¿Qué criterios de evaluación usaría para una herramienta de escaneo de Oracle?

7

¿Qué criterios de evaluación usaría para seleccionar la herramienta de análisis de Oracle correcta?

Contexto:

Para implementar una herramienta de análisis automatizada (nessus / SQuirreL, etc.) para que la usen los equipos de desarrollo y los equipos de seguridad.

Una herramienta para ser utilizada por ambos equipos durante la etapa de compilación, la administración continua (parches, cambios en la estructura de la base de datos) y para actividades relacionadas con la garantía (como auditoría interna o revisión de seguridad).

Un ejemplo para esto sería:

Capacidad para restringir el craqueo de contraseñas. Si bien esto puede tener valor para el equipo de seguridad, no quisiera que el equipo de desarrollo pueda descifrar las contraseñas.

Entonces, a riesgo de dar ahora mi propia respuesta (¡todavía estoy ansioso por tener más pensamientos sobre esto!). Se me ha ocurrido lo siguiente:

  • ¿La herramienta proporciona informes de cumplimiento generados contra su propio estándar interno

Esto sería útil para el equipo de desarrollo para garantizar que la compilación cumpla con el nivel requerido.

  • ¿La herramienta produce informes de cumplimiento generados contra norma externa

Como CIS o NIST, ya que esto sería para la Seguridad    equipo para comparar el delta entre la construcción aprobada y las mejores prácticas de la industria.

  • Capacidad para llevar a cabo una vulnerabilidad Escanear

¿La compilación realmente proporciona suficiente protección? Utilizando un enfoque de análisis / exploración de vulnerabilidades para probar la compilación de exposición a la seguridad.

  • Dose la herramienta produce un informe en faltan parches?

  • ¿Puedo restringir el escaneo a específico? activos / grupos de usuarios?

¿Algún otro que pueda ser útil?

    
pregunta David Stubley 31.05.2011 - 12:23
fuente

1 respuesta

2

Una forma de probar si un escáner es mejor que otro es usar el escáner contra una aplicación que sepa que es vulnerable a los ataques. Uno de los mejores ejemplos es Wavsep , que se usó para compare muchas aplicaciones de código abierto y comerciales . Todos los resultados están disponibles, y la única herramienta para pasar todas las pruebas es Sitewatch , si no me crees, deberías inténtalo.

    
respondido por el rook 02.06.2011 - 03:01
fuente

Lea otras preguntas en las etiquetas