Scansione vulnerabilità come punto di compromesso

3

Sono state condotte ricerche / analisi sull'uso degli ecosistemi di scansione delle vulnerabilità come punto di compromesso in una rete?

In particolare, per le aziende che utilizzano la scansione autenticata, l'ecosistema di scansione delle vulnerabilità diventa un'entità affidabile che, in base alla progettazione, sta lanciando test invasivi con privilegi di amministratore / root. Questi test, pur essendo progettati per essere il meno invasivi possibile, potrebbero essere alterati se un hacker compromettesse l'ecosistema di scansione stesso (in teoria). In che modo le organizzazioni aggirano questo rischio intrinseco relativo alla scansione autenticata a livello di impresa?

    
posta user125967 29.09.2016 - 18:23
fonte

2 risposte

1

Attenuare il rischio di avere un sistema di scansione con credenziali nell'ambiente può essere realizzato con le seguenti best practice:

  • Utilizzare un sistema dedicato per la scansione e disattivarlo (disabilitare NIC / spegnerlo) quando non in uso.
  • Utilizzare credenziali dedicate (AD preferibilmente o locali se necessario) per lo scanner e disabilitarle quando non sono in uso.
  • Ruota periodicamente le password per le credenziali dello scanner.
  • Verifica che la versione dello scanner e il sistema operativo host siano aggiornati con le patch e gli aggiornamenti.

Aggiorna

Per il paranoico estremamente , possiamo implementare i seguenti controlli:

  • Limita l'accesso a questa casella (SSH, RDP, Scanner Web Interface, ecc.) solo alle macchine autorizzate.
  • Abilita la registrazione dettagliata dell'host & scansione dell'applicazione quindi rivedere i registri per attività anomale.
  • Connetti questa casella a qualsiasi soluzione SIEM attualmente presente nell'ambiente e configura avvisi su qualsiasi accesso al sistema mentre è acceso / online.
risposta data 29.09.2016 - 20:13
fonte
0

La scansione non autenticata dovrebbe davvero spegnersi , si spera presto. Sì, l'host del tuo motore di scansione - aggiungi all'elenco dei principali dispositivi critici e la segmentazione è il tuo migliore amico in questo caso (sì, è vero, i firewall non sono ancora morti). Alcuni commenti qui sui benchmark CIS - sono la migliore fonte di informazioni pubbliche che abbiamo ma vorrei invitare gente infosec a provarli e passare attraverso i server Windows, e formare la tua opinione - Ho messo insieme un foglio di calcolo per gli elementi di configurazione di Windows che aumentano il CIS . Parlando di hosting di password e config per root / administrator - almeno una soluzione sono a conoscenza dei negozi di tutto questo sul loro server (non il tuo). Pensa a come stai accedendo all'interfaccia utente: è un URL pubblico?

    
risposta data 06.10.2016 - 22:37
fonte

Leggi altre domande sui tag