私は最近、OpenVASを使用してオフィスネットワークで最初の脆弱性スキャンを実行しました。大量の誤検知を受けました。ほとんどの場合、(少なくともいくつかの)テストはシステムの内部パッチを認識していません。
たとえば、Ubuntu 16.04システムではCVE-2016-6515, CVE-2016-6210
のアラートが表示されました。 OpenVASはOpenSSH 7.2p2
を実行するシステムを認識しましたが、これらは7.2p2-4ubuntu2.1
で更新されており、後でまだ何かを使用しています。変更ログでパッチが適用されたことがわかります。
OpenVASだけでなく、将来的には再度スキャンする予定です。偽陰性の確率を上げることなくそれらを回避する方法はありますか?認証済みスキャンを使用する方が良いでしょうか?テストのソースをそのような目的で処理する方法はありますか?
NVTはリモートで両方のCVEのチェックを行っており、デフォルトではLinuxシステムに対する脆弱性を示していません。それらが表示されている場合、私は2つの可能性を考えることができます。
「検出の品質(QoD)」が低いNVTの結果を表示するようにフィルターを構成しました。 QoD
の説明については [1] を参照してください。 [2] に設定した可能性のあるフィルターの70の「デフォルト」値については、低い値。
何らかの理由で、システムがWindowsとして検出されたため、より高いQoD
が想定されます。
「大量の誤検知」がこれの良い指標になる可能性があるため、最初に確認するのはケース1.だと思います。
2.は非常にまれですが、OID 1.3.6.1.4.1.25623.1.0.105937どのOSであるかで、「OS検出の統合とレポート」と呼ばれるNVTの「ログ」出力を確認できます。そのホストで検出されました。
免責事項:NVT開発者の回答@ Greenbone
特定のシステムにインストールされたソフトウェアの正確なバージョンを検出できるため、認証された脆弱性スキャンは、認証されていないスキャンよりも定義ごとに優れています。
また、認証されたスキャンの助けを借りて、他の方法では気付かれなかったはずの構成の弱点を検出することが可能です。
非認証スキャンを実行することをお勧めします(ブラックボックスシナリオで)システムをスキャンする場合に、攻撃者が何を検出できるかについての代表的なテストが必要な場合のみです。もう1つの理由は、非常に大規模なネットワークがあり、完全な認証スキャンを実行できない時間制約がある場合です。