Prijs Vulnerability scanning software per IP adres

Wow. 'we willen vulnerability scanning maar het mag amper wat kosten'.

Begin eens te vergelijken, wat doet de 3 cent versie? En wat doet de 40 euro versie.

Neem contact op met de vendors, en vraag korting (die 40 euro is waarschijnlijk voor 100 IPs ofzo).

En ofwel heb je mandaat om iets aan te schaffen met een bepaald budget, ofwel moet je een powerpoint afleveren met daarin de mogelijkheden en beslist iemand anders.

Nessus/Tenable?

Verwijderd schreef op zondag 15 december 2019 @ 19:04:
Hallo,
Bedankt voor je antwoord. Het vervelende is, dat we een Europese aanbesteding moeten doen en dan van tevoren een schatting van de kosten moeten opgeven (volgens de aanbestedingswet moet dat) én we mogen later niet onderhandelen. Dus we moeten een logische raming geven op basis van ons programma van eisen. Die eisen zijn zodanig dat het niet een heel goedkoop product gaat worden. Maar wat dan een goede schatting is, dat vinden zelfs onze die hard inhoudelijk deskundigen (terecht) ingewikkeld. We zullen gemiddeld 150.000 IP adressen willen scannen en daarop moeten we dus die schatting baseren.

Je vraagt nu dus, gezien de EU aanbesteding, eigenlijk namens een (lokale?) overheid naar de goedkoopste oplossing aangaande een volledig SIEM systeem?

Moet het een 'dienst' worden (SaaS) óf wil je 't zélf gaan (blijven) beheren en/of managen?

[ Voor 8% gewijzigd door Will_M op 15-12-2019 19:19 ]

Wat voor machines wil je scannen (standaard desktops/laptops, tablets/telefoons, servers, networked appliances (MFPs, toegangscontrole)), en waarop? "Vulnerability scanning" zegt niet zo veel.
Hebben jullie een security partner die jullie kan helpen bij het bepalen van de scope en dus de verwachte kosten?

TommyboyNL schreef op zondag 15 december 2019 @ 19:12:
Wat voor machines wil je scannen (standaard desktops/laptops, tablets/telefoons, servers, networked appliances (MFPs, toegangscontrole)), en waarop? "Vulnerability scanning" zegt niet zo veel.
Hebben jullie een security partner die jullie kan helpen bij het bepalen van de scope en dus de verwachte kosten?

Royal Club: Doe maar een 'frisje' ....

Verwijderd schreef op zondag 15 december 2019 @ 19:04:
Bedankt voor je antwoord. Het vervelende is, dat we een Europese aanbesteding moeten doen en dan van tevoren een schatting van de kosten moeten opgeven (volgens de aanbestedingswet moet dat)

Mwoa. Als je voor Europees gaat dan heb je voor jezelf al bepaald dat het meer dan 2 ton gaat kosten. Meer hoef je niet te schatten.

én we mogen later niet onderhandelen.

Ook niet per se waar, al zal dat voor 'standaardzaken' als dit inderdaad wel kloppen.
Maar het gaat er dus om een correcte en complete beschrijving geven van wat je wilt (eisen, wensen, weging tussen wensen en prijs, etc.). Laat dan de beste prijs maar aan de leverancier.

Anyway, reden dat ik reageer: ik verplaats even van CSA naar de beveiligings-buren.

SaaS of on premise zou ik met klem adviseren vooraf te bepalen. Desgewenst na marktonderzoek. Maakt nogal uit voor je vraag - en voor de prijs.

[ Voor 7% gewijzigd door F_J_K op 15-12-2019 19:20 ]

wimmel_1 schreef op zondag 15 december 2019 @ 19:14:
[...]


Royal Club: Doe maar een 'frisje' ....

Precies dit inderdaad...
De vraag van TS is even algemeen als "Ik wil een fiets kopen. Wat voor een maakt niet uit. Ik hoor bedragen van €20 tot €20.000. Dat is wel een erg grote range."

Ga bij die aantallen maar uit dat het rond de € 7 per IP per jaar kost en daar kan je een range van +/- 20% op los laten.

Wim-Bart schreef op zondag 15 december 2019 @ 19:46:
Ga bij die aantallen maar uit dat het rond de € 7 per IP per jaar kost en daar kan je een range van +/- 20% op los laten.

