我最近使用 OpenVAS 在我的办公室网络中运行了第一次漏洞扫描。我们收到了大量的误报。大多数情况下,我看到(至少有一些)测试不知道系统中的内部补丁。
例如,我们收到了以下警告:CVE-2016-6515, CVE-2016-6210在 Ubuntu 16.04 系统上。OpenVAS 识别出要运行的系统,OpenSSH 7.2p2但这些系统已更新7.2p2-4ubuntu2.1,我们稍后仍在使用某些东西。我可以看到它已在更改日志中进行了修补。
我们打算在未来再次扫描,而不仅仅是使用 OpenVAS。有没有办法在不增加假阴性几率的情况下避免它们?使用经过身份验证的扫描会更好吗?有没有办法处理这样的测试来源?
NVT 正在远程检查两个 CVE,默认情况下没有显示针对 Linux 系统的漏洞。如果他们出现,我可以想到两种可能性:
您已将过滤器配置为显示“检测质量 (QoD)”较低的 NVT 的结果。请参阅[1]以了解过滤器中的“默认”值 70的描述QoD和[2],您可能已将其设置为较低的值。
出于某种原因,系统被检测为 Windows,因此QoD假定为更高。
我想情况 1. 将是首先要检查的事情,因为“大量误报”可能是一个很好的指标。
虽然 2. 不太可能,但您仍然可以使用 OID 1.3.6.1.4.1.25623.1.0.105937 检查 NVT 的“日志”输出,称为“操作系统检测合并和报告”,在该主机上检测到操作系统。
免责声明:NVT 开发人员@Greenbone 的回答
能够检测给定系统上确切安装的软件版本,经过身份验证的漏洞扫描根据定义比未经身份验证的扫描更好。
此外,借助经过身份验证的扫描,可以检测到配置弱点,否则这些弱点会被忽视。
如果您想对攻击者是否会扫描您的系统(在黑匣子场景中)能够检测到什么进行代表性测试,我只建议您运行未经身份验证的扫描。另一个原因是当您有一个非常大的网络并且时间限制不允许您进行完整的身份验证扫描时。