I falsi positivi in OpenVAS

6

Recentemente ho eseguito la prima scansione di vulnerabilità nella mia rete di uffici usando OpenVAS. Abbiamo ricevuto una grande quantità di falsi positivi. Per lo più ho visto che (almeno alcuni) i test non sono a conoscenza delle patch interne in un sistema.

Ad esempio siamo stati avvisati di questi: CVE-2016-6515, CVE-2016-6210 su un sistema Ubuntu 16.04. OpenVAS ha riconosciuto il sistema per eseguire OpenSSH 7.2p2 , ma questi sono stati aggiornati in 7.2p2-4ubuntu2.1 e stiamo usando qualcosa in seguito ancora. Posso vedere che è stato corretto nel log delle modifiche.

Abbiamo intenzione di eseguire nuovamente la scansione in futuro, e non solo con OpenVAS. C'è un modo per evitarli senza aumentare le probabilità di falsi negativi? Sarà meglio usare una scansione autenticata? C'è un modo per gestire le fonti per i test a tal fine?

    
posta Uberhumus 24.10.2017 - 18:41
fonte

2 risposte

4

L'NVT sta facendo un controllo per entrambi i CVE in remoto, non mostrando una vulnerabilità nei confronti di un sistema Linux per impostazione predefinita. Se si presentano posso pensare a due possibilità:

  1. Hai configurato i tuoi filtri per mostrare i risultati degli NVT con un basso "Quality of Detection (QoD)". Vedi [1] per una descrizione di QoD e [2] per il valore "predefinito" di 70 nel tuo filtro che potresti aver impostato su un valore inferiore.

  2. Per qualche motivo, il sistema è stato rilevato come Windows e si presume quindi una percentuale maggiore diQoD.

Suppongo che il caso 1. sia la prima cosa da verificare poiché "una grande quantità di falsi positivi" potrebbe essere un buon indicatore per questo.

Mentre 2 è molto improbabile, è comunque possibile controllare l'output "Log" di NVT chiamato "Consolidamento e reporting dell'OS Detection" con OID 1.3.6.1.4.1.25623.1.0.105937 quale SO è stato rilevato su quell'host.

Dichiarazione di non responsabilità: risposta di uno sviluppatore NVT @ Greenbone

    
risposta data 01.02.2018 - 17:18
fonte
3

Essere in grado di rilevare esatte versioni del software installato su un determinato sistema, le scansioni di vulnerabilità autenticate sono per definizione migliori rispetto alle scansioni non autenticate.

Inoltre, con l'aiuto di scansioni autenticate è possibile rilevare debolezze di configurazione che altrimenti sarebbero passate inosservate.

Raccomando di eseguire scansioni non autenticate solo se si desidera avere un test rappresentativo di ciò che un avversario sarebbe in grado di rilevare se effettui la scansione del sistema (in uno scenario di scatola nera). L'altro motivo sarebbe quando hai una rete molto grande e un vincolo temporale che non ti consente di fare scansioni autenticate complete.

    
risposta data 19.01.2018 - 22:57
fonte

Leggi altre domande sui tag