如何評鑑弱點評估系統

近幾年來影響最大、災情最嚴重的蠕蟲病毒是Code Red、SQL Slammer，及2003年的疾風、2004年的殺手蠕蟲病毒，它們具有相同的特性：都是利用網路服務的安全漏洞進行攻擊及感染。 利用安全漏洞進行傳染的蠕蟲通常會被大量報導，但很多駭客利用安全漏洞進行入侵與竊取機密的事件卻未得到注意。事實上，蠕蟲病毒作者和駭客對於利用Windows及Unix作業平台的安全漏洞有不同喜好度，可以歸納如下。
不同平台的威脅
Windows及Unix兩大作業系統平台分別存在不同的安全威脅（請參考圖1）：
1. Windows平台的威脅順序：病毒蠕蟲、駭客、木馬。Windows是病毒的最愛，由於用戶較多，適合快速及大量傳染。
2. Unix平台的威脅順序：駭客、木馬、病毒蠕蟲。Linux是駭客的最愛，由於Unix的修補程序較為繁瑣，許多Unix系統自安裝完成後便未做過修補或升級，而成為駭客練功目標。

評鑑弱點評估系統
弱點評估系統在進行安全漏洞掃描後，會產生風險評估報表及分析統計圖，但是這份報表能否協助管理者準確、快速地進行修補以消除安全弱點呢？這一套弱點評估系統的檢測結果是否可靠？功能是否齊備？雖然目前並沒有評鑑弱點評估系統的標準，不過這裡還是提出一些對弱點評估系統打分數的比較方式提供參考。
便利性
1. 安裝、檢測操作的簡易程度
2. 功能自訂及客製化的彈性程度
3. 檢測目標設定的彈性程度
4. 安全政策設定的彈性程度
5. 自動更新、排程檢測的程度
效能及能力
1. 通訊埠的掃描數及耗費時間
2. 檢測的弱點數及耗費時間
3. 辨識網路服務的準確度
4. 辨識作業系統的準確度
5. 弱點檢測的可靠度
報表與輸出
1. 報表分類及自訂的程度
2. 報表的容易理解程度
3. 項目及弱點容易找到的程度
4. 圖表及報表資訊的豐富程度
5. 報表及檢測檔輸出的彈性程度
弱點資料庫
1. 弱點資料庫的更新頻率
2. 新弱點的加入速度
3. 弱點描述、修補等內容實用度
4. 弱點的確認度 (由軟體原廠或國際安全組織所發佈)
5. 相容性程度 (可與其他安全產品對照之弱點編號)
以上二十個評鑑項目，每一項可以平均 5% 計算，或依不同的重視程度調整。

不同平台的檢測
使用弱點評估系統對Windows、Unix兩大作業平台進行熱門弱點測試，依據SANS Top 20 List所列出最具威脅的10種Windows弱點及10種Unix弱點設定政策(DSS可以使用“Top20”政策)，並對存在這些弱點的檢測目標進行測試。從測試結果可以了解該系統對兩大作業平台的基本檢測能力(確認了幾個弱點？誤判了幾個弱點？)。雖然用SANS Top 20 List對弱點評估系統進行測試比較並非完全公正客觀，也缺少了對Router、Switch、Printer Server等網路設備的測試，但可以作為基本判斷的參考。

木馬檢測的應用
弱點評估系統應用在檢測木馬程式時，可以分別對：1.「是否安裝有木馬程式？」2.「是否有木馬開啟對外部網路進行傳送？」兩個部分進行檢測，若能配合適當的判斷則能夠做得更仔細。例如：當木馬程式使用常見的通訊埠來偽裝時（例如53、80、443等通訊埠），可以從通訊埠掃描的Banner發覺異狀；如果在通訊埠80所執行的服務並非使用HTTP通訊協定，就可能是見不得光的服務所偽裝的。

調整與應用
弱點評估系統和防火牆、入侵偵測都算是安全管理的一個設備或工具，它們必須配合用戶的網路實際狀況來訂定政策，依照政策進行配置與設定後才能發揮真正的效能。尤其弱點評估系統更可以經由不同的「應用、調整」來進行不同程度的安全檢測，對於掌握網路安全狀態及降低安全威脅可以算是直接又有效。

本文作者為中華龍網總經理