Esiste una procedura ottimale per gestire i tentativi di scansione delle vulnerabilità?

Li ignoro. Ci saranno sempre sistemi compromessi che controllano continuamente l'intera Internet per vulnerabilità arbitrarie. Cercare di bloccarli non è più efficace dello sputare nel vento. Otterrete molto più valore concentrandovi sulla sicurezza dei vostri server e applicazioni e tenendo d'occhio gli aggressori che sembrano colpire in modo specifico voi. Inseguire i robot e gli scanner automatici non farà altro che perdere tempo.

TLDR: esplora prima i tuoi sistemi e crea & configurarli per essere sicuri. Quindi continua a scansionare i tuoi sistemi per verificare se sono presenti segni di violazione e creare un ciclo di vita sicuro.

Le scansioni dimostrano che qualcuno, da qualche parte, sta provando a conoscere i tuoi sistemi in modo apparentemente irrinunciabile. Supponendo che tu (e la tua organizzazione) valutiate i server e / o quello che ospitano, dovreste trovare problemi nei vostri sistemi prima cattivi ragazzi. La scansione è relativamente economica e facile, e ti consente di trovare frutta bassa appesa proprio come i cattivi. Se trovi e risolvi i problemi più velocemente di quanto possano usarli contro di te, sei in buona forma. Se riesci a rilevare le violazioni, isolare e recuperare prima che l'autore dell'attacco abbia informazioni sensibili, sei ancora in buona forma.

Il fatto è che gli scanner sono tutti diversi e nessuno scanner è la panacea. Ciò significa che (a) lo scanner dell'attaccante potrebbe trovare dei problemi che non sono i tuoi e (b) un attaccante dedicato può utilizzare tecniche più avanzate per entrare nei tuoi sistemi. Ciò significa che è necessario bilanciare il valore delle attività rispetto a quanto è necessario spendere per proteggerle. Dovrai sviluppare un ciclo di vita che garantisca che sistemi e software siano sufficientemente sicuri per le tue esigenze e che vengano mantenuti sufficientemente sicuri.

• Potresti decidere che i tuoi sistemi siano interamente forniti da terze parti, da un provider in hosting e che ti fidi del provider per mantenerlo sicuro. Assicurati di avere un'assicurazione e contratti che trasferiscano la responsabilità lontano da te.
• è possibile utilizzare esclusivamente software di terze parti nel proprio ambiente o nei propri sistemi all'interno di un ambiente ospitato e decidere che si fida dei produttori per annunciare e correggere le vulnerabilità. Potrebbe essere necessario un inventario dei componenti e un modo per monitorare le nuove vulnerabilità e un processo per spingere e testare periodicamente le patch mantenendo il tempo di attività. Potrebbe anche essere necessario introdurre sistemi di prevenzione delle intrusioni e di rilevamento delle intrusioni, scansione di malware, processi di controllo, ecc.
• potresti scrivere il tuo software, nel qual caso potresti volere un ciclo di vita sicuro dello sviluppo, inclusi la scansione di app web, scansione malware, analisi del codice statico, fuzzing, test di sicurezza qa, test di penetrazione, modellazione di minacce, ecc.
• potresti decidere che non ti interessa davvero cosa succede al sistema, anche se l'attaccante lo prende in consegna, ti butta fuori e inizia a offrire contenuti che potrebbero farti cacciare in prigione. In questo caso, non avresti bisogno di fare nulla.

Assicurati che questi tentativi non diventino un attacco DoS quando sei sotto carico. Il tentativo di accedere a una pagina phpMyAdmin dovrebbe fallire rapidamente quando si tratta ovviamente di una scansione di vulnerabilità (specialmente se non la si utilizza effettivamente). Un qualche tipo di lista nera di parametri GET ombrosi farebbe il trucco.