Falsos positivos en OpenVAS

6

Recientemente ejecuté el primer análisis de vulnerabilidades en la red de mis oficinas utilizando OpenVAS. Recibimos muchos falsos positivos. Principalmente vi que (al menos algunas) las pruebas desconocen los parches internos en un sistema.

Por ejemplo, nos alertaron sobre estos: CVE-2016-6515, CVE-2016-6210 en un sistema Ubuntu 16.04. OpenVAS reconoció el sistema para ejecutar OpenSSH 7.2p2 , pero estos se actualizaron en 7.2p2-4ubuntu2.1 y seguimos usando algo más tarde. Puedo ver que estaba parcheado en el registro de cambios.

Tenemos la intención de escanear de nuevo en el futuro, y no solo con OpenVAS. ¿Hay una manera de evitarlos sin aumentar las probabilidades de falsos negativos? ¿Será mejor usar un escaneo autenticado? ¿Hay una manera de manejar las fuentes de las pruebas para tal fin?

    
pregunta Uberhumus 24.10.2017 - 18:41
fuente

2 respuestas

4

El NVT está haciendo una verificación de ambas CVE de forma remota que no muestran una vulnerabilidad contra un sistema Linux por defecto. Si aparecen, puedo pensar en dos posibilidades:

  1. Ha configurado sus filtros para mostrar los resultados de NVT con una "Calidad de detección (QoD) baja". Consulte [1] para obtener una descripción de QoD y [2] para el valor "predeterminado" de 70 en su filtro que podría haber establecido en un valor más bajo.

  2. Por alguna razón, el sistema se detectó como Windows y, por lo tanto, se supone un QoD más alto.

Supongo que el caso 1. sería lo primero que se debe comprobar, ya que "una gran cantidad de falsos positivos" podría ser un buen indicador de esto.

Si bien 2. es muy poco probable que aún pueda verificar la salida de "Registro" del NVT llamada "Consolidación e informe de la detección del sistema operativo" con el OID 1.3.6.1.4.1.25623.1.0.105937 qué sistema operativo se detectó en ese host.

Exención de responsabilidad: Respuesta de un desarrollador de NVT @ Greenbone

    
respondido por el cfischer 01.02.2018 - 17:18
fuente
3

Al ser capaces de detectar versiones de software instaladas exactas en un sistema determinado, los análisis de vulnerabilidades autenticados son, por definición, mejores que los no autenticados.

Además, con la ayuda de los análisis autenticados es posible detectar puntos débiles en la configuración que de otra manera hubieran pasado desapercibidos.

Solo recomiendo ejecutar análisis no autenticados si desea realizar una prueba representativa de lo que un adversario podría detectar si analizaría su sistema (en un escenario de caja negra). La otra razón sería cuando tiene una red muy grande y una restricción de tiempo que no le permite realizar análisis completamente autenticados.

    
respondido por el user258572 19.01.2018 - 22:57
fuente

Lea otras preguntas en las etiquetas