Как написать отчет о внутреннем сканировании уязвимостей для моего проекта?
Должен ли я использовать инструмент для создания этого отчета? Я искал в Интернете, связанный с этим, но я не смог понять это.
Отчет о внутреннем сканировании уязвимостей
Ответы (1)
Внутреннее сканирование уязвимостей обычно выполняется автоматизированным инструментом. На рынке их много, включая как FOSS, так и коммерческое программное обеспечение. Если вы не знаете, с чего начать поиск, воспользуйтесь списком утвержденных поставщиков сканирования (ASV) на веб-сайте PCI — хорошее место для начала. Вам не обязательно использовать ASV для внутреннего сканирования, но у них наверняка есть продукты, которые могут вам помочь.
Внутреннее сканирование уязвимостей обычно запускается с консоли, имеющей доступ к внутренней среде. Он начнет с сетевых тестов и будет продвигаться вверх по стеку в зависимости от того, что он найдет. Учитывая, что это автоматическое сканирование, не ожидайте, что оно обеспечит такой же уровень детализации, как целевой тест на проникновение, но это хорошее начало, чтобы увидеть, где ваша безопасность.
Было бы довольно необычно писать собственный сканер уязвимостей, поскольку для этого требуются специальные знания о сетях, операционных системах и приложениях, а также об уязвимостях в системе безопасности. И его нужно поддерживать в актуальном состоянии по мере обнаружения новых уязвимостей в стеке. Если у вас есть все эти навыки, то, вероятно, для вас есть работа в одной из коммерческих компаний!