Si bien parece lógico que varios escáneres le brinden una mejor cobertura general, el resultado no siempre mejora tanto como se esperaba.
- Los escáneres caen en el nivel superior, el nivel medio y el nivel inferior. Los escáneres de nivel superior cubrirán el 100% de lo que cubre un nivel inferior y el 99.8% de lo que cubre un nivel medio. Por otro lado, un nivel medio cubrirá aproximadamente el 50-60% de lo que cubre un nivel superior y un escáner de nivel inferior cubrirá un 15-20% de lo que cubre el nivel superior.
Entonces, si su primer escáner es un nivel inferior o medio y su segundo escáner es un nivel superior, experimentará una gran mejora en la cobertura al agregar un segundo escáner.
Y viceversa, si su primer escáner es un Nivel superior, entonces no verá prácticamente ningún aumento en la cobertura al agregar un segundo escáner que sea de nivel medio o inferior. - Todos los escáneres de primer nivel tienen una muy buena cobertura, se miran como halcones y son muy cercanos en lo que cubren. Hay diferencias en la cobertura pero son menores. Al tener 2 escáneres de primer nivel, aumentará su cobertura en unos pocos puntos porcentuales mientras duplica su costo.
- Recuerde que cuando agrega un escáner adicional, también agrega más falsos positivos, lo que resulta en más trabajo persiguiendo fantasmas. – Podría ir por el otro lado y decir que todo lo que no está confirmado por dos escáneres son falsos positivos y deben ser ignorados. Esto reducirá en gran medida su trabajo falso positivo, al mismo tiempo que introduce una serie de falsos negativos (por ejemplo, real vulns que elegiste ignorar.)
- De las pruebas personales en el banco de pruebas de alta calidad, considero los siguientes productos Top Tier:
- Critical Watch FusionVM (tengo que decir que)
- Qualys QualysGuard
- Rapid7 Nexpose
- Sostenible (cuidado con más falsos positivos que los otros chicos),
- Nivel medio: santo
Nivel inferior: GFI LanGuard
(No me pregunte sobre otros productos, no los he probado y los resultados específicos de mis pruebas son confidenciales, lo siento) - Tendrá que pasar mucho tiempo consolidando y haciendo referencias cruzadas entre los diferentes escáneres. Si bien todos los escáneres usan CVE, los escáneres de nivel superior tienen más de 1000 pruebas que no tienen CVE y donde tendrá que hacer la referencia cruzada a mano, comparando las descripciones (he hecho esto y es paralizante)
- No existen muchos productos que hagan una importación inteligente de informes de múltiples proveedores y le brinden una buena visión general consolidada de sus vulnerabilidades.
- Una mejor solución es utilizar tecnologías complementarias en lugar de solo más escáneres basados en red:
- Al combinar su escáner de vulnerabilidad de red con la evaluación de vulnerabilidad basada en el host, aumenta su cobertura a las máquinas con firewalls personales (basados en el host), lo cual es una gran mejora. Productos como “iScan Online” son una buena opción para eso. Si solo tiene un escáner basado en host, perderá todos los dispositivos corruptos y vulgares en dispositivos como interruptores, enrutadores, puntos de acceso Wifi, impresoras, máquinas de resonancia magnética, etc., que detectará el escáner basado en red.
- Al combinarlo con una herramienta de prueba de penetración como Metasploit, puede priorizar fácilmente sus vulns, por ejemplo, si puede explotarse con Metasploit, ¡luego corríjalo primero! (No estoy de acuerdo en que algo que no puede ser explotado por Metasploit sea un falso positivo, solo porque Metasploit no pueda explotarlo no significa que no pueda ser explotado)
- La evaluación de vulnerabilidad pasiva le permitirá ver lo que sucede detrás de los firewalls internos y otros lugares a los que no puede acceder con su escaneo de red activo.