Dan heb je het hopelijk alléén over de software licenties welke er aan (de beetje érg goedkope) 'pakketten' hangen welke die functionaliteit eventueel zouden kúnnen bieden?

De TS stapt morgen op basis van dat, door jou, berekende bedrag naar z'n werkgever en 'klust' 't spel even in elkaar (of toch maar beter van niet?)... En is vervolgens alléén tijdens 't opstellen van een 'simpel' HLD al ruim 't dubbele aan kosten kwijt zonder dat er ook nog maar érgens iets 'draait'....

[ Voor 27% gewijzigd door Will_M op 15-12-2019 21:11 ]

En maar raar vinden dat overheid en ict projecten niet samen lijken te gaan...

Ik mag hopen dat dit constructief is

[ Voor 33% gewijzigd door Jazzy op 15-12-2019 21:51 . Reden: Kom op joh. ]

Junia schreef op zondag 15 december 2019 @ 20:43:
Ik mag hopen dat dit een trol is

't Klinkt, vanwege de posts van de TS, meer als een (domme) stage opdracht waarbij NIEMAND eigenlijk weet wát exact te doen mét.....

Verwijderd schreef op zondag 15 december 2019 @ 21:13:
Hm, gezien de rare reacties neem ik in het vervolg liever contact op met deskundigen op security gebied van andere aanbestedende diensten die de problematiek en verplichtingen kennen en niet gelijk gaan roeptoeteren dat iemand een trol is. Voor degenen die wel echt wilden helpen: hartelijk dank, ik stel het op prijs.

Ik zie slechts 1 rare reactie die je een troll noemt (@Junia), en verder 1 niet onderbouwde reactie waarin een willekeurig bedrag genoemd wordt (@Wim-Bart), 1 reactie die de vinger op de zere plek legt m.b.t. overheidsprojecten/aanbestedingen (@michielRB), en verder vooral mensen die gerichte vragen stellen om jou richting een onderbouwd en gekwalificeerd antwoord te helpen.
Dat je op basis 1 rare reactie het hele topic in de steek laat vind ik redelijk, euhm, typisch. Is het niet handiger om het topic nog een keer door te lezen, enkele posts te negeren, en de openstaande vragen te beantwoorden?

TommyboyNL schreef op zondag 15 december 2019 @ 21:25:
[...]

Ik zie slechts 1 rare reactie die je een troll noemt (@Junia), en verder 1 niet onderbouwde reactie waarin een willekeurig bedrag genoemd wordt (@Wim-Bart), 1 reactie die de vinger op de zere plek legt m.b.t. overheidsprojecten/aanbestedingen (@michielRB), en verder vooral mensen die gerichte vragen stellen om jou richting een onderbouwd en gekwalificeerd antwoord te helpen.
Dat je op basis 1 rare reactie het hele topic in de steek laat vind ik redelijk, euhm, typisch. Is het niet handiger om het topic nog een keer door te lezen, enkele posts te negeren, en de openstaande vragen te beantwoorden?

Misschien dat we Rapid 7 ook wel aan 'm kunnen verkopen

Verwijderd schreef op zondag 15 december 2019 @ 21:13:
Hm, gezien de rare reacties neem ik in het vervolg liever contact op met deskundigen op security gebied van andere aanbestedende diensten die de problematiek en verplichtingen kennen en niet gelijk gaan roeptoeteren dat iemand een trol is. Voor degenen die wel echt wilden helpen: hartelijk dank, ik stel het op prijs.

Eerlijk gezegd denk ik dat dat echt een beter idee is. Het is heel gewoon voor een organisatie om voor dit soort zaken een specialist in te huren die vaker met dat bijltje heeft gehakt, en die de behoeften van jouw organisatie kan onderzoeken, omdat de doorsnee systeembeheerder hier te weinig van weet. Het kost wat maar een specialist kan je behoeden voor fouten die anders veel duurder zouden zijn. Zeker een Europese aanbesteding vereist zorgvuldigheid.

inderdaad is het belangrijk om te bedenken wat je wil, en vooral als je kijkt naar het opvolgen van de resultaten. daarnaast moet je kijken of je authenticated scan wil laten uitvoeren (die vindt meer) en hoe je dat beveiligt (liever geen service account met admin rechten op alle machines)

