Escaneo de vulnerabilidad como un punto de compromiso

3

¿Se han realizado investigaciones / análisis sobre el uso de los ecosistemas de exploración de vulnerabilidades como un punto de compromiso en una red?

Específicamente, para las empresas que utilizan el escaneo autenticado, el ecosistema de escaneo de vulnerabilidades se convierte en una entidad confiable que, por diseño, está lanzando pruebas invasivas con privilegios de administrador / raíz. Estas pruebas, si bien están diseñadas para ser lo menos invasivas posible, podrían modificarse para ser maliciosas si un atacante comprometiera el ecosistema de exploración en sí (en teoría). ¿Cómo pueden las organizaciones sortear este riesgo de seguridad inherente relacionado con el escaneo autenticado en toda la empresa?

    
pregunta user125967 29.09.2016 - 18:23
fuente

2 respuestas

1

La mitigación del riesgo de tener un sistema de escaneo con credenciales en el entorno se puede lograr con las siguientes prácticas recomendadas:

  • Use un sistema dedicado para escanear y deshabilítelo (deshabilite NIC / apáguelo) cuando no esté en uso.
  • Use credenciales dedicadas (AD preferiblemente o local si es necesario) para el escáner y desactívelas cuando no esté en uso.
  • Rotar las contraseñas para las credenciales del escáner periódicamente.
  • Asegúrese de que la versión del escáner y el sistema operativo host estén actualizados con parches y actualizaciones.

ACTUALIZAR

Para el extremadamente paranoico, podemos implementar los siguientes controles:

  • Restrinja el acceso a este cuadro (SSH, RDP, interfaz web del escáner, etc.) solo a las máquinas autorizadas.
  • Habilitar el registro detallado del host & La aplicación de escaneo luego revisa los registros en busca de actividad anómala.
  • Conecte este cuadro a cualquier solución SIEM actualmente en el entorno y configure las alertas sobre cualquier acceso al sistema mientras esté encendido / en línea.
respondido por el HashHazard 29.09.2016 - 20:13
fuente
0

El escaneo no autenticado debería realmente extinguirse , con suerte pronto. Sí, el host del motor de exploración: agregue a la lista de los dispositivos críticos principales y la segmentación es su mejor amigo en este caso (sí, es cierto, los firewalls aún no están muertos). Algunos comentarios aquí acerca de los puntos de referencia de CIS son la mejor fuente de información pública que tenemos, pero insto a los usuarios de infosec a que intenten acceder a ellos para los servidores de Windows y formen su propia opinión: Reuní una hoja de cálculo para los elementos de configuración de Windows que aumentan el CIS . Hablando de contraseñas y configuraciones de hosting para root / administrador, al menos una solución que conozco almacena todo esto en su servidor (no en el suyo). Piense en cómo está accediendo a la interfaz de usuario: ¿es una URL pública?

    
respondido por el Ian Tibble 06.10.2016 - 22:37
fuente

Lea otras preguntas en las etiquetas