¿Enfoque de programación de exploración de vulnerabilidades a demanda versus cambio?

1

Tengo una pregunta sobre la programación de un análisis de vulnerabilidad y un ejercicio de evaluación.

Estoy en el proceso de establecer un programa para los análisis de vulnerabilidad. Me pregunto cuándo y por qué iniciar el escaneo en primer lugar: qué condiciones deben exigir el requisito.

¿Debería iniciarse este ejercicio siempre que haya un cambio en el diseño o la configuración de un sistema / aplicación?

Si me acerco con el enfoque, me veo obligado a cuestionar la corrección del cambio. ¿Se aprobó esta modificación, se siguieron las pautas o la mejor manera de implementar / introducir cambios?

Como el riesgo resultante de no seguir el protocolo / procedimientos de administración de cambios no es responsabilidad directa de los escáneres de vulnerabilidad, este riesgo no debe ser manejado por el sistema de control de cambios y otros medios (auditorías, etc.).

¿Por qué perdería tiempo evaluando el riesgo / probando una vulnerabilidad cuando sé que se siguió un proceso adecuado de gestión de cambios que no necesitaría analizar?

Entonces, ¿un ejercicio de exploración de vulnerabilidades debe ser impulsado por el cambio o la demanda?

    
pregunta Saladin 23.01.2013 - 18:29
fuente

2 respuestas

4

Hay algunas veces en las que debe realizar un análisis de vulnerabilidades y una auditoría de configuración, cada una con su propio propósito:

  1. Cuando se introduce un nuevo sistema o aplicación en el entorno. Esto es para evaluar el riesgo que supone la introducción del nuevo elemento en su entorno.
  2. Cuando se ha realizado un cambio en los sistemas o aplicaciones existentes en el entorno. Esto es para evaluar los riesgos introducidos por el cambio.
  3. Exploraciones periódicas de todos los sistemas, según un programa regular. Este es posiblemente el más importante de estos tres. Sirve a algunos propósitos:
    • Mantenga una línea de base actualizada de la postura de seguridad de su entorno.
    • Detectar cambios inesperados y / o no autorizados en el entorno.
    • Identifique los sistemas que son vulnerables a explotaciones recién descubiertas que no se habrían cubierto en exploraciones anteriores.

Todo lo anterior cumple su propio propósito como se describe aquí. Cada uno tiene su lugar en una adecuada política de gestión de riesgos y descubrimiento. Debería incluir todo esto en su proceso, y prescindir de cualquiera podría dejar una ventana innecesaria en la que podría estar ajeno a las vulnerabilidades que de otro modo podría haber descubierto desde el principio.

    
respondido por el Iszi 23.01.2013 - 19:04
fuente
1

El consenso federal es que el análisis de vulnerabilidades debe ser continuo.

Creo que las exploraciones basadas en cambios son válidas; Las exploraciones periódicas también son válidas para detectar cambios no rastreados.

Me temo que no puedo seguir la estrategia de "roca sobre roca", o por qué estás obligado a cuestionar la legitimidad del cambio. Escanear en busca de vulnerabilidades; evaluar el riesgo, aconsejar a la persona que está facultada para aceptar el riesgo.

    
respondido por el Mark C. Wallace 23.01.2013 - 18:41
fuente

Lea otras preguntas en las etiquetas