统以及开关、数据库和路由器等基础设施设备SAINT和eEye比其他产品更注重Unix系统
整体上,我们感到quays和SAINT拥有最强核心扫描机,McAFEE接近同级lumension、eEye和Cripen Watch记录漏洞时,伪正数和假负数增加,证据描述差
报表编程
漏洞信息隐藏产品对网络管理员没有任何好处我们期望脆弱度评估产品能够报告它所发现的信息,从而最大限度地理解和最小化浪费时间
网络管理者可能想使用GUI报告, 因为他们会深入细节中, 研究单个系统与漏洞并关注修复补丁等任务
审计师和主管人可能想打印报表汇总信息,大全透视企业在哪里有风险和在哪里需要集中注意力我们查看所有类型输出 泛类报告, 评估易理解性、透明性、可配置性与实用性
我们发现那里真的有两种脆弱分析器:扫描基础和资产基础扫描分析器即所有报表和数据都聚焦扫描作业换句话说 分析师运行扫描作业 然后你可以报告作业
脆弱扫描仪通过查看目标列表运行 运行部分选择扫描并生成输出 构建基于扫描的脆弱性分析器非常自然取扫描机 并贴上高档GUI扫描仪可能跟踪信息像趋势, 但它不维护详细历史 系统扫描
替代扫描分析器的是资产分析器资产可以是服务器、工作站、路由器或随时间推移,扫描仪收集网络资产比特和片段信息,建构漏洞图、配置图甚至修复历史部分商家开始在文献中称它为scan报告多
运行单扫描PCI审核或渗透测试时 与扫描脆弱分析器会很高兴容积漏洞管理持续进程的一部分 目的是理解企业网络安全姿势 随时间推移,你需要资产分析器
使用这种方法,你可能花很长时间建立扫描程序,但你期望定期并多次运行扫描程序,为网络提供知识库
资产分析师总能表现为扫描分析师,简单报告最新扫描结果,而我们测试的每一种产品都完全做到了这一点。然而,我们有不同程度的成功获取 产品缩放扫瞄 并给我们提供大图
质量最接近我们理想 弱分析员报告会像什么, 和McAfee几乎同级都允许生成易读可浏览报表,包括扫描报表和资产报表两者的报告接口都直觉化,我们强烈主张报告可与扫描完全分离的想法。
然而,两个产品都非完美无缺质量不让我们运行自动化报表强保安全模型的副作用质量存储数据库中敏感度极高的信息 关于网络和系统 包括证书你可能为扫描目的提供
以此为例 可能有点太严肃加密模型不让任何人查看企业数据,除非你实际登录Web用户接口不幸地说,本案中的“任何人”也包括Qualys报告编写者运行时不登录, 表示获取质生成报告并定期寄给你比应该难约100倍如果你坚持的话,你办得到
qayss团队向我们提供qayssguardAPI信息, 工具允许远程发布报告,然而,这不是我们真正寻找的质素为它如何认真对待敏感数据安全感到自豪,但这是一个案例,它需要找出简单执行任务简单方法。
macAfee还做了很好的工作,提供基于资产和基于扫描的脆弱信息视图MVM是成功生成三角洲报表的两种产品之一(QualysGuardVM是另一产品),显示从扫描到下扫描的脆弱度变化
macAfee下降点是GUI导航资产和漏洞的能力生成报告易制作阅读-优于多数其他产品但如果你想使用WebGUI查看同一种信息, 则你比较有限能力穿透漏洞并深入理解安全姿态或通过WebGUI读取相同层次的信息
Qayss和McAfee做得很好,两种产品都为固态扫描仪添加免费报告写作器SAINTWriter和Insight为这两个商家从老式单扫描产品移入企业世界提供一种方法测试显示两者都有一些明显的缺陷
SAINT包括16预定义报告类型16类型(包括资产报表和脆弱报表)满足需求后,SAINT会比使用定制接口定义报表要快乐得多。
