洞扫描工具
怎样选择最好的安全评估工具?
作者: Kevin Beaver,  出处:TechTarge, 责任编辑: 许琳, 2004-11-30 11:23
  如何从众多的安全漏洞评估工具中选择一款适合企业应用的产品呢?免费软件、开放源代码程序和商业产品孰优孰劣?
  很多小测试软件都能完成安全漏洞评估工作,包括基本的端口扫描器、网络和操作系统漏洞评估工具、甚至复杂的网页应用***测试程序。如果你需要完成一项安全漏洞评估工作或者计划将这项工作外包,那么你最好知道哪个安全工具最适合完成这项特定的任务或者花时间选择一个合适的工具,这样会对你的工作非常有利。
  我认为非常有用的基本端口扫描器包括Foundstone公司的SuperScan和Fyodor公司的nmap。这些扫描器能够在网络规划前期进行侦察检测,并且可以收集所在系统的信息和网络上运行的服务。SuperScan 4.0甚至还包含了高级的Windows主机列举功能,可以很方便地进行更进一步的刺探分析。
  安全漏洞评估(VA)工具可以分为三类:免费软件、开放源代码程序和商业产品。这些工具不仅在网络规划前期有用,而且可以深入查看网络中哪些服务在运行并发现已知和潜在的漏洞。这些安全工具的种类很多。配置和操作都很简单的基于动态服务器主页的工具如:Qualys公司的QualysGuard,基于图形用户界面的工具如:Application Security公司的AppDetective,Elcomsoft公司的Proactive Windows Security Explorer,而基于图形用户界面的Nessus和命令行模式的Nikto则要求用户具有较高专业知识。
  由于有很多可选择的工具,因此很难决定哪一款最适合你的特殊应用环境。你会发现使用一些复杂的“免费”工具结果可能只获得了有限的评估数据,而使用简单的基于用户图形界面的的工具却发现根本没有销售商所吹嘘的一些功能,这样不仅浪费时间而且没有任何实际的作用,为了避免这种情况,我们在这里列举几个步骤来帮助你选择一款合适的安全评估工具:
  1.明确目的
  在你开始研究、分析使用哪款评估工具之前,你应该首先明确自己的目的。不可能有哪一款安全评估工具能够完成所有可能的安全测试。明确自己的目的有助于你决定是选择一个端口扫描器来检测所在系统,还是一个应用程序扫描器来检测网页应用程序漏洞或者是一个网络分析仪来显示运行的协议。高端的商业漏洞评估工具组件可能检测不到一些专业工具才能发现的漏洞(例如:一个操作系统评估工具根本不能像网页应用程序检测工具一样深入分析网页应用程序的漏洞)。如果经过分析发现工具不能满足你的需要,那就应该更换一个工具。即使选择了一个工具,但是在使用后发现结果里面有一些错误的信息如根本不缺少的补丁或者根本不存在的网页应用程序文件(大多数工具都会有这样的情况),那说明你使用的工具不合适——你应该考虑找一个更合适的。
  2.首先考虑免费软件和开放源代码工具
免费软件和开放源代码工具是绝对不可缺少的,因为它们可以有效降低测试需要的开销——尤其是进行端口扫描、操作系统检测或者是密码破解时。我一直在使用这些工具,也建议大家使用它们。然而,即使是最优秀的免费软件或者开放源代码工具也不能保证获得全面的漏洞检测和详细的结果报告,因此还是需要使用商业产品进行补充。
  3.借鉴诊断经验
牢记一点:不管是免费软件、开放源代码工具还是商业产品,所有的安全评估工具都不能代替丰富的传统诊断经验。优秀的工具只能产生一些具体的结果数据,而对数据进行有效分析依赖于工作人员的经验。这可能要求工作人员非常熟悉结果数据,例如:开放的端口、发现的协议、操作系统设置的规则以及报告需要更新的补丁,然后判断是否确实需要对网络进行补丁更新。这些专门技巧的最好来源是传统诊断经验。当然也可以通过各种形式的安全培训课程获得。你也可以将你的评估工作外包或者在必要的情况下将结果分析也外包。旁观者清,外部人员总是可以发现一些容易被忽视的安全漏洞。
  4.选择可以提供多种报表的工具
  漏洞评估工具除了必要的漏洞检测功能(操作系统检测、网页应用程序检测和密码破解等等),还应该能够提供全面详细的分析报告,包括:针对技术性开发人员或质量检测人员的、面向上层管理人员的(他们通常更欣赏带有彩色圆形分格统计图表或者条形图的报告)。丰富的报表格式能帮助你更好地解释或突出测试结果,并且也清晰地说明了应该采取的调整策略,有助于你与商业伙伴和用户共同分享数据。更重要的是,这些关于信息安全(漏洞数目、安全趋势等)状态的非技术性报告能够让管理人员相信他们的钱没有白费。
  在安全漏洞测试方面做了这么多工作之后。如果你能够找到一款合适的安全工具,那么在进行后期的安全漏洞检测时,你和你的团队可以更轻松而不是更艰难地工作。合理计划学习新工具的时间以及购买和维护商业工具的费用非常重要。通过选择合适的工具将你的时间和金钱的功用最大化,你才能在工作中更有效地发现安全漏洞,获得更多关于信息安全的技术支持并且使你的工作环境更轻松。这是我们都需要的。