脆弱性扫描器不同于入侵检测系统,因为前者搜索的是静态配置,而后者搜索的是瞬时误用或异常情况。脆弱性扫描器可能会通过检查一个远程系统上的可用服务和配置,来搜索一个已知的NFS脆弱性。处理同样脆弱性的入侵检测系统只有在攻击者试图利用一项脆弱性时才会报告脆弱性的存在。
脆弱性扫描器(不论是网络扫描器还是主机扫描器)使企业有机会在故障出现之前将其修复,而不是对一项已经进行的入侵或误用情况作出反应。入侵检测系统检查的是正在进行的入侵活动,而脆弱性扫描器可以让用户首先防止入侵。脆弱性扫描器也许对那些没有很好的事件响应能力的用户会有帮助。
网络脆弱性扫描器
网络脆弱性扫描器通过检查远程系统上的网络接口,以远程方式进行操作。它搜索在远程机器上运行的脆弱服务,并报告可能存在的脆弱性。例如,rexd是一项脆弱服务,网络脆弱性扫描器将试图与目标系统上的rexd服务相连。如果连接成功,扫描器将会报告rexd脆弱性。
由于网络脆弱性扫描器能够从网络上的单一机器中运行,所以安装它不会影响其他机器的配置管理。这些扫描器经常被审计员和安全部门使用,因为它们能够提供给“局外人”对计算机或网络中的安全漏洞的看法。
优点
网络脆弱性扫描能够报告各种目标体系结构。有些是利用路由器来工作,有些是利用Unix系统来工作,还有一些是利用NT或其他Windows平台工作。
网络脆弱性扫描器通常非常容易安装和使用。和通常需要软件安装或重新配置的基于主机的系统不一样,基于网络的系统可以放在网络上。只需将接口插入交换机并启动机器就行了。
网络系统中的GUI往往相当直观,这意味着初级人员就能监控系统,如果出现异常情况可以呼叫更多的高级分析人员。
缺点
网络脆弱性扫描器是几乎完全基于特征的系统。和基于特征的入侵检测系统一样,基于特征的脆弱性扫描器只能检测它能通过程序识别的那些脆弱性。如果出现新的脆弱性(这种事情经常发生),攻击者在厂商更新特征(以及用户下载并安装新的特征)之前就有攻击的机会。如果脆弱性仍被保留,那么系统就可能在很长的时间里容易受到攻击。
如果用户对脆弱性特征像过去对病毒特征一样粗心大意,那么许多企业就容易受到攻击,即使它们定期运行脆弱性扫描器。最近的分析显示,90%的运行IIS的Web服务器仍然容易出现非常严重的安全脆弱性,厂商为此已经提供了修补程序和安全顾问。脆弱性扫描器只能指出可能存在的问题;解决这些问题仍然要靠企业自己。
网络脆弱性扫描器的另一个潜在问题是,“脆弱性”概念包含其他一些松散定义的概念,如风险、威胁、可接受性和预计的攻击者技能。由于这些因素都因用户而异,所以某项配置代表一项“脆弱性”的程度也因用户而异。
当脆弱性扫描器报告某项脆弱性时,企业的网络或操作人员必须根据该企业的操作环境来对报告进行评估。那些脆弱性也许在该企业的环境里不会构成为一项不可接受的风险,或者说这项风险也许是被商业需求强加给该企业的。
我们知道一些脆弱性扫描器把目标系统给毁了。某些IP工具不够健壮,不能处理许多同时的连接或者拥有异常标记组合的IP包。例如,一次过分的端口扫描所生成的通信量有时可能使机器瘫痪。
最后,网络脆弱性扫描器往往包含大量脆弱性数据。如果任何人闯入了扫描器系统,那么破坏网络上的大部分其他的机器就如同儿童游戏一样容易。所以要保护扫描器,防止未经授权使用扫描数据。
主机脆弱性扫描器
主机脆弱性扫描器与网络脆弱性扫描器不同,因为它完全局限于本地操作系统。网络脆弱性扫描器需要能够从网络上访问目标机器,以便它可以运行;而主机脆弱性扫描器则不需要这样。
主机脆弱性扫描器是安装在一个特殊操作系统上的软件包。一旦安装了软件,它就能被配置成在白天或晚上的任何时候运行。通常,由这种工具进行的扫描被安排在低优先级上运行,以减少扫描对生产工作的影响。
优点
主机脆弱性扫描器对特定操作系统而言往往更加协调、更加精确。它可以经常告诉用户用哪些修补程序来修复被确认的脆弱性,而网络扫描器有时只提供一般的指导方针。在考虑购买哪个产品时,研究一下你的特定操作系统的抽样报告,以确定这些报告中包含了多少信息。报告的广度和深度应当是一项选择标准。
主机脆弱性扫描器在运行时不消耗网络带宽。所有的处理工作只限于本地主机系统。
主机脆弱性扫描器不像网络扫描器那样可能使目标系统上的IP堆栈暂停。某些操作系统有一些与网络接口有关的、薄弱的或执行较差的IP堆栈。发送大量的通信量(像端口扫描器那样)或者异常的TCP头部标记可能会使接口暂停,这就需要重新启动。
主机脆弱性扫描器不太可能被一个成功的入侵者用来对付你。黑客如果闯入了一个系统并发现了一个网络脆弱性扫描器或者来自该扫描器的报告,可能会使用这项工具或这些报告来攻击你的企业内的其他系统。基于主机的工具提供的可用于扩充攻击范围的信息要少得多;也就是说,基于主机的工具要比基于网络的工具划分得更好。
缺点
主机脆弱性扫描器也是基于特征的。它搜索已知危险的系统配置,并报告一种减少那些特殊威胁的“食谱式”方法。本地系统步骤和操作要求可能需要在发现任何特定脆弱性并对其采取措施时有灵活性。
安装主机脆弱性扫描器要求系统管理员的合作。由于该软件在运行时通常拥有特权,所以每台机器的系统管理员应当接受该工具的目标和配置。在许多企业里,这可能是一很难协调的任务。
与对待任何基于主机的系统一样,攻击者可以修改脆弱性扫描工具,使它不报告攻击者希望利用的脆弱性。这里有一项重要结论,即脆弱性扫描工具不能保护一个在安装扫描工具时受到破坏的系统。
