为了决定一个系统中是否有漏洞、在什么地方有漏洞以及这些漏洞可能被利用的方式及其造成的威胁,一个单位需要对网络中的计算机系统进行主动地漏洞确认,并尽量使此过程自动化。在互联网上,虽然公共的服务器对于数据通信极端重要,但它们也往往会被一些威胁因素造成潜在的安全问题。而漏洞扫描就是根据已知的漏洞数据库对目标系统检查,查看这些漏洞发生的可能性。而且它还应当生成一份扫描报告,据此企业或个人可以采取措施强化安全性。
有人认为,只有连接在互联网上的机器才需要扫描,这是一种错误的看法。漏洞扫描也应当包含对内部网络中没有与互联网连接的系统进行审计,目的是检查和评估欺诈性软件威胁,以及恶意的雇员造成的威胁。应当说,无论对内还是对外,漏洞扫描都有益处。
漏洞扫描可以找出安全缺陷,通过对系统实施测试找出其弱点。这一点许多人都重视,但许多单位仅仅将漏洞扫描看作是一个总体安全审计的局部而已,其表现就是一年内仅进行一两次漏洞扫描。这其中的风险极大,因为网络是一个动态变化的实体,特别是一些程序经常需要更新,一些新的软件可能经常需要安装到服务器上,这可能会给造成新的安全威胁。新的漏洞和程序缺陷几乎每天都在被发现。所以对于任何一个单位而言,应当经常进行漏洞扫描,应当将其作为一项常规的安全分析计划的重要部分。先下手为强,不要等到被“黑”了才后悔。。
“千里之堤,毁于蚁穴。”一个小小的漏洞造成一旦被攻击者发现,最终后果有可能是整个网络的瘫痪。因此作为管理员应当像黑客一样思考,时刻关注最新的安全技术和系统漏洞,并对照本单位的网络进行检查。
扫描漏洞离不开漏洞扫描器。总体而言,攻击者经常使用三类扫描工具,因此企业也应当重视以下三类扫描工具的使用:
1.网络扫描器:这是一种通用的扫描工具,它可以搜索一个局域网,从中查找潜在的漏洞。如GFI LANguard Network Security Scanner、Retina Network Security Scanner、SAINT Network Vulnerability Scanner等扫描器。
2.端口扫描器:即一种可以搜索网络查找计算机开放端口的软件,要知道攻击者可以将开放的端口作为其登录系统的入口。对主机实施端口扫描也就是扫描其监听端口。端口扫描分单扫和群扫两种。所谓单扫也就是对一台目标主机进行端口扫描,查找监听端口。所谓群扫也就是扫描多台主机,目的是查找某种特定的服务。例如,一个基于SQL的恶意蠕虫可以实施群扫来查找在TCP/UDP端口1433上监听的计算机。著名的端口扫描工具有,Nmap (Unix/Windows) 、Superscan (Windows) 、Scanmetender Standard (Windows 和GNU/Linux平台上都有) 、Unicornscan (Unix) 、nhs nohack scanner (Windows) 。
3.Web应用程序扫描程序:这种扫描工具通过Web前端可以与Web应用程序通信,从而可以确认Web应用程序中的安全缺陷。它工作起来就像是一个黑匣子测试器,也就是说它并不需要访问源代码。总之,企业可以依靠这种工具执行安全评估,来确认Web应用程序遭受恶意攻击的危险。著名的Web应用程序扫描工具有Nikto、Paros proxy、WebScarab 、WebInspect、Whisker/libwhisker、Burpsuite 、Acunetix Web Vulnerability Scanner 、Watchfire AppScan 、N-Stealth等
漏洞扫描工具可以帮助管理员查找系统中的缺陷,但并不能代替其工作。安全管理员需要做的工作还有很多,如漏洞扫描工具的及时升级、及时打补丁、设置正确的用户权限等。要运用工具,而不能为工具所累。
