Сразу видно богатый практичекий опыт автора.
Устранение уязвимостей - прямая обязанность администратора. Причем, как правило не безопасности, а ответсвующего за функционирование системы. А уж как он будет это делать - третий вопрос.И чему он рад - или не рад, тоже бизнеса особо касаться не должно. Просто в рабочем графике админа должно быть расписано время на тестирование и установку обновлений.
Не хочется вас огорчать, но по крайней мере карантин от MS, это защита от доброго человека. Поскольку все проверки осуществляются _на клиентской стороне_, и если она _уже скомпометирвана_, то все эти проверки _не эффективны_.
Я рыдаю. Ну как в ыайдете уязвимость по TCP-флагам Ну максимум - отфигерпринтите OS до семейства по размеру окна и т.д. По баннерам пассивные сканнеры работают, по баннерам.
Дык сканнер это и пытается сделать
PS. А сканеры уровня узла отжили, Алексей, отжили. SSH с root или SMB\WMI с админом. Всем хватает.
Что касается заголовка статьи то в принципе все направления развития описаны, чуть чуть от себя:
1. Расширение функций инвентаризации за счет контроля не только версий ОС и сетевых служб но и установленного на клиенте сетевого ПО, причем и не подерживаемого сканером (например установка Opera, когда коропоративная политика безопасности предписывает FFx). Сюда же можно отнести продвинутые отчеты, демонстрирующие изменение сети.
2. Отслеживание уязвимости в динамике (к примеру, сканер + Symantec Deep Sight Alert ), т.е. что бы уровень риска уязвимости не был "сферическим конем в вакууме", а привязывался к конкретной системе и текущему положению дел. Сюда же падают различные двусторонние свзяи с системами анализа ритсков.
3. А как же любимая всеми интеграция сканеров с активными системами, например IPS или тем же карантином? Когда при обнаружении уязвимой службы, доступ к ней просто блокируется на сетевом оборудовании?
Цитата |
---|
Администратор и так загружен другими задачами – навешивать на него устранение дыр на сотнях узлов корпоративной сети |
Устранение уязвимостей - прямая обязанность администратора. Причем, как правило не безопасности, а ответсвующего за функционирование системы. А уж как он будет это делать - третий вопрос.И чему он рад - или не рад, тоже бизнеса особо касаться не должно. Просто в рабочем графике админа должно быть расписано время на тестирование и установку обновлений.
Цитата |
---|
Администратор и так загружен другими задачами – навешивать на него устранение дыр на сотнях узлов корпоративной сети |
Не хочется вас огорчать, но по крайней мере карантин от MS, это защита от доброго человека. Поскольку все проверки осуществляются _на клиентской стороне_, и если она _уже скомпометирвана_, то все эти проверки _не эффективны_.
Цитата |
---|
TCP-флаги, размер окна и т.п. |
Я рыдаю. Ну как в ыайдете уязвимость по TCP-флагам Ну максимум - отфигерпринтите OS до семейства по размеру окна и т.д. По баннерам пассивные сканнеры работают, по баннерам.
Цитата |
---|
Рассылаются не просто бюллетени о тех или иных дырах, а составляется некий аналитический отчет, содержащий информацию только о проблемах в используемом вами ПО. |
Дык сканнер это и пытается сделать
PS. А сканеры уровня узла отжили, Алексей, отжили. SSH с root или SMB\WMI с админом. Всем хватает.
Что касается заголовка статьи то в принципе все направления развития описаны, чуть чуть от себя:
1. Расширение функций инвентаризации за счет контроля не только версий ОС и сетевых служб но и установленного на клиенте сетевого ПО, причем и не подерживаемого сканером (например установка Opera, когда коропоративная политика безопасности предписывает FFx). Сюда же можно отнести продвинутые отчеты, демонстрирующие изменение сети.
2. Отслеживание уязвимости в динамике (к примеру, сканер + Symantec Deep Sight Alert ), т.е. что бы уровень риска уязвимости не был "сферическим конем в вакууме", а привязывался к конкретной системе и текущему положению дел. Сюда же падают различные двусторонние свзяи с системами анализа ритсков.
3. А как же любимая всеми интеграция сканеров с активными системами, например IPS или тем же карантином? Когда при обнаружении уязвимой службы, доступ к ней просто блокируется на сетевом оборудовании?