Organizzazione delle scansioni di vulnerabilità pianificate

Naviga le tue risposte
2

Mi chiedo cosa facciano gli altri per quanto riguarda l'impostazione delle politiche di scansione delle vulnerabilità pianificate dall'azienda. Ad esempio, preferisci creare una politica di scansione singola e scansionare tutte le reti indipendentemente dalle piattaforme degli host (windows, linux, SQL Server, Oracle, Apache, IIS, ecc.) O finisci per creare più criteri di scansione con solo i controlli abilitato per quel sistema operativo, database, server web, ecc.? Quest'ultima sembra che sarebbe una scelta migliore per le prestazioni e per personalizzare le impostazioni per la piattaforma di destinazione, tuttavia penso che sarebbe difficile garantire la copertura della scansione e mantenere i criteri man mano che gli host vengono aggiunti, modificati o rimossi. Aggiunge inoltre un passaggio al termine dell'unione dei risultati della scansione di più criteri per la segnalazione.

Sto utilizzando Nessus e attualmente ho un'unica politica che è configurata per scansionare più / 24 con la maggior parte dei plugin abilitati e le credenziali per gli host Windows e Linux per eseguire scansioni autenticate. Queste scansioni sono configurate per essere eseguite mensilmente e generalmente creo politiche di scansione fuori da richieste ad hoc. Funziona bene, ma mi chiedo quali suggerimenti & opinioni che altri possono avere.

Grazie!

    
posta m3ta 04.12.2013 - 15:12
fonte

2 risposte

5

Nessus e altre scansioni di vulnerabilità eseguiranno la scansione solo utilizzando i pacchetti applicabili, a seconda di quali porte e applicazioni vengono rilevate per host durante il rilevamento. Nessus non eseguirà una scansione della vulnerabilità del web contro un processo di database, né eseguirà una scansione di Windows contro un server Linux, quindi personalizzare le scansioni su DB e pacchetti software specifici è una perdita di tempo.

Inoltre, uno dei vantaggi dell'utilizzo degli scanner di vulnerabilità sui sistemi è scoprire cose che non conosci. Se si limita una scansione a ciò che dovrebbe essere lì a differenza di ciò che potrebbe essere lì, si potrebbero perdere tutti i tipi di cose importanti. Ad esempio, se si esegue la scansione di un server db con solo pacchetti relativi a db, si potrebbe perdere il server di gioco che è stato installato su di esso rispetto alla policy.

Quindi la tua politica migliore sarebbe quella di eseguire la scansione di tutto, utilizzando ogni test non distruttivo. Limitare le tue scansioni fa perdere tempo e potrebbe farti perdere qualcosa di importante.

    
risposta data 04.12.2013 - 15:47
fonte
0

Oltre a GdD, ti consiglio anche di sincronizzare le tue scansioni in modo da:

  • Non eseguire la scansione dei sistemi critici quando nessuno è disponibile per ripristinarli nel caso in cui li battessi
  • Scansione di notte o durante il fine settimana (generalmente tutte le ore in cui il carico minimo è impostato sui server)
risposta data 04.12.2013 - 16:06
fonte

Leggi altre domande sui tag

Il tuo ISP può usare uno sniffer di pacchetti? [chiuso] Perché alcuni siti web aumentano il numero di caratteri nel campo della password durante l'accesso?