Ferramentas de Varredura de Vulnerabilidade

Então, Dale, como eu escolho um scanner de vulnerabilidade? Bem, existem literalmente centenas e centenas de pessoas por aí. Há tantas opções, tão pouco tempo, e tenho certeza que todos vão ter sua própria preferência. Se você está procurando seu primeiro escâner de vulnerabilidade, aqui estão algumas coisas que você pode querer levar em consideração. Em primeiro lugar, quantas vezes eles atualizam seu banco de dados, bem como seus plugins? Novamente, voltamos a essa afirmação de que os scanners de vulnerabilidade só sabem o que sabem. Portanto, ele não pode identificar a vulnerabilidade se seu plug-in não estiver disponível ou não tiver sido atualizado para uma nova vulnerabilidade. Assim, um fornecedor respeitável pode produzir atualizações e novos plugins diariamente, semanalmente, você escolhe. Quão seguro você se sente? Também eu estaria procurando scanners com esse recurso de atualização automática para que eu não tenho que se preocupar em baixá-los todos os dias. Pode ser apenas uma tarefa programada que ocorre. Também queremos dar uma olhada na qualidade versus precisão, porque se um scanner de vulnerabilidades encontrar uma vulnerabilidade, a questão está correta, encontrei 300 vulnerabilidades. Bem, quantos eram precisos? Significando que não eram falsos positivos. A precisão com que as vulnerabilidades críticas são identificadas é muito mais importante do que o número de vulnerabilidades verificadas porque a mesma vulnerabilidade poderia ser contada mais de uma vez pelo mesmo scanner. Você também vai querer olhar para a qualidade das opções de relatórios que estão disponíveis para você. Assim, um bom scanner de vulnerabilidades deve ter um mecanismo de relatório que deve lhe dar informações muito claras e concisas sobre como corrigir alguns dos problemas que você descobriu. Quando um administrador precisa executar exames de acompanhamento após fazer a varredura inicial ou se houver Alterações de configuração ou fazer comparações entre os resultados de uma verificação anterior e a verificação atual. Um scanner que tem uma ótima opção de relatório ou recurso com um banco de dados backend realmente agradável pode tornar sua vida muito mais fácil. Outra coisa que você pode querer considerar e que seria o processo de implantação. Então, se você colocar o scanner na frente do firewall ou atrás do firewall, ele vai, obviamente, ter um efeito sobre os resultados que você recebe. A varredura da rede interna do lado de fora do firewall só irá detectar se os serviços estão disponíveis para o usuário externo ou invasor, mas não olhará as vulnerabilidades de dentro do lado interno da rede. Isso não será visível para você por causa da proteção que o firewall fornece. Por outro lado, a digitalização das máquinas em sua DMZ de dentro pode não fornecer uma imagem completa de sua segurança, de modo a fim de obter uma imagem completa de sua segurança, certifique-se de fazer a sua varredura externa e internamente. Agora, quanto a intervalos de portas? Agora nós sabemos já que as portas abertas poderiam implicar que nós temos um ponto fraco da segurança em algum lugar ea varredura da porta é uma daquelas técnicas básicas do reconhecimento que nós damos uma olhada mais cedo. Assim, sabendo que é isso que os atacantes usarão, parte da varredura de vulnerabilidades deve incluir varredura de portas. Agora há alguns scanners de vulnerabilidade por aí que só realmente verificar as primeiras 15.000 portas, mas lembre-se, há mais de 65.000, portanto, certifique-se de verificar para descobrir quantas portas são digitalizadas nas configurações padrão. Muitas vezes você pode substituir essas alterações alterando as opções de configuração do scanner de vulnerabilidades. Você também vai querer passar e definir sua linha de base. O que a linha de base vai configurar para você, o que significa que você vai passar e você vai ter uma avaliação inicial do seu ambiente, então você tentar corrigir os problemas que você encontrar e, em seguida, acompanhar com uma reavaliação ou outra verificação. Agora, a fim de determinar novamente se você consertar as coisas, você tem que ter algo para compará-lo e isso é o que a linha de base é. Por isso, é realmente uma boa prática manter logs de arquivamento de todos os seus exames e comparar os resultados mais recentes com as linhas de base e, novamente, muitos dos scanners de vulnerabilidade por aí farão isso por você. Isto é o que você deve estar procurando novamente. Então, falamos sobre as práticas pós-digitalização, o que eu faço depois? Quando você obtém seus relatórios, é obviamente importante interpretar corretamente os resultados de digitalização para que você não esteja identificando vulnerabilidades que não estão realmente lá. Você também deve passar por e definir prioridades sobre as diferentes vulnerabilidades que você está descobrindo. Obviamente, uma vulnerabilidade em um servidor que é exposto totalmente à internet teria uma prioridade mais alta, em seguida, por exemplo, a máquina de Billy Bob para baixo no mailroom. Agora também é importante observar aqui que quando você recebe os service packs ou Patch Tuesday da Microsoft ou de qualquer outro fornecedor de software, a qualquer momento em que você aplicar novos patches, você deve executar novos exames imediatamente. Certifique-se de que o seu banco de dados foi atualizado, mas volte a pesquisar depois que esses patches foram aplicados.