51CTO首屆中國APP創新評選大賽正在招募>>

NCC小組安全工程師Clint Gibler表示，雖然全自動漏洞掃描器大多數警報都是錯誤的，但是這種手段還是比企業自己手動操作掃描要廉價不少。

印度國產安全會議：Nullcon

在印度果阿(Goa)的Nullcon安全會議上，Gibler為來自10個不同工業部門的百位NCC客戶介紹了一款未命名的全自動掃描器。

這種掃描器掃描出了大約90萬的安全紅色警報，但是人們發現在一些區域中存在89%的誤報。即使是掃描器表現最好的時候也有50%的誤報率。

這項調查是在2014年2月至2015年5月之間實施的，由NCC小組員工對所有公司進行手動漏洞掃描。

Gibler在Nullcon會議上表示，雖然他覺得處理誤報的代價可能是巨大的，但是自動掃描器對于大多數公司來說仍舊是值得的選擇的，他的論斷是基于這一數據：一名安全工程師的工資是7.5萬美元，但是評估一個自動掃描器發現的漏洞只需要不到一分鐘。

Gibler認為：

“人們浪費大量時間來審批這些評分在1到9的誤報。”

最好的情況就是你支付1千美元給員工去花時間審核這些問題(其中包括了真正存在的漏洞);糟糕的情況就是你花費了1萬到1.6萬美元去審核這些問題。大多數人在購買工具時只看價格，而不會考慮潛在因素，那就是審查這些結果要花費多長時間，而這些結果中又有多少是正確的。

自動掃描工具價值猶存

然而，Gibler還告訴Vulture South：

“這些自動掃描工具還是很有價值的，因為它們與價格昂貴的滲透測試之間架起了橋梁。我認為它們仍舊是有用的，將來更是如此。”

Gibler在通知客戶發現漏洞之后企業往往還要花費10到20個星期的時間才會進行修補，有的甚至會拖到一年后再修補。在NCC進行的9000次漏洞測試中，發現自動掃描沒有掃描到的最大的一樁漏洞是1萬個跨站點腳本漏洞。

受到結果影響的主要是休閑娛樂、媒體產業(25769個漏洞)以及公共教育部門(15550個漏洞)。

Gibler認為公司沒有必要優先修復高危漏洞，從而擱置了低風險的漏洞。

【編輯推薦】