Ciao Paolo, grazie per la risposta.
Naturalmente non uso il VA come parte del normale processo operativo di
patch management. Da un lato lo uso per il monitoraggio della qualità
del relativo processo, dall'altro come verifica aggiuntiva e immediata,
specialmente su richiesta nel caso escano vulnerabilità o patch
critiche. Per questo mi servono le scansioni con credenziali o gli
agent, altrimenti certi problemi si vedono solo quando è troppo tardi.
Poi con la dovuta calma si fanno comunque i port scan.
Il mio punto 5 si riferiva a monitorare l'operato del personale di
sicurezza con alti privilegi. "Chi controlla il controllore?"
L'amministratore del software di VA e dei livelli sovrastanti (server,
hypervisor) ha accesso diretto o indiretto ai certificati di
autenticazione per tutti i server aziendali. Idem per un malware che
attacca con successo l'hypervisor o una VM di scansione che risiede
sullo stesso server fisico. Per questo chiedevo se fosse il caso di
separare completamente l'infrastruttura di VA da quella operativa.
ciao
--
ED
Il 20/06/2019 09:24, Paolo Perego ha scritto:
Ciao ED, ci stavo proprio pensando oggi e credo che ne parlerò tra
qualche giorno sul blog. Innanzitutto mi chiederei "perché sto
mettendo in piedi un'infrastruttura per il VA e cosa mi aspetto dai
risultati". Purtroppo ho visto troppe volte manager affascinati dal
falso senso di sicurezza che un report di Nexpose dava loro.
Anyway, ti racconto come la implemento io di solito.
Architettura distribuita, quindi una console e tanti engine di
scansione. No roba centralizzata in cloud.
Gli engine di scansione li ho messi in una posizione di rete che
permettesse loro di essere "vicino" alle reti principali che avevo
precedentemente diviso per regione geografica. (questo dipende
ovviamente dalla tua topologia).
Io dopo anni che lo uso sto pensando di togliere la possibilità di
fare scansioni autenticate. Troppo rumore di fondo e mi perdo il punto
di vista reale di un attaccante. A livello di paranoia, direi che le
linee guida di hardening che avete già in piedi bastano e avanzano.
Ti consiglio di lasciar perdere la scansione automatizzata di
applicazioni web. Non ti da alcun valore aggiunto e i crawler dei vari
Nexpose, Nessus sono a dir poco invasivi e ne ho visti parecchi di
tomcat e apache cadere.
La 5) non l'ho capita. Chi dovresti monitorare?
Cosa importante da considerare. Avere bene in chiaro perché pensi ti
serva un vulnerability assessment. Se è per dare un po' di paper al
tuo audit interno allora ok, dagli tutti i risultati del tuo tool e
lascia che impazziscano. Se vuoi che un VA guidi il tuo patch
management, sinceramente te lo sconsiglio. VA e applicazione delle
patch di security meglio vadano per i fatti loro, se ti interessa ne
ho scritto proprio ieri di patching ordinario e straordinario:
https://codiceinsicuro.it/blog/patch-ordinario-e-patch-straordinario/.
Se invece pensi che il VA ti serve per capire la tua postura, allora
"si e no". Il numero di falsi positivi, soprattutto in una scansione
autenticata, è enorme e solo un'attività mirata di penetration test
può darti un risultato attendibile.
Così, i miei €0,02
Ciao
Paolo
Il giorno gio 20 giu 2019 alle ore 07:51 ED <[email protected]
<mailto:[email protected]>> ha scritto:
Ciao, vorrei per piacere un consiglio da chi ha esperienza nel
monitoraggio di vulnerabilità in reti grandi e incasinate...
Poniamo che dobbiate mettere in piedi una infrastruttura di VA in una
grossa rete che comprende più siti fisici, alcune DMZ e qualche
centinaio di sotto-reti più o meno segregate fra loro contenenti
alcune
migliaia di server, workstation e appliance assortite con livelli e
requisiti di sicurezza anche molto diversi fra loro.
Poniamo che il software di VA sia composto da un nodo centrale per
l'amministrazione che controlla un numero arbitrario di nodi
periferici
che fanno le scansioni ("a la OpenVAS"). Deve essere usato da un
numero
arbitrario di utenti con diversi ruoli da diversi punti della rete.
Domande:
1) Dove mettereste i nodi periferici per le scansioni? Uno in ogni
rete
principale da scansionare, o uno per sito fisico aprendo i
firewall, o
centralmente aprendo VPN alla bisogna, o come altro?
2) Stessa domanda ipotizzando che il software di scansione non sia
diviso in nodo centrale e nodi periferici.
3) Quanto essere paranoici riguardo all'amministrazione
dell'infrastruttura di VA, considerando che sia il nodo centrale che
quelli periferici contengono (temporaneamente o permanentemente)
credenziali amministrative dei server da scansionare? Usereste la
stessa
infrastruttura di virtualizzazione, gli stessi server fisici, le
stesse
workstation amministrative e lo stesso personale del resto
dell'azienda?
4) Come ottimizzare le scansioni di siti web e servizi se (per un
motivo
o per l'altro, non sottilizziamo...) i deploy non sono raggruppati in
una rete dedicata?
5) Vale la pena limitare i privilegi degli operatori di sicurezza per
monitorarne e limitarne l'operato?
6) Altre cose importanti da considerare?
Al momento ho una "leggera" divergenza di opinioni con il mio
reparto di
rete e spero che questa lista possa aiutarmi a risolverla.
Grazie, saluti
--
ED
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
--
$ cd /pub
$ more beer
I pirati della sicurezza applicativa: https://codiceinsicuro.it
