来自Tenable, HP, Co3的新安全工具尝试着不可能

自动事件响应是计算机安全领域发展最快的领域之一。它也被称为威胁监视、漏洞管理或威胁管理，除了检测可能被攻击者利用的每一个可能的漏洞之外，还包括在网络发生主动威胁时保护网络的看似不可能的任务。

因此，你不会看到大量的公司进入这个领域。但有几家公司已经推出了自动事件响应产品，其中三家领先的供应商接受了我们的邀请进行了比较评估——Tenable网络安全安全中心、惠普WebInspect和Co3系统安全模块。

+也在网络世界:有个足球雷竞技app火眼对抗多阶段恶意软件+

由于供应商通常根源于这三个领域之一——检测、预防或自动响应——它们的方法会受到这个起点的影响，从而导致实现全面网络安全目标的方法略有不同。这意味着我们需要查看工具的整体有效性，因为几乎没有其他指标可以并排比较。

在本文中，所有程序都在一个中等大小的测试台上安装并使用各种客户机和服务器进行测试。因为被测试的程序都是为成百上千个系统而设计的，所以没有尝试测试扫描性能，尽管注意到了旨在加快扫描速度的程序功能。

每个程序都在安装的便捷性、特性、易用性和自动化水平上进行了评估——该程序是否真的有助于更容易地修补漏洞，或者只是在没有任何跟踪或建议的情况下指出应该做什么。从某种意义上说，自动化级别也可以考虑软件包的完整程度，既然检测、预防和响应这三个元素都被结合在一起了。

Tenable SecurityCenter作为一款网状的、成熟的、易于使用的产品，在本次评测中获得了三种产品中最高的分数。它能够为任何规模的网络提供真正的连续监控，并使用定制的仪表板向那些需要了解安全的人显示最相关的信息。几乎不可能设想一个成功的攻击发生在一个被SecurityCenter保护得如此严密的网络上，在这里每一台PC、设备和连接都被持续监控，以防止恶意或异常行为。

相比之下，HP WebInspect需要更多的精力来完成工作，但对于那些喜欢采取更积极的方式来进行安全防范的组织来说，它可能是完美的。它采用了必须像罪犯一样思考才能抓住罪犯的概念，并对网络发起数千次真实但无害的攻击，悄无声息地记录哪些攻击是成功的。网络管理员可以堵住实际的漏洞，并使用WebInspect检查结果。WebInspect将揭示任何网络安全的丑陋真相，但需要安全专业人士卷起袖子解决个别问题。

Co3安全模块在这篇综述中是最强的，当它涉及到方程的响应方面时。虽然Co3产品只是刚刚进入帮助解决问题的领域，但它可以为任何事故提供一个完美的、法律上合理的回应。考虑到大多数组织在应对攻击时都失败了——没有通知用户，没有引入适当的州或国家当局，或者没有履行法定责任——Co3安全模块是一个很好的选择，不管实际上是什么程序在守卫大门。

以下是个人评论：

工人网络安全SecurityCenter

在本次评估中，Tenable的SecurityCenter项目涵盖了检测、预防和自动响应三个领域，是最完整的包。它在每个测试领域都是最好的。

它首先列出网络上的每个系统，并向管理员提供正在运行的所有东西以及它们之间的相互关系的完整视图，从而实现了这一壮举。例如，查看扫描结果，您可以立即知道任何给定网络上有多少系统安装了反病毒程序，以及哪些是最新的。它还显示了部署的防火墙的数量，以及哪些系统实际上受到哪些系统的保护。这幅完整的网络图可以帮助解决最容易解决的问题，比如网络防火墙或旧的防病毒定义之外的系统。

它还可以识别可能不再提供某种功能的设备和客户端，比如旧的打印服务器或网络交换机，它们曾经很重要，但现在不再使用。如果这些设备没有被移除或退役，它们仍然可以为聪明或幸运的黑客提供攻击路径。几乎每个大型企业网络都会至少有几个。

SecurityCenter甚至找到了一台被我们卡在测试网络边缘的旧电脑，它位于一个交换机和三个hub的后面，没有任何功能或活跃的网络连接。它发现一台PlayStation 4通过无线连接到测试网络，但在测试前意外地没有关闭。

一旦到位，SecurityCenter可以用来发现差异，突出，它可以得到非常细粒度的这部分检查。那些配置在默认模式之外的系统，或者那些比执行类似任务的其他系统使用更多CPU的系统，甚至在程序的主要功能上线之前，都可以被标记为后续操作。虽然不是专门设计为网络审计或绘图工具，但SecurityCenter做了很好的工作，将其作为构建系统其余部分的基线。

一旦发现网络中的所有信息，SecurityCenter就可以进入连续监控模式。它使用一个扫描、嗅探和日志记录的过程来实现这一点，同时还查找任何泄露的指示。例如，我们故意在Android手机上植入了基本的本地恶意软件，但仅根据它的行为就检测到了它，因为该设备试图向一个受保护的数据库进行查询。威胁情报也会从其他供应商引入该程序，因此已知的僵尸网络和常见攻击会立即被发现和识别。由于SecurityCenter首先发现网络上的所有设备，即使是更老的、被遗忘的或以前不知道的计算机也将受到保护。

