為了決定一個系統中是否有漏洞、在什麼地方有漏洞以及這些漏洞可能被利用的方式及其造成的威脅,一個單位需要對網絡中的計算機系統進行主動地漏洞確認,並盡量使此過程自動化。在互聯網上,雖然公共的服務器對於數據通信極端重要,但它們也往往會被一些威脅因素造成潛在的安全問題。而漏洞掃描就是根據已知的漏洞數據庫對目標系統檢查,查看這些漏洞發生的可能性。而且它還應當生成一份掃描報告,據此企業或個人可以采取措施強化安全性。
有人認為,只有連接在互聯網上的機器才需要掃描,這是一種錯誤的看法。漏洞掃描也應當包含對內部網絡中沒有與互聯網連接的系統進行審計,目的是檢查和評估欺詐性軟件威脅,以及惡意的雇員造成的威脅。應當說,無論對內還是對外,漏洞掃描都有益處。
漏洞掃描可以找出安全缺陷,通過對系統實施測試找出其弱點。這一點許多人都重視,但許多單位僅僅將漏洞掃描看作是一個總體安全審計的局部而 已,其表現就是一年內僅進行一兩次漏洞掃描。這其中的風險極大,因為網絡是一個動態變化的實體,特別是一些程序經常需要更新,一些新的軟件可能經常需要安 裝到服務器上,這可能會給造成新的安全威脅。新的漏洞和程序缺陷幾乎每天都在被發現。所以對於任何一個單位而言,應當經常進行漏洞掃描,應當將其作為一項 常規的安全分析計劃的重要部分。先下手為強,不要等到被“黑”了才後悔。
“千裡之堤,毀於蟻穴。”一個小小的漏洞造成一旦被攻擊者發現,最終後果有可能是整個網絡的癱瘓。因此作為管理員應當像黑客一樣思考,時刻關注最新的安全技術和系統漏洞,並對照本單位的網絡進行檢查。
掃描漏洞離不開漏洞掃描器。總體而言,攻擊者經常使用三類掃描工具,因此企業也應當重視以下三類掃描工具的使用:
1.網絡掃描器:這是一種通用的掃描工具,它可以搜索一個局域網,從中查找潛在的漏洞。如GFI LANguard Network Security Scanner、Retina Network Security Scanner、SAINT Network Vulnerability Scanner等掃描器。
2.端口掃描器:即一種可以搜索網絡查找計算機開放端口的軟件,要知道攻擊者可以將開放的端口作為其登錄系統的入口。對主機實施端口掃描也就 是掃描其監聽端口。端口掃描分單掃和群掃兩種。所謂單掃也就是對一台目標主機進行端口掃描,查找監聽端口。所謂群掃也就是掃描多台主機,目的是查找某種特 定的服務。例如,一個基於SQL的惡意蠕蟲可以實施群掃來查找在TCP/UDP端口1433上監聽的計算機。著名的端口掃描工具有,Nmap (Unix/Windows) 、Superscan (Windows) 、Scanmetender Standard (Windows 和GNU/Linux平台上都有) 、Unicornscan (Unix) 、nhs nohack scanner (Windows) 。
3.Web應用程序掃描程序:這種掃描工具通過Web前端可以與Web應用程序通信,從而可以確認Web應用程序中的安全缺陷。它工作起來就 像是一個黑匣子測試器,也就是說它並不需要訪問源代碼。總之,企業可以依靠這種工具執行安全評估,來確認Web應用程序遭受惡意攻擊的危險。著名的Web 應用程序掃描工具有Nikto、Paros proxy、WebScarab 、WebInspect、Whisker/libwhisker、Burpsuite 、Acunetix Web Vulnerability Scanner 、Watchfire AppScan 、N-Stealth等
漏洞掃描工具可以幫助管理員查找系統中的缺陷,但並不能代替其工作。安全管理員需要做的工作還有很多,如漏洞掃描工具的及時升級、及時打補丁、設置正確的用戶權限等。要運用工具,而不能為工具所累。