Ciao ED. In effetti un'azienda ha fondamentalmente due scelte possibili: investire in skill e competenze oppure investire in soluzioni commerciali (che richiedono comunque skill e competenze). La grande scelta secondo me la fai sulla base di qual'è il volume di oggetti IP da sottoporre a VA. Tieni conto che poi IMHO i client non vanno sottoposti a VA ... Vanno segregati e vanno limitati nelle loro possibili azioni. Quindi lo "scope" è circoscritto ai Server, ai Front End Web, ai DB ... alle macchine vitali per il business. Se il numero non è enorme (che so, tra i 30 e i 50), soluzioni tipo Qualys vanno bene ... Sono fornite come servizio Cloud, ci pensano loro a curare tutti gli aggiornamenti delle vulnerabilità e ti consentono di produrre dei reports gradevoli e comprensibili. Il tutto con un investimento di qualche migliaio di euro ... Se sono di più può continuare ad usare Qualys (facendo però crescere i costi) ma anche soluzioni Open Source tipo OpenVAS ... Io personalmente l'ho uitilizzato e mi sono trovato molto bene. Se vuoi dei risultati "attendibili" te lo devi tenere aggiornato. Una soluzione può essere quella di provare la distro KaliLinux che si porta già in pancia OpenVas. all'interno di una VM che puoi far girare un po dove ti pare ... Basta che sia "abilitata" a raggiungere gli IP dei Server destinatari. Io l'ho fatta girare su un Notebook tramite VMPlayer e gira con discrete performances. I reports che genera non sono malvagi, escono in PDF. Se la tieni aggiornata perdendo quei 20 minuti ogni volta che la utilizzi la puoi tenere offline e usarla "alla bisogna" ... oppure la metti su un PC dedicato e le fai fare gli aggiornamenti in modo quotidiano .... Se hai bisogno ....
Alessandro 2017-07-03 8:56 GMT+02:00 Paolo Perego <[email protected]>: > Ciao Kirys. Il DB con le vulnerabilità è il cuore di un tool di > vulnerability assessment. Per il resto è nmap + fingerprint dei servizi e > tutti lo Fano. Avere un feed delle vulnerabilità completo ed aggiornato > giorno per giorno fa la differenza tra un tool professionale ed un tool che > può essere adatto per un uso non pro. > > Nessus, buono. A me personalmente piace più Nexpose di Rapid7. Qualys a > seguire. > Per il servizio di vulnerability management della tua azienda, un tool di > VA commerciale (che va mantenuto e gestito nel tempo) è un investimento > necessario. > > Paolo > > > Il giorno 1 luglio 2017 08:48, Kirys <[email protected]> ha scritto: > >> On 26/06/2017 11:24, Paolo Perego wrote: >> >>> Ciao ED, perdonami cerco di non pestare su quel tasto, ma in tema VA... >>> è proprio il tasto da pestare. OpenVAS non è IMHO adeguato. >>> >> >> Mi intrometto, potresti articolare? >> Mi spiego, cosa ha che non va rispetto ad un nessus o eventuali altri >> prodotti commerciali, ovviamente immagino che il db dei test sia poco >> aggiornato, ma una valutazione a tutto tondo motivata sarebbe utile, anche >> da me si sta valutando di acquistare questo tipo di prodotto (e una azienda >> che fa VA indica che usa Nessus come strumento principale) >> Saluti >> K. >> >> ________________________________________________________ >> http://www.sikurezza.org - Italian Security Mailing List >> >> > > > -- > $ cd /pub > $ more beer > > I pirati della sicurezza applicativa: https://codiceinsicuro.it >