SecurityCenter的工作原理是将威胁情报与网络嗅探和被动扫描相结合。它不对通过网络运行的所有流量进行全面的包检查，也不解密SSL包。这样做肯定会大大增加扫描时间，而且在我们的测试中，SecurityCenter能够根据受保护设备的行为单独阻止每一次攻击。也就是说，一些非常安全的组织可能会坚持进行深度数据包检查，而SecurityCenter并不提供这种检查。

一旦检测到事件，根据管理员预先编写的程序、严重性、设备类型或任何其他内容，响应是快速的和可配置的。可以将电子邮件发送给合适的人，可以启动对可疑设备的更深入的扫描，可以打开故障单，可以编写日志文件来列举一些可能性。有很多配置选项，例如，检测到新漏洞这样的小问题可能需要低优先级响应，而持续攻击这样的严重问题可能会发出警报。

对SecurityCenter来说，锦上添花的是易于使用的安全仪表板，通过配置，可以准确地显示管理员需要了解的内容。

例如，仪表板可以设置为显示网络上有多少设备符合HIPAA等特殊规定。仪表板可以复杂到列出受损系统的漏洞列表，也可以简单到检测到关键问题时亮起的一盏大红灯。SecurityCenter有很多开箱即用的仪表板，可以用于几乎任何安装，如果需要，无论是Tenable或受过培训的管理员都可以定制仪表板。

惠普WebInspect

对于谁可以使用HP WebInspect以及如何部署它，惠普一直保持着相当严格的限制。这是一件好事，因为在错误的人手中，WebInspect将是一个非常危险的武器。为了进行审查，我们必须指定被扫描的IP范围，许可证不允许我们ping该区域以外的任何东西。惠普表示，购买该计划的公司将受到同样的限制，但可以在事后修改许可，让惠普知道该如何扩展。

之所以采取如此严格的安全措施，是因为WebInspect会对整个网络的所有已知漏洞发起超过3300次的实际攻击。惠普的一个团队不断更新该程序发起的攻击的数量和类型，以便找到所有最新的漏洞。虽然这依赖于主动扫描，但它在处理中等数量的客户端和设备时相对较快，尽管在大规模的企业设置中可能需要几天时间。

将它指向惠普为测试而设置的一个带有800台设备的虚假网上银行，耗时约一分钟。我们更小的本地测试台在几秒钟内就完成了扫描。扫描的速度也在一定程度上取决于安装WebInspect的硬件。我们使用工作站类计算机作为基础，但是大型企业用户可能希望有专门用于扫描的服务器或设备。

WebInspect发起的攻击是良性的。他们不做任何恶意的事情。但当他们通过时，他们记录了，如果他们装备了危险的有效载荷，他们可能会在某种程度上造成混乱。对安全管理员来说，WebInspect的价值在于，它能显示使用的攻击、程序到达目的地的路径以及被利用的漏洞。查看扫描结果，人们可以很容易地看到为什么该程序在错误的人手中可能是危险的，因为它将提供多个路线图，显示如何成功攻击任何网络。

其理念是，安全人员可以获取成功攻击的数据，然后进入被成功攻击的系统，修复漏洞。然后，他们可以触发WebInspect再次启动他们试图修复的特定攻击，以确认它不再是一个漏洞。一个接一个地消除每个攻击路径或漏洞，直到清除整个网络的所有漏洞。然后，该程序定期不断扫描网络，根据最新的攻击或新设备上线寻找新的威胁，使其成为任何自动事件响应程序的核心组件。

基本的WebInspect程序非常强大，但要获得该程序的全部价值，还需要在被扫描设备上安装另一个元素HP WebInspect Agent。最新版本的Agent程序对WebInspect用户是免费的，但它需要安装在每一台设备上，才能获得它提供的额外保护。

Agent通过增强WebInspect攻击所提供的信息来工作。加入Agent后发现的最大漏洞是交叉脚本错误，这可能让攻击者将自己的代码注入web服务器。只有当Agent在后端运行时，我们才能启动堆栈跟踪来发现这个漏洞，因为Agent就像一个内部人员，准确地显示受保护的主机系统内部正在发生什么。使用Agent的另一个优点是，像SQL注入这样的攻击可以用路径信息和特定的攻击字符串更好地定义。虽然WebInspect可以报告服务器容易受到这些类型的攻击，但只有使用Agent才能明确数据库攻击查询。

代理还可以找到没有链接到任何地方的网页，可能已经被放弃或遗忘，但仍然是企业的一部分，如果有人直接输入他们的地址，仍然会显示。只要这些页面仍然活跃，它们就可能成为一个漏洞，但在大多数大型网站中，至少有一些页面在过去几年里被内容设计师忽略了。因此，Agent至少应该安装在任何面向公众的设备上，尤其是那些负责显示网络内容的设备。

尽管WebInspect比一些程序需要更多的技术知识，但作为自动威胁响应系统的一部分，启动实际攻击的能力是不能被夸大的。需要知道攻击的方式和原因的组织应该考虑该程序，尽管安装它及其配套的Agent程序需要额外的努力。