Il 21/06/2019 15:19, tag 636 ha scritto:
Dai un occhiata ad archery [...]
Molto interessante pero' da quel che ho letto Archery si limita a
controllare il software di VA e fornire servizi ausiliari. Non risolve
il mio dilemma iniziale, ovvero come ottimizzare distribuzione, gestione
e messa in sicurezza di un software di network VA autenticato su una
rete geografica ed eterogenea.
Sui sistemi critici inoltre ho qualche riserva ad usare software non
ufficialmente avallato. Per esempio Archery sembra interamente gestito
da un freelance indiano. Lo userei per i container di test ed
eventualmente scansioni black-box di produzione, ma senza altre garanzie
non gli darei in pasto credenziali sufficienti a radere al suolo
l'intera azienda. Mi chiedo se chi lo usa in contesti simili faccia
prima una valutazione dei rischi. Talvolta ho l'impressione che noialtri
della sicurezza ci comportiamo come il giudice Dredd: "Io non ho
infranto la legge... io SONO la legge!" :-)
per web app...sono per un'integrazione nella CI/CD con SAST e
DAST....un tipico SecDevOps loop, only web VA non serve a molto.
Da un punto di vista di architettura, usa un approccio via containers
che spari dove vuoi via k8s o simili.
Lo scan pubblico sento tanti alle conferenze che usano shodan [...]
Sono pienamente d'accordo con CI/CD e li sto spingendo da alcuni anni,
ma per motivi interni ora vorrei comunque scannerizzare direttamente
quel che c'è in produzione evitando scanner sul cloud. A proposito dei
VA dal cloud sarei però curioso di sapere cosa ne pensate, specialmente
riguardo al consumo di banda, all'accesso a reti interne altrimenti
chiuse e al white-listing su IDS e WAF locali.
Quando valuti VA, considera se non integrare anche threat hunting [...]
Grazie, tra l'altro lo consigliava Andrea Gelpi sia per una questione di
efficacia che di efficienza, per poi fare VA solo dove effettivamente
serve. Tu lo intendi come una integrazione a senso unico (dare in pasto
i dati del VA al resto) o bidirezionale?
ciao
--
ED
