Recentemente ho eseguito la prima scansione di vulnerabilità nella mia rete di uffici usando OpenVAS. Abbiamo ricevuto una grande quantità di falsi positivi. Per lo più ho visto che (almeno alcuni) i test non sono a conoscenza delle patch interne in un sistema.
Ad esempio siamo stati avvisati di questi: CVE-2016-6515, CVE-2016-6210
su un sistema Ubuntu 16.04. OpenVAS ha riconosciuto il sistema per eseguire OpenSSH 7.2p2
, ma questi sono stati aggiornati in 7.2p2-4ubuntu2.1
e stiamo usando qualcosa in seguito ancora.
Posso vedere che è stato corretto nel log delle modifiche.
Abbiamo intenzione di eseguire nuovamente la scansione in futuro, e non solo con OpenVAS. C'è un modo per evitarli senza aumentare le probabilità di falsi negativi? Sarà meglio usare una scansione autenticata? C'è un modo per gestire le fonti per i test a tal fine?