对比eEye报表写系统设计 向SAINT添加报表既痛苦又困难SAINT也有一些明显的限制动态查询('显示我所有最高临界度漏洞'或'显示我所有微软补丁')无法在报表定义工具中创建
SAINT并难浏览GUI扫描结果查找网络单系统需要大量导航,如果网络在脆弱扫描数据库中拥有数以百计系统,SAINT几乎无法控制反之, 发现系统后, 有良好的工具探索和管理漏洞, 例如单击“ 忽略这个系统的脆弱性 ” 和同样不错的“ 忽略所有系统的脆弱性 ” 选项
eEye开发商为Retina制作了极有吸引力电波闪存GUI报告漏洞导航技术,
近似无文档 特别是关于产品关键功能文档无济于事视网膜是一个非常新产品 大约一年前 建在eEye高贵受人敬重扫描仪上3个月测试期间,我们看到Retina升级换代,EEYE发布新升级前刚开始按下处理两大投诉:无法忽略某些系统的脆弱性和无法运行三角洲报告
与我们测试的所有其他工具相比,定义新报告是Retina的梦RetinaGUI实际上全部报告驱动:你告诉它需要报告什么,它展开扫描获取数据(或重新使用老数据,如果你想对同一种数据使用不同格式报告的话)。定义报表并运行报告后,祝你好运:所有报表都显示通用报表标题-无法命名特定运行方式,如东岸或西岸,不创建全新报表模板这使得查找结果略为困难,你不得不点击每份报告看能否找出哪个
整体而言,Retina报告分析能力有可能跃进并成为大工具内地报告工具箱 无法提供企业大规模脆弱度评估 所需要的可用性或功能可快速改变故事
关键观察和路门松报告功能 达不到其他产品标准
临界观察接口失效最基本人因子设计,特征如三套滚动条、没有定制视图屏幕和差集成自有政策管理系统举个例子,当你看到弱点并想从未来报表中滤出时(例如假正点)GUI需要8次或8次以上点击
组合VM总趋势信息 以及其他设计良好的报告 包括偏差 简单三角洲报告是不可能的fusionVM发现其他报告互操作性问题,例如PDF报表与某些阅读者不兼容(可能因为它们加密)和Excel报表不导入Excel
Lumension报告功能也令我们沮丧无法自动生成调度报告 短期趋势报告显示2800页 两次扫描相距不足24小时Lumension基于扫描焦点研究发现,不重扫描或重报告基本不可能查看除整个扫描以外的任何东西数据(例如系统扫描子集,兴趣更大)。
虚构性报表分析接口比其他产品简单这使得很容易启动并发现事物, 但一旦你撞上功能墙, 就没有太多空间 创建配置
可管理性与工作流
数以百计或千计系统扫描后,配置管理势必随着时间变复杂设备将具有“ignore规则”(例如,特殊脆弱点不应报告),政策异常点和设置将越来越定制化
网络管理员的目标是尽可能短地发布每周脆弱度报告,只突出必须考虑的重要新问题,唯一方法就是使脆弱度分析器成为网络常识系统时间越少微管理脆弱分析器,时间越多可实际修复漏洞,使用方便度和深思熟虑GUI很重要核心评价标准之一是这些产品多适合持续安全姿态管理周期,而不是一次性扫描
我们认为McAfee提供 最佳管理水平 任何产品,我们测试证书配置就是一个很好的例子证书是漏洞扫描的弱点-你必须授权扫描器登陆每个系统,但用户名和密码浮动会威胁安全。对Windows而言,证书不能仅仅是用户,因为需要高端权限来完全评价补丁级别和注册设置
macAfee拥有最佳证书管理系统证书单独管理存储,很容易按需带入扫描比较eEye等证书附于特定扫描作业而非资产,这意味着随着不同作业遍历网络,这些证书可能不得不多次输入或重复输入
mcAfee管理系统其他部分显示帮助网络管理员快速快速扫描策略举例说,漏洞按类别和操作系统直觉分组选择合适的分组并应用扫描作业, 并整理成安全网集这是一项重要能力脆弱扫描商表示他们总检测操作系统 并只做安全扫描 不诚实或不知道他们的产品macAfee并非唯一提供此功能的商家,但有些东西切入荒谬段数,如Lumension,使我们区分Windows 2003、Windows 2008和Windows2008SP2
