漏洞检测类产品核心指标浅析.docVIP

漏洞检测类产品核心指标浅析 绿盟科技董明武 日前，随着国家信息安全风险评估和国家安全等级保护工作的逐步展开和深入，信息安 全风险评估工作正在一些行业屮紧张地进行。实际的评估工作都会涉及到安全漏洞的风险分 析，因此也就会涉及到漏洞检测类产品的选型问题。用户在缺乏对产品深入了解的情况下经 常面临“拍脑袋”的决策风险。笔者在最近的产品选型过程屮也遇到了同样的问题，于是对 漏洞检测类的产品选型做了一些探索和硏究。 厂商漏洞基础研究能力 通常情况下，购买产品首先要考虑厂商的品牌和技术实力，重点是该厂商的白主研发能 力和技术支持能力。漏洞检测类产品也不例外，首先要考虑的就是厂商的漏洞基础研究能力。 纵观国内外领先的漏洞检测类产品厂商，每个产品的背后都有一大批“默默无闻”的漏 洞研究人员,从国外ISS的X-Force,到国内的绿盟科技NSFOCUS Security Team安全研究 小组，这些研究人员都是漏洞检测产品坚实的后盾，不仅是产品质量的保证，也是产品检测 规则升级的有力保障。 目前，国内的产品屮除了 iss、绿盟科技等少数儿家有H主研究、发现漏洞的能力外， 其他厂商都没有相应的技术团队作为技术支撑，多数厂商直接采用开源项目Nessus的漏洞 知识库及其免费插件。2005年11月，Nessus放弃GPL协议，宣布其版本正式商业化， 给很多基于Nessus开发的产品带來不小的冲击。 厂商的漏洞基础硏究能力有两个可测试指标： 自主发现的安全漏洞列表 现在很多厂商宣称白己有白主研究漏洞的团队，但如果让他们拿出该团队的研究成果 吋，却无以应对。所以，验证漏洞基础研究能力的第一个方法，就是让其提供自主发现的安 全漏洞列表，同吋要关注其发现的安全漏洞持续性（首次发现的漏洞和每年发现漏洞的情 况）。 近一年来的升级包及升级说明 验证漏洞基础硏究能力的第二个方法，就是首先让厂商提供近-年來的升级包和升级说 明，然后登录到产品升级网站查看升级包和升级说明，对比二者是否一致，最后就是将升级 说明屮的漏洞列表和业界领先的厂商对比，如果偏差较人则说明升级内容和升级质最较差。 用户和厂商都很清楚，漏洞检测类产品的检测规则升级是非常重要的。但很多厂商都把 用户引入另一-个课区——仅仅关注升级周期而忽视了对升级内容和升级质量的关注。某些厂 商宣称每周都进行升级，但是升级的内容和升级质最却糟糕得“一?塌糊涂”，只在其网站上 发布升级通告，没有任何的升级文件和升级说明。还有一些厂商走了另外一个“极端”，每 年的规则升级包“寥寥无儿”，也没有固定的升级周期。以上两种情况还有一个通病：没有 重大安全漏洞紧急响应升级。事实上，业界领先的厂商（如TSS 年的规则升级包“寥寥无儿”，也没有固定的升级周期。以上两种情况还有一个通病：没有 重大安全漏洞紧急响应升级。事实上，业界领先的厂商（如TSS和绿盟科技）的升级周期为 每月两次，其屮也有紧急的漏洞响应升级，并且在网站上能够获得升级文件和升级说明。 产品检测性能 漏洞检测类产品的检测性能包含三个关键因索：准确性（Accuracy）.速度（Speed） 和覆盖（Coverage）。三者之间的关系可以用等边三角形的三条边來表示，互相联系、互相 制约，只有在三者之间找到合适的结合点，才能使产品的性能达到最佳。 准确性（Accuracy） 准确性是衡最漏洞检测机制的一个重要指标，主要是指产品的谋报和漏报。 根据公安部计算机信息系统安全产品质量监督检验中心发布的《信息安全技术主机安全 漏洞扫描产品检验规范》，课报和漏报的定义如下： 课报（False Positives）:由于扫描器程序本身的缺陷或不完善性，而输岀错谋的扫 描结果。 漏报（False Negatives）:由于扫描器程序本身的缺陷或不完善性，导致某些实际存 在的系统漏洞或缺陷没有被探测到的现象。 漏洞检测产品的准确性对用户来说也是非常重要的，只有通过实际的测试才能看出具体 的产品差距，同时,通过测试也能反映出厂商的技术支持和服务响应能力。厂商如果没有基 础漏洞研究能力，那么漏洞识别的准确性肯定得不到保障;如果厂商犬多采用的是免费插件, 那么这些插件质量的参差不齐，也会导致检测结果存在人量的漏报和谋报，其至造成被扫描 目标的崩溃。 提示：谋报和漏报是漏洞检测类产品最难测试的技术指标，与检测产品本身（速度和覆 盖）、被检测日标系统配置以及所处的环境有着很大的关系。 速度（Speed） 速度是单位时间内检测目标系统的数量，是一个平均值。该指标在用户进行人规模的检 测时非常重要。 扫描速度是衡量漏洞检测产品检测引擎的效率，在对单个日标进行扫描时，不同产品之 间的差异不人，但是在进行较人规模的扫描时，差异会比较明显，如扫描一个C类范囤的地 址或一个B类范囤的地址。 提示：扫描速度可