其实国内做漏洞扫描的不算很多,目前世面上常见的扫描,无非三类:
1、综合扫描
代表厂家:绿盟、启明星辰、榕基、安氏领信,主要以操作系统、网络系统等的漏洞评估为主。绿盟、榕基的有WEB扫描模块。
2、独立扫描
代表厂家:安恒信息、诺赛、安域领创、知道创宇,以WEB扫描为主;另外,安恒信息、安信通、安华金和还都有数据库扫描。
此前曾经和大成天下的吴鲁加聊过,问,为何X-Scan的商业版——游刃,不做了?他说市场需求量太小。最近游侠和一些做漏洞扫描的聊天,也慢慢发现,这东西的确不好做。
大家知道,做风险评估的,都会有工具扫描的任务,但是,现在都在用什么呢?游侠知道一些本身厂家自己做漏洞扫描的,都在用Nessus!因为自家的更新太慢了。或者说,自家的用的就是Nessus的plug-in,换来换去意思不大。
昨晚nosec的朋友出差到西安,聊了下。说到做的不错的pangolin和Jsky,说真的,虽然平时在这个圈子里面消息也算是较为灵通,但是在西安真没遇到多少要买WEB扫描的。
很多客户,会担心网站的安全性。但是此前我部门和几个市的政府单位有合作,走了几十家市级、区县政府单位,发现对扫描的需求是有的,但是肯定不会买。因为很多单位1年的信息化费用相当有限,压根不足以买评估软件。
一套主机扫描、WEB扫描,一般都会做到十几万,这个价格对客户而言,太高了。就像McAfee等厂家,都把其漏洞评估产品Foundstone划入大型企业的范畴。那么,对于信息化发展水平较低的区县级政府、市级单位,则不会购买。这样一来,如果省级单位购买,一个省能有多少?大家都知道,说真的,不会有多少。
军工企业,很多都购买了漏洞扫描设备,一般也就是文章开头说的这三家。但是用到多少?很多都是上级检查的时候,才扫描几次,作用多大?真没多大。漏洞扫描作为风险评估、法规遵从的辅助设备,实在是没有发挥其重要作用。
WEB扫描更悲惨,西北几个省,貌似都没有很火的网站,所以……当然很多网站还是存在安全需求的,但是他们宁可找安全公司做整体安全服务。如找某厂家,要求做:风险评估、安全加固、安全监控等一揽子解决方案,而不是单独买一套产品自己扫描,因为即时扫描出来问题,自己也搞不定。还得去找人……
突然想到,某保密检查工具,当年3000块钱一套的时候,几乎成了军工、政府的标配产品。后来这类产品做调整,其公开报价一不同的厂家,都做到了6-12万,并且给代理商的折扣也不算大,所以现在很多都还是空白……若不是国家政策强制,有几个买呢?
大家看看国产1G防火墙和国外1G防火墙的价格,就知道,为什么国产的做不大。
当然,有时候想想,也挺悲哀。因为即使漏洞扫描的价格降下来,又有多少人去买?毕竟基层维护人员的技术实力还比较差。还停留在:有漏洞怎么办?什么是SQL注入?的阶段。指望他们主动去买,显然不大现实。
问过很多做风险评估的,用的工具是Nessus的Home版,WEB扫描是用的Crack版。并且几乎如商量好一般,都在用I厂家的Crack,因为只有这个,可以直接导出中文报告……
网络安全,任重道远。
漏洞扫描,路途艰险。
作者:张百川(网路游侠)
网站:https://www.youxia.org
转载请注明来源!谢谢合作。
