Quali criteri di valutazione utilizzeresti per uno strumento di scansione Oracle?

7

Quali criteri di valutazione utilizzeresti per selezionare il giusto strumento di scansione Oracle?

Contesto:

Per distribuire uno strumento di scansione automatico (nessus / SQuirreL ecc.) da utilizzare sia dai team di sviluppo che dai team di sicurezza.

Uno strumento da utilizzare da entrambi i team durante la fase di costruzione, gestione in corso (patching, modifiche alla struttura del DB) e attività di assicurazione (come audit interno o revisione della sicurezza).

Un esempio potrebbe essere:

Capacità di limitare il cracking della password. Sebbene ciò possa avere valore per il team di sicurezza, non vorrei che il team di sviluppo fosse in grado di crackare le password.

Quindi, con il rischio di fornire ora la mia risposta (ancora ansiosa di avere più pensieri su questo!). Ho trovato il seguente:

  • Lo strumento fornisce rapporti di conformità generati rispetto al proprio standard interno

Questo sarebbe utile per il team di sviluppo per garantire che la costruzione soddisfi il livello richiesto.

  • Lo strumento produce report di conformità generati contro standard esterno

Come CIS o NIST, come questo sarebbe per la sicurezza    team per confrontare il delta tra la build approvata e le best practice del settore.

  • Capacità di condurre una vulnerabilità Scansione

La build fornisce effettivamente una protezione sufficiente? Utilizzando un approccio di scansione / analisi delle vulnerabilità per testare la build per l'esposizione alla sicurezza.

  • Dose su cui lo strumento produce un rapporto patch mancanti?

  • Posso limitare la scansione a specifici beni / gruppi di utenti?

Qualcun altro che sarebbe utile?

    
posta David Stubley 31.05.2011 - 12:23
fonte

1 risposta

2

Un modo per testare se uno scanner è migliore di un altro è usare lo scanner contro un'applicazione che si sa essere vulnerabile agli attacchi. Uno dei migliori esempi è Wavsep , che è stato utilizzato per confronta molte applicazioni open source e commerciali . Tutti i risultati sono disponibili e l'unico strumento per superare tutti i test è Sitewatch , se non mi credi, allora dovresti provalo.

    
risposta data 02.06.2011 - 03:01
fonte