在其他领域,我们发现相似特征,但在某些产品中实现得更好举例说,委托管理是一个重要特征,因为它允许网络管理员拆分网络并集中报告每个领域的责任人
人人都有,但质量与临界观察拥有设计最优委托管理权,有效分离扫描与报告功能确定两位看同一组结果的人可视职责的不同而看到两种不同观点EEYE委托管理问题最大,这在扫描方面很好,但并不延伸至报告方面。Retina无法理解地拥有两个完全分离认证系统,一个用于报告,另一个用于所有其他系统
脆弱分析者的一项非常基本任务就是处理漏洞:分配人修复,标记视而不见,或甚至在补丁前拖延数周一起,我们分类所有这一切 算作工作流
关键观察成功参半产品综合售票系统叫补票管理器, 但它对Firefox、Safari或InternetExplorer浏览器无效,另一方面,它有一个奇特滤波管理器,它很容易地用于多级选择掩蔽漏洞
EEye与其他安全商行结为伙伴,选择不同路线,包括故障票产品和安全信息管理员产品取出Retina门票很容易,Retina的强项之一是它与eEye端点安全产品Blink紧密结合Retina和Blink组合综合保护策略(如端点防火墙配置)和漏洞扫描,对端点安全形成更全面的透视提供能力在补丁可用或安装前减轻已知攻击视网膜CS还获最酷管理系统奖,即使新AJAX接口对象极不功能和思维不良
Lumension扫描像Retina一样,在融入商家端点工具时最有效Lumension补丁管理与Lumension扫描完全匹配,帮助驱动更综合式解决方案通通服务器或工作站无补丁管理发现Lumension扫描工作流忽略发现的脆弱性,你必须写下报表信息并重配置工作而不包括脆弱性鲁门索扫描拥有一些优秀管理工具举个例子,一旦脆弱度被认为是固定的, 你就可以重新测试脆弱度, 单击单击单系统,这是一个很大的方便点Lumension扫描识别某些配置参数中的脆弱点, 关于如何和为什么修复信息直接建入管理接口中, 节省时间和能量
工作流McAfee不必要复杂易损性可直接流入综合故障开票系统(或外部通过SMTP或SNMP)并按各种规则分派用户使用上点很容易忽略发现的脆弱性或标记为固定或假阳性可我们发现导航前后不一致 思考工作流在某些例子中,你可以教它忽略某事, 但在其他地方,可能完全合适,你不能
与QuayssGuard的前后不一属实我们发现GUI内部的一些视图允许你改变系统行为而其他人则不改变行为,往往没有押音或理由整体质保VM管理接口受老化设计的影响,该设计将过多信息传播到过多菜单中并用太多不同方式使用相同术语过学曲线后 完成事情不难, 但这里和那里有混淆点 根本说不通
万一产品需要GUI和工作流程重新设计,它就是SAINT快速学习不判断GUI产品即使是屏幕设计叫出1997 产品下隐藏着巨大的能量综合故障处理系统使用之易出奇,并拥有设计良好的规则基础,可用于自动向适当组分配故障处理票
哪里是我最喜欢的脆弱分析商
测试时,我们写了一份广度评价标准文件,并发请词给13家商IBM(通过获取ISS)下降,告诉我们它准备用云基解决方案替换现有产品圆圈和信任波都下降, 告诉我们脆弱度评估 仅仅是他们的产品的一部分StillSecure和Spid7都确认我们的邀请,但从未回复安全局无法回复或确认我们的邀请Nessus最受欢迎半开源扫描仪可点名表示它想参赛,但从不送产品测试
Snyder是Ariz图森Opus One高级合伙人可联系点Joel.Snyder@opus1.com.
