*2017-07-05 8:54 GMT+02:00 Tag636 <[email protected] <[email protected]>>:* > > > > > *[ml] infrastruttura VA enterprise economica?873 - Ale > <[email protected] <[email protected]>>Penso che la conversazione > VA open souce Vs. Commerciale stia andando nella direzione > sbagliata...premetto che non sono in nessun contatto con i produttori, solo > parere tecnico e di security architecture*
Ciao .. Non rispondo ai diversi punti da te riportati perchè mi sembrano molto ben esposti e rappresentano una posizione di chi conosce bene l'argomento. Mi fa moltro piacere che siano stati portati alla luce dei nervi scoperti di alcune delle mie indicazioni. Mi danno modo di capire che vi sono miglioramenti da tenere in considerazione anche sul fronte delle prestazioni network ... Per quello che riguarda la Kali Box io la utilizzo accendendola e aggiornandola quando serve. Non la lascio always on. Ma so che non è una giustificazione ... Per quanto riguarda il setup più "client" che "server" su questo ho bisogno di approfondire. Se hai qualche buona lettura da consigliarmi ti ringrazio sin d'ora. Sul fronte Qualys e soci ... io credo che a qualcuno bisogna pur dare fiducia. Sono soluzioni ben ingegnerizzate e producono dei risultati apprezzabili. Poi certo che tra falsi positivi e falsi negativi ... io preferisco avere dei falsi positivi e analizzarli in base alle caratteristiche della mia realtà ... Sull'ultimo punto ti confermo che darò uno sguardo a OpenScap. Grazie ancora .. Apprezzo molto quando si fa di una conversazione un modo per diventare "costruttivi". A presto Alessandro 2017-07-05 8:54 GMT+02:00 Tag636 <[email protected]>: > [ml] infrastruttura VA enterprise economica? > 873 - Ale <[email protected]> > > Penso che la conversazione VA open souce Vs. Commerciale stia andando > nella direzione sbagliata...premetto che non sono in nessun contatto con i > produttori, solo parere tecnico e di security architecture > > 1) VA e' solo una porzione di un' intero vulnerability management. Se devo > spendere, non pago solo per uno scanner ma per una soluzione completa. Non > andrei per Nessus, ma per Tenable Security Center. Nexpose e' ottimo ma > anche li solo uno scanner, Rapid 7 ha una sua soluzione di Vulnerability > management, pari a Tenable Security Center (adesso non ricordo il nome) > Il vantaggio e' che gestisci tutto il ciclo, con API calls, ne trovi per > tutti i ticket system tipo Jira/Siebel/etc, e gestisce in automatico il > re-test solo della vulnerabilita' del ticket, quando chiuso per verificare. > Hai il delta tra scanning e da un punto di vista di design e' molto piu' > smart. Infatti se paghi per scanner, paghi per nodo, se hai un' > infrastruttura grossa finisci per una regola del firewall scanner to ANY, > con queste soluzioni, puoi metter quanti scanner engine vuoi, con un centro > stella evitando porcherie. Il costo gia' include lo scanner, ma quello che > prendi in piu' e' tanto. Puoi con una licenza coprire piu' infrastrutture e > toglierti il problema scalabilita' Vs. licenza. > > 2) devi vedere che infrastruttura hai, se sei tutto basato su VMware trovo > stupido di usare traffico rete invece di plug-in su loopback VMware. Ci > sono soluzioni di vulnerability management perfettamente integrate nel > virtual stack che in termini di security e performance ti danno vantaggi > > 3) inorridisco al suggerimento di una Kali box in produzione....primo > diventa il posto migliore per un attacco perche' avra' accesso....secondo > ha un set up e un hardening client, non server, gira tutto sotto > root....per favore, assolutamente una soluzione orrenda, fatti un kernel > standard di produzione, in linea con i tuoi templates e installa cosa > serve. Kali va bene per PT sul tuo client e basta > > 4) Qualys, Tenable.io e soci....devi vedere in che business sei...un > servizio cloud con tutti i fatti tuoi, va considerato da un punto di > rischio. Avere la regola per i loro IP aperti...insomma, tutto va valutato. > Io vedo valido da esterno solo per vedere cosa un attaccante trova in DMZ, > in linea con PCI external scan, ma dare accesso ad aree differenti da > DMZ/pubblico.... > > 5) Se sei su ambienti cloud, userei soluzioni integrate, meno accesso da > esterno, migliori performance e piu' controllo. Purtroppo su private cloud > openstack non c'e' ancora molto, ma public AWS e Azure, ci sono opzioni > > In poche parole, non solo scanner, quando hai una tonnellata di risultati > e non tool per gestirli, poi piangi. Le soluzioni VA in cloud portano > rischi e uno scanning engine che accede a tutto e' in termini di > architettura non una soluzione efficace. Se ci sono modi di usare loopback > integrate nello stack virtualizzazione, ti eviti un sacco di traffico che > in termini di performance paga parecchio. > > Consiglio di dare anche un occhio a OpenScap, lo considero uno dei > progetti piu' efficaci, ma purtroppo sotto valutato, ha delle grandi > potenzialita' nel vulnerability management. > > My 2 cents > > > -- > Confidential message