Nessus om je interne ip range te scannen is niet kostbaar, maar zodra je er een werkbare lijst van wil maken zal je meer moeten doen. nessus (professional) spuugt een lijst uit met gevonden zwakheden en geeft elk item op deze lijst een classificatie (low, medium, high)

helaas is het zo dat in een complexere omgeving, je niet alle kwetsbaarheden kan oplossen, dus bij een aantal host-vulnerability combinaties wil je een vlaggetje kunnen zetten dat dat een aanvaardbaar risico is, waarbij je na x tijd die afweging opnieuw gaat maken.

edit: mijn advies is om een pre-study te laten uitvoeren

[ Voor 3% gewijzigd door burnedhardware op 15-12-2019 21:38 ]

burnedhardware schreef op zondag 15 december 2019 @ 21:36:
inderdaad is het belangrijk om te bedenken wat je wil, en vooral als je kijkt naar het opvolgen van de resultaten. daarnaast moet je kijken of je authenticated scan wil laten uitvoeren (die vindt meer) en hoe je dat beveiligt (liever geen service account met admin rechten op alle machines)

Nessus om je interne ip range te scannen is niet kostbaar, maar zodra je er een werkbare lijst van wil maken zal je meer moeten doen. nessus (professional) spuugt een lijst uit met gevonden zwakheden en geeft elk item op deze lijst een classificatie (low, medium, high)

helaas is het zo dat in een complexere omgeving, je niet alle kwetsbaarheden kan oplossen, dus bij een aantal host-vulnerability combinaties wil je een vlaggetje kunnen zetten dat dat een aanvaardbaar risico is, waarbij je na x tijd die afweging opnieuw gaat maken.

edit: mijn advies is om een pre-study te laten uitvoeren

Je hebt er helaas zélfs "Security Consultants" bij welke, op basis van een simpele Nessus Scan, ALLES 'opgelost' willen zien en daar vervolgens een aanbeveling op doen naar (willekeurige) klanten zonder rekening te houden met de 'business'.... Vervolgens ligt het hele "MS Windows (Azure) domein" van zo'n klant, inclusief ADFS om zeep..... En zijn de rapen écht aan het dansen + de poppen gaar.

Modbreak:

Discussie graag op inhoud en niet op de man. Dank u.

nee, met prestudy bedoel ik een analyse van hoe je omgaat met patch- en vulnerability management, en welke oplossing(en) daarbij horen.

de vulnerability scanner zou enkel een bevestiging moeten geven van het juist werken van je patch management... en nu de werkelijkheid...

1: wat is je patchbeleid?
- rol je alle patches direct uit op al je systemen of doe je dat gefaseerd?
- hoe ga je om met je OTAP omgeving? hoe lang mag die ongepatched draaien? heb je automatiche testscripts om de werking te testen of moet een van je beheerders dat in zijn overuren doen? het resultaat daarvan bepaalt hoe lang je erover doetvoordat je bedrijfskritische applicaties hebt gepatcht.
2: hoe ga je om met non-standard machines
... en met machines waarbij een of meerder patches gefaald zijn.. mogen die nog het netwerk op?
3: hoe is je beheer- en security organisatie ingericht? als je een SOC hebt, dan is de vulnerabilityinformatie ene goede aanvulling op informatie uit allerlei sensoren, zodat je de juiste conclusie kan trekken als je iets verdachts ziet.

dus... dat is een hele studie...

burnedhardware schreef op zondag 15 december 2019 @ 21:57:
nee, met prestudy bedoel ik een analyse van hoe je omgaat met patch- en vulnerability management, en welke oplossing(en) daarbij horen.

de vulnerability scanner zou enkel een bevestiging moeten geven van het juist werken van je patch management... en nu de werkelijkheid...

1: wat is je patchbeleid?
- rol je alle patches direct uit op al je systemen of doe je dat gefaseerd?
- hoe ga je om met je OTAP omgeving? hoe lang mag die ongepatched draaien? heb je automatiche testscripts om de werking te testen of moet een van je beheerders dat in zijn overuren doen? het resultaat daarvan bepaalt hoe lang je erover doetvoordat je bedrijfskritische applicaties hebt gepatcht.
2: hoe ga je om met non-standard machines
... en met machines waarbij een of meerder patches gefaald zijn.. mogen die nog het netwerk op?
3: hoe is je beheer- en security organisatie ingericht? als je een SOC hebt, dan is de vulnerabilityinformatie ene goede aanvulling op informatie uit allerlei sensoren, zodat je de juiste conclusie kan trekken als je iets verdachts ziet.

dus... dat is een hele studie...

