Ciao ED, ci stavo proprio pensando oggi e credo che ne parlerò tra qualche giorno sul blog. Innanzitutto mi chiederei "perché sto mettendo in piedi un'infrastruttura per il VA e cosa mi aspetto dai risultati". Purtroppo ho visto troppe volte manager affascinati dal falso senso di sicurezza che un report di Nexpose dava loro.
Anyway, ti racconto come la implemento io di solito. Architettura distribuita, quindi una console e tanti engine di scansione. No roba centralizzata in cloud. Gli engine di scansione li ho messi in una posizione di rete che permettesse loro di essere "vicino" alle reti principali che avevo precedentemente diviso per regione geografica. (questo dipende ovviamente dalla tua topologia). Io dopo anni che lo uso sto pensando di togliere la possibilità di fare scansioni autenticate. Troppo rumore di fondo e mi perdo il punto di vista reale di un attaccante. A livello di paranoia, direi che le linee guida di hardening che avete già in piedi bastano e avanzano. Ti consiglio di lasciar perdere la scansione automatizzata di applicazioni web. Non ti da alcun valore aggiunto e i crawler dei vari Nexpose, Nessus sono a dir poco invasivi e ne ho visti parecchi di tomcat e apache cadere. La 5) non l'ho capita. Chi dovresti monitorare? Cosa importante da considerare. Avere bene in chiaro perché pensi ti serva un vulnerability assessment. Se è per dare un po' di paper al tuo audit interno allora ok, dagli tutti i risultati del tuo tool e lascia che impazziscano. Se vuoi che un VA guidi il tuo patch management, sinceramente te lo sconsiglio. VA e applicazione delle patch di security meglio vadano per i fatti loro, se ti interessa ne ho scritto proprio ieri di patching ordinario e straordinario: https://codiceinsicuro.it/blog/patch-ordinario-e-patch-straordinario/. Se invece pensi che il VA ti serve per capire la tua postura, allora "si e no". Il numero di falsi positivi, soprattutto in una scansione autenticata, è enorme e solo un'attività mirata di penetration test può darti un risultato attendibile. Così, i miei €0,02 Ciao Paolo Il giorno gio 20 giu 2019 alle ore 07:51 ED <[email protected]> ha scritto: > Ciao, vorrei per piacere un consiglio da chi ha esperienza nel > monitoraggio di vulnerabilità in reti grandi e incasinate... > > Poniamo che dobbiate mettere in piedi una infrastruttura di VA in una > grossa rete che comprende più siti fisici, alcune DMZ e qualche > centinaio di sotto-reti più o meno segregate fra loro contenenti alcune > migliaia di server, workstation e appliance assortite con livelli e > requisiti di sicurezza anche molto diversi fra loro. > > Poniamo che il software di VA sia composto da un nodo centrale per > l'amministrazione che controlla un numero arbitrario di nodi periferici > che fanno le scansioni ("a la OpenVAS"). Deve essere usato da un numero > arbitrario di utenti con diversi ruoli da diversi punti della rete. > > Domande: > > 1) Dove mettereste i nodi periferici per le scansioni? Uno in ogni rete > principale da scansionare, o uno per sito fisico aprendo i firewall, o > centralmente aprendo VPN alla bisogna, o come altro? > > 2) Stessa domanda ipotizzando che il software di scansione non sia > diviso in nodo centrale e nodi periferici. > > 3) Quanto essere paranoici riguardo all'amministrazione > dell'infrastruttura di VA, considerando che sia il nodo centrale che > quelli periferici contengono (temporaneamente o permanentemente) > credenziali amministrative dei server da scansionare? Usereste la stessa > infrastruttura di virtualizzazione, gli stessi server fisici, le stesse > workstation amministrative e lo stesso personale del resto dell'azienda? > > 4) Come ottimizzare le scansioni di siti web e servizi se (per un motivo > o per l'altro, non sottilizziamo...) i deploy non sono raggruppati in > una rete dedicata? > > 5) Vale la pena limitare i privilegi degli operatori di sicurezza per > monitorarne e limitarne l'operato? > > 6) Altre cose importanti da considerare? > > Al momento ho una "leggera" divergenza di opinioni con il mio reparto di > rete e spero che questa lista possa aiutarmi a risolverla. > > Grazie, saluti > > -- > ED > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- $ cd /pub $ more beer I pirati della sicurezza applicativa: https://codiceinsicuro.it
