Come trovare e correggere le vulnerabilità da Default Account in InsightVM

04/01/2021
In questo post del blog, parleremo di un paio di funzionalità meno recenti e meno conosciute che possono ancora fornire un valore straordinario utilizzando InsightVM trattando le Vulnerability Categories, per trovare le categorie e sfruttarle come filtri di asset con i Dynamic Asset Group (DAG), consentendoci di creare un workflow da configurare ed eseguire su nuove installazioni per monitorare e riparare le vulnerabilità dei Default Account. Vedremo anche come utilizzare questo workflow come template per altri workflow simili con diverse Vulnerability Categories.

Vulnerability Categories e dove trovarle in InsightVM
La prima cosa che suggeriamo di mostrare a ogni cliente durante una distribuzione, mentre esploriamo le opzioni nel template di scansione sono le Vulnerability Categories. È possibile visualizzare un elenco di tutte le Vulnerability Categories nella scheda Vulnerability di qualsiasi template di scansione. Mostrerà un elenco di tutte le diverse categorie e, se lo si desidera, è anche possibile approfondire ogni categoria e vedere tutti i controlli di vulnerabilità effettivi che risiedono in ciascuna categoria.

Andare nella Vulnerability Check Tab sullo Scan Template e fare clic su “Add Categories

vulnerabilità Default Account InsightVM

Ora che sappiamo di questo elenco di categorie di vulnerabilità, concentriamoci sulla categoria di vulnerabilità “Default Account“. Questa categoria mostrerà tutti i controlli di vulnerabilità associati alle risorse che sono vulnerabili alle credenziali dell’account predefinito. Un esempio potrebbe essere un sistema che esegue Telnet sulla porta 23 utilizzando il nome utente “admin” e la password “admin“. Questo tipo di vulnerabilità dovrebbe essere la prima cosa da risolvere nel proprio progetto di vulnerability management, poiché possono essere sfruttate con un’esperienza di hacking quasi nulla.

vulnerabilità Default Account InsightVM

Creazione di un Dynamic Asset Group (DAG) in InsightVM
Per sfruttare la categoria di vulnerabilità “Default Account“, la prima cosa da fare, è creare un Dynamic Asset Group o DAG.

Creare un Dynamic Asset Group (DAG)

vulnerabilità Default Account InsightVM

Creare un Dynamic Asset Group con un filtro ‘Vulnerability Category IS Default Account’, fare clic su Search, quindi su Create Asset Group e salvare il DAG con il nome “Devices Authenticated with Default Creds

vulnerabilità Default Account InsightVM

Questo mostrerà tutte le risorse con vulnerabilità del default account. La sfida adesso è, se una risorsa ha 1.000 vulnerabilità, come capire quale vulnerabilità su quella risorsa è la vulnerabilità del default account. Vediamo come superare questa sfida.

Per risolvere questa sfida, è possibile utilizzare una funzione meno nota durante la creazione di un Report denominato “Vulnerability Filters have been applied“. Quindi, definire l’ambito di un Report con il DAG “Devices Authenticated with Default Creds” creato nel passaggio precedente.

 

Report sulle vulnerabilità dell’account predefinito in InsightVM

Creare un report, selezionando il template “Top Remediation reportwith Details“:

Scegliere quindi come Scope, l’Asset Groups creato nel passaggio precedente “Devices Authenticated with Default Credentials“:

Selezionare il Vulnerability Filter per includere la categoria specifica ‘Default Account’:

Salvare ed eseguire il report:

Combinando il DAG “Devices Authenticated with Default Creds” con il filtro in un report (consigliato il report “Top Remediation with Details“), ora è possibile ottenere un report che mostra solo le risorse con vulnerabilità dell’account predefinito e mostra solo le soluzioni per queste vulnerabilità. Questo report consentirà di vedere esattamente quale vulnerabilità del Default Account è presente su ciascuna risorsa e la soluzione per risolvere la vulnerabilità.

Esempio di vulnerabilità e soluzione del Default Account:

Questo workflow è qualcosa da mostrare alla gente, come un modo per iniziare le attività di remediation in modo concreto. Non solo questi tipi di controlli possono essere un’ottima cosa da risolvere appena si avvia il progetto di vulnerability management, ma permettono anche di iniziare a stabilire una credibilità e un rispetto sorprendenti quando si inizia concretamente a fornire evidenze e soluzioni immediate.

Ora che abbiamo spiegato questo fantastico workflow e sappiamo come vedere tutte le possibili categorie di vulnerabilità, possiamo utilizzare lo stesso workflow con qualsiasi categoria di vulnerabilità. Alcune altre categorie di vulnerabilità che consigliamo di utilizzare sono “Obsolete OS”, “Insecure Remote Access”, “Obsolete Software” o qualcosa di più grande come “Adobe”.

Webinar - 30/11/2022, 10:30 AM

Scopri i vantaggi di una soluzione unificata di gestione degli endpoint
PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

8 modi per ridurre i costi IT

8 modi per ridurre i costi IT

I responsabili IT sono sempre sotto pressione per fornire prestazioni senza interruzioni al minor costo possibile. Di recente, queste pressioni sono aumentate notevolmente con l'aumento dell'inflazione in gran parte del mondo. Tutto sta diventando più costoso e molto...

Che cos’è il session hijacking e come prevenirlo?

Che cos’è il session hijacking e come prevenirlo?

I dispositivi infetti da malware possono devastare le organizzazioni, ma la minacce spesso provengono dall'esterno dell'azienda. I dispositivi non gestiti (personali o condivisi) rappresentano minacce significative quando vengono utilizzati per accedere alle...

Zeek è ora un componente di Microsoft Windows

Zeek è ora un componente di Microsoft Windows

La piattaforma di monitoraggio della sicurezza della rete open source leader a livello mondiale è ora distribuita su oltre un miliardo di endpoint globali Corelight, leader nel rilevamento e risposta di rete aperta (NDR), ha annunciato oggi l'integrazione di Zeek®, la...