Ik mag hopen dat je je Acceptatie en Productie deel gescheiden hebt van het Test en Ontwikkel deel.... Heb je dat NIET dan is jouw OTA netwerk tevens het Productie netwerk van de klant

wimmel_1 schreef op zondag 15 december 2019 @ 22:02:
[...]


Ik mag hopen dat je je Acceptatie en Productie deel gescheiden hebt van het Test en Ontwikkel deel.... Heb je dat NIET dan is jouw OTA tevens het Productie netwerk van de klant

OT:
_{Alle bedrijven/instellingen hebben een test omgeving, een aantal gelukkige bedrijven/instellingen hebben daarnaast ook een productie omgeving}

de voorbeelden die ik tot nu toe ben tegen gekomen zijn het verschillende servers op hetzelfde netwerk

edit: en dan wil je de patches bevriezen, anders weet je niet wat je test

[ Voor 27% gewijzigd door burnedhardware op 15-12-2019 22:07 ]

redfoxert schreef op zondag 15 december 2019 @ 22:04:
[...]


OT:
_{Alle bedrijven/instellingen hebben een test omgeving, een aantal gelukkige bedrijven/instellingen hebben daarnaast ook een productie omgeving}

A:
Dat Accepteren ze dan ook maar

burnedhardware schreef op zondag 15 december 2019 @ 21:57:
nee, met prestudy bedoel ik een analyse van hoe je omgaat met patch- en vulnerability management, en welke oplossing(en) daarbij horen.

de vulnerability scanner zou enkel een bevestiging moeten geven van het juist werken van je patch management... en nu de werkelijkheid...

1: wat is je patchbeleid?
- rol je alle patches direct uit op al je systemen of doe je dat gefaseerd?
- hoe ga je om met je OTAP omgeving? hoe lang mag die ongepatched draaien? heb je automatiche testscripts om de werking te testen of moet een van je beheerders dat in zijn overuren doen? het resultaat daarvan bepaalt hoe lang je erover doetvoordat je bedrijfskritische applicaties hebt gepatcht.
2: hoe ga je om met non-standard machines
... en met machines waarbij een of meerder patches gefaald zijn.. mogen die nog het netwerk op?
3: hoe is je beheer- en security organisatie ingericht? als je een SOC hebt, dan is de vulnerabilityinformatie ene goede aanvulling op informatie uit allerlei sensoren, zodat je de juiste conclusie kan trekken als je iets verdachts ziet.

dus... dat is een hele studie...

Hier zijn nog heel veel vragen aan toe te voegen. Bijvoorbeeld, wat ga je doen met scanresultaten van 100k+ IPs? Afgaande op de topicstart is de kans klein dat de organisatie de resultaten kan verwerken, laat staan aanpakken.

Als je dit niet vooraf plant dan koop je een dure tool die niets oplost. Wel een vinkje op de compliance lijst

Rukapul schreef op zondag 15 december 2019 @ 22:06:
[...]
Wel een vinkje op de compliance lijst

precies... dat is net zoiets als een red team inhuren om te kijken of ze binnen 5 of binnen 15 minuten domain admin zijn

edit: laten we constructief blijven : als je nog niets hebt, dan is nessus professional een goede eerste stap. bedenk dat je nog een lange weg te gaan hebt. als je meer budget nodig hebt, zou ik wat voorbeelden aanhalen van recent geransomwarede amerikaanse semi-overheid en risico op AVG boetes voor onvoldoende beveiliging.

[ Voor 36% gewijzigd door burnedhardware op 15-12-2019 22:14 ]

wimmel_1 schreef op zondag 15 december 2019 @ 20:17:
[...]


Dan heb je het hopelijk alléén over de software licenties welke er aan (de beetje érg goedkope) 'pakketten' hangen welke die functionaliteit eventueel zouden kúnnen bieden?

