[ml] infrastruttura VA enterprise economica? 873 - Ale <[email protected]>
Penso che la conversazione VA open souce Vs. Commerciale stia andando nella direzione sbagliata...premetto che non sono in nessun contatto con i produttori, solo parere tecnico e di security architecture 1) VA e' solo una porzione di un' intero vulnerability management. Se devo spendere, non pago solo per uno scanner ma per una soluzione completa. Non andrei per Nessus, ma per Tenable Security Center. Nexpose e' ottimo ma anche li solo uno scanner, Rapid 7 ha una sua soluzione di Vulnerability management, pari a Tenable Security Center (adesso non ricordo il nome) Il vantaggio e' che gestisci tutto il ciclo, con API calls, ne trovi per tutti i ticket system tipo Jira/Siebel/etc, e gestisce in automatico il re-test solo della vulnerabilita' del ticket, quando chiuso per verificare. Hai il delta tra scanning e da un punto di vista di design e' molto piu' smart. Infatti se paghi per scanner, paghi per nodo, se hai un' infrastruttura grossa finisci per una regola del firewall scanner to ANY, con queste soluzioni, puoi metter quanti scanner engine vuoi, con un centro stella evitando porcherie. Il costo gia' include lo scanner, ma quello che prendi in piu' e' tanto. Puoi con una licenza coprire piu' infrastrutture e toglierti il problema scalabilita' Vs. licenza. 2) devi vedere che infrastruttura hai, se sei tutto basato su VMware trovo stupido di usare traffico rete invece di plug-in su loopback VMware. Ci sono soluzioni di vulnerability management perfettamente integrate nel virtual stack che in termini di security e performance ti danno vantaggi 3) inorridisco al suggerimento di una Kali box in produzione....primo diventa il posto migliore per un attacco perche' avra' accesso....secondo ha un set up e un hardening client, non server, gira tutto sotto root....per favore, assolutamente una soluzione orrenda, fatti un kernel standard di produzione, in linea con i tuoi templates e installa cosa serve. Kali va bene per PT sul tuo client e basta 4) Qualys, Tenable.io e soci....devi vedere in che business sei...un servizio cloud con tutti i fatti tuoi, va considerato da un punto di rischio. Avere la regola per i loro IP aperti...insomma, tutto va valutato. Io vedo valido da esterno solo per vedere cosa un attaccante trova in DMZ, in linea con PCI external scan, ma dare accesso ad aree differenti da DMZ/pubblico.... 5) Se sei su ambienti cloud, userei soluzioni integrate, meno accesso da esterno, migliori performance e piu' controllo. Purtroppo su private cloud openstack non c'e' ancora molto, ma public AWS e Azure, ci sono opzioni In poche parole, non solo scanner, quando hai una tonnellata di risultati e non tool per gestirli, poi piangi. Le soluzioni VA in cloud portano rischi e uno scanning engine che accede a tutto e' in termini di architettura non una soluzione efficace. Se ci sono modi di usare loopback integrate nello stack virtualizzazione, ti eviti un sacco di traffico che in termini di performance paga parecchio. Consiglio di dare anche un occhio a OpenScap, lo considero uno dei progetti piu' efficaci, ma purtroppo sotto valutato, ha delle grandi potenzialita' nel vulnerability management. My 2 cents -- Confidential message
