本文來自微信公眾號(hào)“嘶吼專業(yè)版”,作者/胡金魚。
網(wǎng)絡(luò)安全市場(chǎng)充斥著各種用于檢測(cè)第三方應(yīng)用程序漏洞的昂貴解決方案,但對(duì)于規(guī)模較小的安全企業(yè)來說,免費(fèi)的漏洞掃描程序提供了一種實(shí)用的替代方案。
如何選擇免費(fèi)的漏洞掃描器?有行業(yè)人士給出了答案。在本文中,我們將詳細(xì)分析關(guān)于選擇免費(fèi)漏洞掃描器的一些建議。
1.評(píng)估您的環(huán)境規(guī)模
可掃描端點(diǎn)數(shù)量的限制對(duì)于免費(fèi)漏洞掃描程序來說很常見。雖然擁有少量設(shè)備的小型企業(yè)可能會(huì)足夠,但擁有數(shù)百個(gè)端點(diǎn)的大型企業(yè)可能會(huì)超出這些限制。
免費(fèi)工具常常難以應(yīng)對(duì)大型網(wǎng)絡(luò),而選擇一種能夠在不影響效率的情況下處理大規(guī)模環(huán)境的工具非常重要,特別是對(duì)于擁有廣泛業(yè)務(wù)的企業(yè)來說,有效擴(kuò)展的能力至關(guān)重要。
2.了解掃描要求
不同的掃描儀有不同的要求。一些掃描儀需要在每個(gè)端點(diǎn)上安裝代理才能深入了解,而其他掃描儀則進(jìn)行侵入性較小的遠(yuǎn)程掃描。
掃描儀需要最大限度地降低代理安裝的復(fù)雜性,特別是在大型且多樣化的IT環(huán)境中。通常,當(dāng)選擇免費(fèi)工具時(shí),可能需要在本地運(yùn)行該軟件或?qū)⑵浼傻骄W(wǎng)絡(luò)中。對(duì)于遠(yuǎn)程工作和不斷變化的目標(biāo)來說,這就變得具有挑戰(zhàn)性。
因此,如何部署代理來收集必要的信息是必須要考慮的問題,使用免費(fèi)工具并不是那么簡(jiǎn)單。
3.評(píng)估報(bào)告能力
漏洞掃描器的有效性很大程度上取決于其報(bào)告功能,但免費(fèi)的漏洞掃描器可能提供忽略關(guān)鍵修復(fù)細(xì)節(jié)的基本報(bào)告。
用戶必須考慮獲得數(shù)據(jù)后如何利用這些數(shù)據(jù)。有些工具可以顯示數(shù)據(jù),但提供有限的報(bào)告或反饋功能,這是一個(gè)重大限制。
4.檢查持續(xù)支持
網(wǎng)絡(luò)威脅迅速發(fā)展,掃描儀也必須與時(shí)俱進(jìn)。OWASP ZAP等工具會(huì)經(jīng)常更新,但要求用戶手動(dòng)掌握這些更新,可能會(huì)增加團(tuán)隊(duì)的工作量。
如果沒有持續(xù)的支持,隨著新漏洞的發(fā)現(xiàn),免費(fèi)工具就有可能變得過時(shí)。所以,為了確保不會(huì)出現(xiàn)應(yīng)對(duì)不了新出現(xiàn)的威脅的局面,用戶應(yīng)該確認(rèn)免費(fèi)的漏洞掃描程序經(jīng)常更新其漏洞數(shù)據(jù)庫的流程。
5.集成能力
與其他安全工具的集成至關(guān)重要,例如有助于漏洞識(shí)別和修復(fù)的工具。
重要的是要有一個(gè)掃描器,不僅可以檢測(cè)漏洞,還可以提供修復(fù)指導(dǎo)。但是許多免費(fèi)工具不會(huì)自動(dòng)修補(bǔ)掃描期間發(fā)現(xiàn)的漏洞,因?yàn)樾迯?fù)是一個(gè)單獨(dú)的過程。它和補(bǔ)丁管理集成對(duì)于輕松修復(fù)發(fā)現(xiàn)的任何漏洞都至關(guān)重要。
6.關(guān)注隱性成本
配置、更新和掌握免費(fèi)漏洞掃描程序所涉及的勞動(dòng)力是一筆巨大的投資。使用“免費(fèi)”工具的隱性勞動(dòng)力成本,可能會(huì)影響團(tuán)隊(duì)效率。維護(hù)掃描和更新工具所需的時(shí)間和勞動(dòng)力可能會(huì)很大,免費(fèi)漏洞掃描程序的相關(guān)成本經(jīng)常被忽視。它們可能不需要直接的財(cái)務(wù)投資,但其有效運(yùn)作所需的人力和時(shí)間卻是大量的。