牛盾云安全牛盾云安全

新闻

新闻

新闻 / NSA:全球没有一款漏洞扫描工具真正有效
管理员 管理员

NSA:全球没有一款漏洞扫描工具真正有效

安全播报 - 2015-12-01
分享到:

“全球没有一款漏洞扫描工具真正有效” – 近日由美国安全领域的投资咨询机构Cybersecurity Ventures发表的2015年Q3季度关于网络安全业务的报告中评论漏洞扫描工具已逐渐力不从心,而安全托管服务市场则正在快速增长。正所谓英雄所见略同,不久前结束的2015中国系统架构师大会,以及2015全球互联网技术大会上牛盾云安全曾多次强调:“漏洞扫描器通常是通过爬虫抓取网站url去进行漏洞探测,通常我们只需要填写目标域名就可以帮助我们发现很多明显的web安全漏洞。但是因为大部分的漏洞扫描器需要通过爬虫抓取网站连接参数,然后进行漏洞测试,这样的模式会存在一些爬虫深度、表单和js交互能力的挑战,造成请求地址和参数抓取不完整,另外缺少加密数据测试等问题,最终造成部分安全漏洞被漏报,也会有业务增长带来新漏洞难以实时监控,加上绝大部分都是定期扫描,这样就会存在给关注漏洞的攻击者放开了利用漏洞完成攻击的时间窗口…”。牛盾云安全所倡导的提供实时安全防护和扫描的新模式无疑是互联网安全极好的补充。


那么,漏洞扫描瓶颈何在,我们先来看看业内高能如何评价:

Ø  Applied Visions CEO表示说,安全行业大多产品服务只检测扫描那些暴露的已知漏洞,但对于由低水平软件开发导致的漏洞过于忽略。
Ø  SAP品牌总监近日在Fobres博客中写道,很多企业在网络层安全投入巨大,但其实84%网络攻击发生在应用层。
Ø  CNET最近报道称程序员很可能将安全漏洞拷贝到其他软件,因为他们并不完全完成全部代码,而是更多采用设计好的模块,但往往不会从对代码进行安全审计,这就为黑客留下了通用的后门。
Ø  Code Dx CEO认为,大多数软件开发者和安全分析师没有意识到,如果只是使用了一个安全测试工具,即使是当前市场最好的一个,也不能检测出绝大多数漏洞,这也是该领域隐藏的秘密——没有一个安全开发工具足够好。
Ø  美国国家安全局(NSA)的一项研究表明,一般的应用安全测试工具只能覆盖13类漏洞中的8种,即61.5%的覆盖率。而对于平均每个单类漏洞也只能发现22%的漏洞,综合下来,漏洞发现率只有14%。
Ø  Code Dx CEO认为,NSA的的研究揭破了很多软件开发者对其漏洞扫描工具的信任幻象,80%以上的漏洞没法扫描到,任何组织都无法接受这样效果的工具。

Cybersecurity的Q3报告中还指出,黑客活动利用应用漏洞开始盛行,云应用的兴起以及广泛使用的开源CMS框架创造了高漏洞网站和SaaS应用的温床,IT运维部门也许可以保持底层系统/网路安全攻击,但由软件开发者构建的应用组件充斥了大量漏洞,令人防不胜防。95%的主流IT组织表示在其IT系统中的关键任务中,直接或者间接采用了开源软件,到2020年,采用率还会有快速提升。譬如2014心脏滴血的漏洞,Cisco安全业务主管、首席工程师Jason Brvenik调查了全球2000家企业后发现其中四分之三在心脏滴血漏洞被发现的一年后依然没有任何改进补救。


虽然开源软件带来了不少安全风险,但漏洞如此泛滥还在于漏洞管理服务的匮乏,无论从意识还是行动上。毕竟漏洞管理是一块需要防护者(安全运维小组)和构建者(开发工程师)共同工作来保证严重安全漏洞得以最快修复的关键领域。据“SANS 2015应用安全报告”数据,26%的安全部门需要花费每7天中的2天来为关键应用打补丁,22%的安全部门30天中有8天、14%的安全部门有3个月中的31天用于妥善部署补丁。SANS报告还显示,接近一半的公司对于产品中的应用漏洞只是用很草率的方式快速修复或者用短期妥协方法处理如下线某个功能特性。要知道并非所有公司都有独立的安全部门,也并非有足够的开销能够支持其持续运营。仅2014年美国国家漏洞数据库中就新添加了7038个新安全漏洞,平均每天19个,且24%为高危漏洞。大多数企业缺乏安全专家来管理来自不同供应商、防不胜防的威胁、不断更新的安全法规组成的安全解决方案,而这种缺乏也在促进安全业务转向第三方安全托管服务机构。


IDC认为,企业安全支出中,安全即服务(SaaS)必将占据很大份额,2015年底,这个比例为15%,而到2018年,将上升至33%。在最近的Gartner 安全&风险管理峰会上,Gartner分析师发现,很大比例的企业机构正在改变其安全资源分配观念,从偏操作的安全技术例如安全设备管理和监控,转变偏巩固及应急响应,这种转变也带来安全托管服务的快速增长。


正所谓工欲善其事必先利其器,投资规模高速增长的安全托管服务市场,势必烽烟四起群雄割据,谁能最终问鼎中原,除了对市场变化深刻洞悉,自身实力自然不可小觑。代表着高水准安全托管服务的牛盾云安全绝对是逐鹿中原的一匹黑马,对于行业情势变幻早已了然于心,先不论率先支持SSL站点的托管服务,此前早已积累了丰富经验的CDN加速,云waf,DDoS/CC防护等技术为其打下坚实的基础,加上结合了智能调度系统,海量配置管理与精准的业务数据分析,我们完全有理由相信牛盾云安全即将迎来属于它的黄金时代。


新闻 / NSA:全球没有一款漏洞扫描工具真正有效