Hai un numero di opzioni.
Il primo e più comune è istruire l'IDS a ignorare gli attacchi originati dallo scanner delle vulnerabilità e configurare lo scanner delle vulnerabilità in modo che corrisponda all'IDS.
La seconda soluzione, che richiede molto più lavoro, ma ha molto più valore, è quella di prendere questo come un'opportunità per convalidare il comportamento di entrambi gli strumenti e la rete. Se si analizza il comportamento dello scanner delle vulnerabilità e dell'IDS, si dovrebbe essere in grado di fare una previsione abbastanza precisa sul comportamento dell'IDS in risposta allo scanner delle vulnerabilità. Configura il tuo IDS per registrare gli eventi previsti e per proteggerli dai rapporti o impostarli su una priorità molto bassa. Ad esempio, "Mi aspetto di vedere una scansione delle porte da IP Y tra la data e l'ora T1 e T2 ogni notte che colpisce le porte P1, p2", ecc. "Ciò conferma che entrambi gli strumenti di sicurezza funzionano e dovrebbe aumentare in modo radicale la tua fiducia che la tua rete non è stato penetrato (un avversario vorrebbe disabilitare il tuo IDS e il tuo vuln scanner, l'avversario è molto improbabile che lo faccia in un modo che corrisponda alle tue previsioni). Se il tuo avversario è così buono, non lo hai fatto avere una possibilità in primo luogo.
Da qualche parte ho un modello di gestione delle informazioni / gestione dei rischi / sicurezza delle informazioni. Poiché la tua pratica della sicurezza diventa sempre più sofisticata, dovrebbe permetterti di fare previsioni migliori e migliori sulla tua rete / ambiente.
E ricorda la prima legge di Wallace sulla sicurezza della rete; se non gestisci efficacemente la tua rete, il tuo avversario sarà felice di farlo.