Оценка адекватности используемых решений по детектированию уязвимостей. Заканчиваю отвечать на пост Алексея Лукацкого с критикой БОСПУУ. Согласен, что оценивать полноту базы детектов уязвимостей и достаточность способов детектирования непросто, и это имеет смысл только в контексте инфраструктуры конкретной организации.
Как оценивать?
🔹 Видим актив в инфре. Задаём вопрос: он в принципе поддерживается средством детектирования?
Если нет, то чешем репу, что делать: стимулировать VM-вендора, покупать другую детектилку / делать её самим, менять инфру.
Если да, идём глубже.
🔹 А как именно происходит детектирование?
Допустим, это Linux хост, и сканер детектирует уязвимости ТОЛЬКО в пакетах установленных из официального репозитория.
Нам этого достаточно? У нас там точно нет софта, установленного по-другому? 😏
Если достаточно, то всё ок.
Если нет - чешем репу как расширить способы детекта (пентест/WEB, анализ контейнеров и т.п.). Или меняем инфру. 🤷♂️