NCC小組安全工程師Clint Gibler表示，雖然全自動漏洞掃描器大多數(shù)警報都是錯誤的，但是這種手段還是比企業(yè)自己手動操作掃描要廉價不少。

[[164011]]

印度國產(chǎn)安全會議：Nullcon

在印度果阿(Goa)的Nullcon安全會議上，Gibler為來自10個不同工業(yè)部門的百位NCC客戶介紹了一款未命名的全自動掃描器。

這種掃描器掃描出了大約90萬的安全紅色警報，但是人們發(fā)現(xiàn)在一些區(qū)域中存在89%的誤報。即使是掃描器表現(xiàn)***的時候也有50%的誤報率。

這項(xiàng)調(diào)查是在2014年2月至2015年5月之間實(shí)施的，由NCC小組員工對所有公司進(jìn)行手動漏洞掃描。

Gibler在Nullcon會議上表示，雖然他覺得處理誤報的代價可能是巨大的，但是自動掃描器對于大多數(shù)公司來說仍舊是值得的選擇的，他的論斷是基于這一數(shù)據(jù)：一名安全工程師的工資是7.5萬美元，但是評估一個自動掃描器發(fā)現(xiàn)的漏洞只需要不到一分鐘。

Gibler認(rèn)為：

“人們浪費(fèi)大量時間來審批這些評分在1到9的誤報。”

***的情況就是你支付1千美元給員工去花時間審核這些問題(其中包括了真正存在的漏洞);糟糕的情況就是你花費(fèi)了1萬到1.6萬美元去審核這些問題。大多數(shù)人在購買工具時只看價格，而不會考慮潛在因素，那就是審查這些結(jié)果要花費(fèi)多長時間，而這些結(jié)果中又有多少是正確的。

自動掃描工具價值猶存

然而，Gibler還告訴Vulture South：

“這些自動掃描工具還是很有價值的，因?yàn)樗鼈兣c價格昂貴的滲透測試之間架起了橋梁。我認(rèn)為它們?nèi)耘f是有用的，將來更是如此。”

Gibler在通知客戶發(fā)現(xiàn)漏洞之后企業(yè)往往還要花費(fèi)10到20個星期的時間才會進(jìn)行修補(bǔ)，有的甚至?xí)系揭荒旰笤傩扪a(bǔ)。在NCC進(jìn)行的9000次漏洞測試中，發(fā)現(xiàn)自動掃描沒有掃描到的***的一樁漏洞是1萬個跨站點(diǎn)腳本漏洞。

受到結(jié)果影響的主要是休閑娛樂、媒體產(chǎn)業(yè)(25769個漏洞)以及公共教育部門(15550個漏洞)。

Gibler認(rèn)為公司沒有必要優(yōu)先修復(fù)高危漏洞，從而擱置了低風(fēng)險的漏洞。