新闻链接：http://netsecurity.51cto.com/art/201603/507461.htm
新闻时间：2016-03-17 11:44
新闻正文： NCC小组安全工程师Clint Gibler表示，虽然全自动漏洞扫描器大多数警报都是错误的，但是这种手段还是比企业自己手动操作扫描要廉价不少。
在印度果阿(Goa)的Nullcon安全会议上，Gibler为来自10个不同工业部门的百位NCC客户介绍了一款未命名的全自动扫描器。
这种扫描器扫描出了大约90万的安全红色警报，但是人们发现在一些区域中存在89%的误报。即使是扫描器表现最好的时候也有50%的误报率。
这项调查是在2014年2月至2015年5月之间实施的，由NCC小组员工对所有公司进行手动漏洞扫描。
Gibler在Nullcon会议上表示，虽然他觉得处理误报的代价可能是巨大的，但是自动扫描器对于大多数公司来说仍旧是值得的选择的，他的论断是基于这一数据：一名安全工程师的工资是7.5万美元，但是评估一个自动扫描器发现的漏洞只需要不到一分钟。
Gibler认为：
“人们浪费大量时间来审批这些评分在1到9的误报。”
最好的情况就是你支付1千美元给员工去花时间审核这些问题(其中包括了真正存在的漏洞);糟糕的情况就是你花费了1万到1.6万美元去审核这些问题。大多数人在购买工具时只看价格，而不会考虑潜在因素，那就是审查这些结果要花费多长时间，而这些结果中又有多少是正确的。
自动扫描工具价值犹存
然而，Gibler还告诉Vulture South：
“这些自动扫描工具还是很有价值的，因为它们与价格昂贵的渗透测试之间架起了桥梁。我认为它们仍旧是有用的，将来更是如此。”
Gibler在通知客户发现漏洞之后企业往往还要花费10到20个星期的时间才会进行修补，有的甚至会拖到一年后再修补。在NCC进行的9000次漏洞测试中，发现自动扫描没有扫描到的最大的一桩漏洞是1万个跨站点脚本漏洞。
受到结果影响的主要是休闲娱乐、媒体产业(25769个漏洞)以及公共教育部门(15550个漏洞)。
Gibler认为公司没有必要优先修复高危漏洞，从而搁置了低风险的漏洞。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法