四、查找检测漏洞的方法

上面介绍了检测漏洞的执行思路，下面介绍应该如何在真实系统环境下进行漏洞检测。这个工作通常使用漏洞评估扫描器完成。漏洞评估扫描器一般是运行漏洞评估软件的网络工具，或者运行在一个企业自己资产中的漏洞评估软件。

现在漏洞修复技术比过去发生了很大变化。修复技术已经从手工修复进入了自动化过程。本文中我们只考虑Windows系统和UNIX/Linux系统。

1．利用配置工具评估漏洞

许多组织已经在管理/配置工具上做了投资，常常利用这些工具做一些相当常规的工作，但是通过扩展这些工具来从我们的环境中提取漏洞数据。比如赛门铁克的产品（以前的Bind View，2005年被赛门铁克收购），能够帮助一个组织处理大部分日常的windows活动目录（AD）操作，也可以发现组织中的漏洞。为了更好地理解，下面看一个BindView的部署。

2．漏洞评估工具

一个好的工具最少要有的特征：低的误报率（false positives）、零漏报率(false negatives)、一个完整的检测数据库、对网络流量的影响小、直观的和可定制的报告引擎。

目前，很多漏洞扫描产品都被开发出来，不同的软件扫描漏洞的功能存在一定的差异，有些扫描软件还带有一定的入侵性质，例如X-Scan、Shadow Security Scanner和流光等。

下面介绍几个商业漏洞管理工具：

◆eEye digital Security

eEye Digital Security在漏洞研究中处于领导地位。它也开发了一套用来帮助进行漏洞管理的工具。

◆Symantec（BindView）

BindView的Compliance Manager是一个基于软件的解决方案，允许组织对比公司标准或者行业最好的经验来评佔资产，在大多数情况下不需要用到代理。

◆Attachmate（NetIQ，2006年被Attachmate收购）

NetIQ的Compliance套件是一个NetIQ的安全管理器和漏洞管理工具的组合，并且把漏洞扫描、补丁管理、配置修复和报告整合在一起。NetIQ漏洞管理器能够通过AutoSync技术让用户定义和维护配置策略模板、漏洞公告板和自动检测。它也有能力根据这些策略评估系统。

◆StillSecure

StiIISecure是VAM的制造商，是一个安全产品的集成套件，能够执行漏洞管理、终端符合性监控，以及入侵防御和检测。它也包含一个内置的工作流方案（可扩展漏洞修复工作流），这个方案能够自动地分配修复、进度安排、生命周期追踪和修复确认，所有维护详细的设备历史记录。

下面介绍几个开源工具：

◆主机发现工具nmap

Nmap是一个免费开源的网络搜索或安全审计工具。尽管它对单台主机工作非常好，但被设计为快速扫描大型网络。

◆漏洞扫描与配置扫描nessus

Tenable Network Security的Nessus是一个漏洞扫描和配置扫描工具。Nessus项目由Renaud Deraison开始于1998年，为了给网络社会提供一个免费的、强大的、最新的且好用的远程安全扫描器。Nessus是最好的免费网络漏洞扫描器并且无论如何在Unix上运行是最好的。它持续更新（超过11000种免费插件可用）。

◆配置和补丁扫描MBSA

Microsoft Base Security Analyzer（MBSA）是一个好用的工具，为专业人员设计以便帮助中小型企业依靠Microsft的安全建议来测定安全状态，并且也提供特定的修复指导。建立在Windows升级代理和Microsoft升级设施基础上，MBAS确保了和其他Microsoft管理产品的一致性，这些产品包括Microsoft Update（MU），Windows Server Update Services（WSUS），　systems management server（SMS）和Microsoft Operarations Manager（MOM）。

到目前为止，我们介绍了漏洞是什么，漏洞为企业带来的风险，以及检测漏洞的思路和方法。具体如何给企业中的系统打补丁，且听下回分解。

原文链接：http://os.51cto.com/art/201012/240664_2.htm