Los enfoques que mencionas son un poco confusos, y explicaré por qué. En una infraestructura adecuadamente diseñada, se abordarán muchos de los puntos de referencia que enumeró:
Exploraciones de descubrimiento de host cada hora : si implementa una seguridad de puerto sólida en sus switches y utiliza NAC - PacketFence ( ya que mencionó el código abierto, también lo hice) no tendría que preocuparse por lo que estaba enchufado. El contador sería alguien que comentara: " Bueno, pero los MAC podrían estar falsificados " Yo digo: " Si hay alguien en su red FÍSICA que falsifica las direcciones MAC, tiene cosas más importantes de las que preocuparse. El control de la dirección de la red minimiza adecuadamente a las personas que lanzan algo a la red.
Descubrimiento de host pasivo permanente a través de la difusión : esto se abordó con el comentario NAC, pero incluso si no hubiera sido así, no todos los hosts responden a la transmisión.
Exploración por hora de todos los hosts para nic en modo promiscuo : este es un problema de permisos / problema del sistema. Un usuario normal no puede poner una interfaz en modo promiscuo. Los sistemas correctamente parcheados incluyen software de actualización. Sin una vulnerabilidad o permisos, un usuario no podría activar el modo promiscuo, con NAC, no podría instalar su propia máquina.
Exploración por hora de todos los hosts para el reenvío de ip activado : más exageración. Sin permisos tanto para el sistema como para la red, no veo cómo se produciría el reenvío.
Análisis de vulnerabilidad "no destructivos" diarios de todos los hosts (utilizando OpenVAS) : esto es mucho ruido.
Gran parte de lo que ha escrito se alinea con el enfoque de "castillo" para la seguridad. Aquí es donde se sigue construyendo para que no entren. En este caso, en lugar de mirar lo que tienes y cómo usarlo, estás agregando más problemas en el futuro. La auditoría de cuentas (registrar los comandos sudo, controlar quién puede hacer qué como administrador) es un enfoque mejor que preguntarse si alguien está poniendo algo en modo promiscuo o no. La implementación de NAC mantiene los sistemas no confiables y no probados fuera de su red. Es un golpe dos: "no hay máquinas aleatorias, y ninguna máquina en existencia puede ser manipulada. No hay vulnerabilidades". Es un enfoque más rápido, más eficaz y más escalable que lo que mencionó.