Organizar análisis de vulnerabilidad programados

2

Me pregunto qué hacen los demás con respecto a la configuración de sus políticas de análisis de vulnerabilidades programadas para empresas. Por ejemplo, ¿prefiere crear una única política de análisis y analizar todas las redes independientemente de las plataformas de los hosts (Windows, Linux, SQL Server, Oracle, Apache, IIS, etc.) o termina creando varias políticas de análisis con solo las comprobaciones? habilitado para ese sistema operativo, base de datos, servidor web, etc? Este último parece que sería una mejor opción para el rendimiento y para personalizar la configuración de la plataforma de destino, sin embargo, creo que sería difícil asegurar la cobertura del escaneo y mantener las políticas a medida que se agregan, cambian o eliminan los hosts. También agrega un paso al final de la fusión de los resultados del análisis de múltiples políticas para la presentación de informes.

Estoy usando Nessus y actualmente tengo una política única que está configurada para escanear múltiples / 24 con la mayoría de los complementos habilitados y credenciales para los hosts de Windows y Linux para realizar escaneos autenticados. Estas exploraciones están configuradas para ejecutarse mensualmente y, por lo general, creo políticas de exploración única para solicitudes ad-hoc. Esto funciona bien, pero me pregunto qué consejos & Opiniones que otros puedan tener.

¡Gracias!

    
pregunta m3ta 04.12.2013 - 15:12
fuente

2 respuestas

5

Nessus y otras exploraciones de vulnerabilidad solo explorarán el uso de paquetes aplicables, dependiendo de qué puertos y aplicaciones se encuentren por host durante el descubrimiento. Nessus no va a ejecutar un escaneo de vulnerabilidades web contra un proceso de db, ni tampoco ejecutará un escaneo de Windows contra un servidor Linux, por lo que adaptar sus escaneados a bases de datos y paquetes de software específicos es una pérdida de tiempo.

Además, uno de los beneficios de ejecutar escáneres de vulnerabilidad en sus sistemas es descubrir cosas que no sabe que existen. Si limita un escaneo a lo que debería estar allí en lugar de lo que podría estar allí, puede perder todo tipo de cosas importantes. Si escanea un servidor de base de datos con solo paquetes relacionados con base de datos, podría perder el servidor de juegos que se ha instalado en él, por ejemplo, con la política.

Por lo tanto, su mejor política sería escanear todo, utilizando todas las pruebas no disruptivas. Limitar los escaneos desperdicia su tiempo y puede hacer que se pierda algo importante.

    
respondido por el GdD 04.12.2013 - 15:47
fuente
0

Además de GdD, también aconsejaría programar sus escaneos para que usted:

  • No escanee sistemas críticos cuando no haya nadie disponible para restaurarlos en caso de que los golpee
  • Escanear por la noche o durante el fin de semana (generalmente, todas las horas en las que la carga mínima se establece en los servidores)
respondido por el Lucas Kauffman 04.12.2013 - 16:06
fuente

Lea otras preguntas en las etiquetas