Оценка адекватности используемых решений по детектированию уязвимостей. Заканчиваю отвечать на пост Алексея Лукацкого с критикой БОСПУУ. Согласен, что оценивать полноту базы детектов уязвимостей и достаточность способов детектирования непросто, и это имеет смысл только в контексте инфраструктуры конкретной организации.
Как оценивать?
🔹 Видим актив в инфре. Задаём вопрос: он в принципе поддерживается средством детектирования?
Если нет, то чешем репу, что делать: стимулировать VM-вендора, покупать другую детектилку / делать её самим, менять инфру.
Если да, идём глубже.
🔹 А как именно происходит детектирование?
Допустим, это Linux хост, и сканер детектирует уязвимости ТОЛЬКО в пакетах установленных из официального репозитория.
Нам этого достаточно? У нас там точно нет софта, установленного по-другому? 😏
Если достаточно, то всё ок.
Если нет - чешем репу как расширить способы детекта (пентест/WEB, анализ контейнеров и т.п.). Или меняем инфру. 🤷♂️
Уведомление: Верный признак хорошего вендора средств детектирования уязвимости - это то, что его сотрудники делится экспертизой по детектированию уязв
Уведомление: А можно мне, пожалуйста, не заниматься оценкой адекватности средств детектирования уязвимостей? | Александр В. Леонов
Уведомление: А ты точно умеешь это детектировать? В продолжение предыдущего поста про оценку адекватности средств детектирования уязвимостей | Алексан