説明
分離された弱点の評価は、興味深い戦略を採用しています。ネットワークトラフィックをチェックする際に、ハブの動作フレームワーク、ポート、および利点を注文し、NessusやQualysのような機能しているスキャンでは、ポートが妨害されている、または別のホストがWebにアクセスしました。
次に、この情報は、たとえばIDSアラームに関連して偽のポジティブを減らすなど、セキュリティの機会に設定を与えることができます。
関与のない調査は、2つの重要なポイントを提供します。1つ目は知覚可能性です。組織で実行されていると思われるものと実際に実行されているものとの間には、定期的に大きな穴があります。組織とホストの両方のスキャンは、彼らが見たものだけを報告します。スキャンは、組織およびホストのファイアウォールによって妨害されています。いずれにせよ、ホストが稼働しているとき、蓄積されたデータはあちこちでフラグチェックといくつかの非侵襲的なセットアップチェックに制限されています。スキャンにホスト認証が含まれている場合、より多くのデータを要求できますが、偽のポジティブは大きな問題であり、実際にはすべてが表示されない場合があります。さらに、自己紹介するルートキットは、スキャンされていないポートで実行される場合や、UDPのために、不規則なテストに反応しない場合があります。機能している弱点評価スキャンがそれを認識しないという偶然の機会に、それは認識しません。
ホストファイアウォールはワーカーPCでも定期的ですが、出力が機能している反乱軍のワーカーまたはPCをどのように識別しますか？非アクティブなセンサーは、組織に訪問しているという偶然の機会に異端者を見る可能性があります。それはスキャナーがあなたに与えない知覚可能性です。切り離されたセンサーも同様に、一般的にフィルタリングされていないポートとの間のアクションを認識し、センサーがトラフィックを解釈して順序付けできる場合、非標準のポート使用率を識別できます。たとえば、基本的なストリーム検査では、ポート80のSSHとtelnetは区別されませんが、従来の調査では区別される場合があります。
非アクティブな調査のその後の重要な有利な位置は、それが非侵襲的であるということです---それは組織のタスクに侵入しません。動的弱点評価スキャナーは目障りであり、設計者が停電の可能性を制限しようとしているにもかかわらず、管理を妨害する可能性があります。いずれにせよ、疑わしい安全なスイープを利用して、スイッチ、NTP管理、およびその他の基本的なフレームワークセグメントの大規模なグループを削除しました。かなり前に、nmapポート出力でセンタースイッチを2回ボブしました。