漏洞評估中“誤報”不可能避免哪種處理方式最佳？

雖然誤檢測應盡可能清除掉，但這是任何漏洞評估工具的一個固有部分。誤檢測的可能原因包括：特定於供應商的補丁/更新的快速改變、零日漏洞、訪問限製、網絡故障等。

安全目標，就是企業網絡中檢測出的漏洞數量很少，最好還是漏洞評級/危險程度最低的那種。漏洞評分是客觀而科學的可再現衡量標準，低漏洞評分，意味著主機防護薄弱，但依然安全。頂級管理和緩解團隊對此結果相對滿意，而顯示出更少漏洞的評估工具通常廣受讚譽。

然而，太多漏報，就完全是另一碼事了。對這些“可疑”漏洞的識別，可能是多種因素影響的結果，包括“廣撒網”式漏洞測試方法。如果沒有實現更針對性的測試，此類檢測可能會讓係統更為脆弱，更易淪為漏洞利用的受害者。

當檢測結果被證明為“假”時，最佳處理方式是什麼呢?實際上安全缺但報稱係統脆弱?或者實際上係統脆弱但預報為安全?

我們不妨先考慮下麵幾個例子再決定哪種選擇更好：

1. 環境

鑒於支付卡行業數據安全標準( PCI DSS )合規係統的實現方式，支付卡行業安全標準委員會( PCI SSC )聲明，誤報比漏報更好。該爭議隨後在支付卡行業授權服務提供商( PCI ASV )那裏被充分討論了。

2. 回滾/災難恢複

紅帽Linux允許保留一些舊內核包以進行回滾。即便當前內核沒有漏洞，這些舊包也可能是脆弱的。因此，如果你不考慮帶漏洞的回滾包，萬一以這些包為基礎的恢複事件發生，你的係統就可能會受到影響了。

3. 配置改變

Windows係統目前沒有標記任何與活動目錄(AD)相關的漏洞，但未來更新後，難保不會遭到利用AD或LDAP(輕量級目錄訪問協議)架構漏洞的攻擊。

4. 向後兼容

有時候某些配置會因為要保持係統向後兼容而保留，尤其是使用遺留脆弱加密相關算法的情況下。即便你的係統再也不使用這些密碼，攻擊者也依然可以利用它們。

上麵提到的例子中蘊含這一些經驗教訓：

結論

報告中看到誤報並非總是壞事。每個誤報都應審視其中潛在價值。畢竟，接受誤報，總比讓係統漏洞滿滿，更不失為一種安全操作。後者可是會導致信譽損失、員工情緒低落、長時間梳理審計日誌、努力控製潛在攻擊，以及恢複係統到安全狀態等等諸多不利後果的。

本文作者：nana

來源：51CTO

最後更新：2017-11-02 16:04:22

漏洞評估中“誤報”不可能避免 哪種處理方式最佳？