De TS stapt morgen op basis van dat, door jou, berekende bedrag naar z'n werkgever en 'klust' 't spel even in elkaar (of toch maar beter van niet?)... En is vervolgens alléén tijdens 't opstellen van een 'simpel' HLD al ruim 't dubbele aan kosten kwijt zonder dat er ook nog maar érgens iets 'draait'....

Ik vind Qualys nu niet echt een simpel product. Maar ik vermoed dat de tussenpartij in Nederland het wel 10 keer over de kop wil laten zien gaan om weer een poot uit te draaien.

Wim-Bart schreef op zondag 15 december 2019 @ 22:20:
[...]

Ik vind Qualys nu niet echt een simpel product. Maar ik vermoed dat de tussenpartij in Nederland het wel 10 keer over de kop wil laten zien gaan om weer een poot uit te draaien.

Met contracten komen er tevens verantwoordelijkheden.....

wimmel_1 schreef op zondag 15 december 2019 @ 22:22:
[...]


Met contracten komen er tevens verantwoordelijkheden.....

Tja, je zal zien dat de personen die het hardst roepen dat de Overheid op zijn centen moet letten, altijd zelf vooraan staan om voor de zaak de boel weer een poot uit te draaien.

Overigens is de vraagstelling wel een beetje discutabel. Want wat willen ze daadwerkelijk, willen ze alleen monitoren op vunerabilities, of ook scannen en bedreigingen elimineren. Willen ze integreren met bijvoorbeeld Microsoft Defender? Er zijn zo veel variabelen die niet bekend zijn. Het bedrag wat ik noemde was overigens het bedrag per pc/jaar voor alleen monitoren, wil je dingen oplossen dan zit je op factor 12 per jaar per werkplek en ongeveer rond de € 1700,00 per server. Dan kost je een Console Enterprise licentie nog € 500 jaar extra + de nodige VM's om het spul te hosten en databases er achter. En daarnaast is het fijn om er ook nog eens Splunk er naast te draaien bijvoorbeeld.

Kortom, natuurlijk is mijn reactie misschien te kort door de bocht, maar de vraagstelling is dan ook niet geheel conform. Maar met € 700K per jaar zal je er niet veel naast zitten Hij had het over 100.000 IP adressen tenslotte zonder enige onderbouwing.

@Wim-Bart Já... Én nou dácht de TS hier daarstraks al even lekker goedkoop klaar te zijn met een 'simpele' NESSUS Scan installatie vanop op een oud desktopje van z'n werkgever. Kom je nú ineens, amper een uur later, al met €700.000,- op jáárbasis aan

[ Voor 8% gewijzigd door Will_M op 15-12-2019 22:54 ]

wimmel_1 schreef op zondag 15 december 2019 @ 22:43:
@Wim-Bart Já... Én nou dácht de TS hier daarstraks al even lekker goedkoop klaar te zijn met een 'simpele' NESSUS Scan installatie vanop op een oud desktopje van z'n werkgever. Kom je nú ineens, amper een uur later, al met €700.000,- op jáárbasis aan

Mij eerste reactie was al 7 ton TS kwam met de vraag per IP en hij had het over 100.000 IP Adressen

Wim-Bart schreef op zondag 15 december 2019 @ 22:57:
[...]
Mij eerste reactie was al 7 ton TS kwam met de vraag per IP en hij had het over 100.000 IP Adressen

Klopt

Alleen niet dat íe dat bedrag per jaar van 'gebruik' mag gaan aftikken én er nog niets ingericht is voor dat bedrag alléén. Toch wel een wezenlijk verschilletje voor de meeste mensen / bedrijven (of overheden).

[ Voor 7% gewijzigd door Will_M op 15-12-2019 23:09 ]

wimmel_1 schreef op zondag 15 december 2019 @ 23:00:
[...]


Klopt

Alleen niet dat íe dat bedrag per jaar van 'gebruik' mag gaan aftikken. Toch wel een wezenlijk verschilletje voor de meeste mensen / bedrijven (of overheden).

Ja, volgens mij moeten ze bij overheid dit in 1 keer inkopen voor de termijn van de gunning. Dat maakt het verhaal nog veel complexer.

Eigenlijk moet je eerst een aanbesteding doen voor een architectuur waarbij de maker van de architectuur niet mag inschrijven voor de aanbesteding van de producten. En mogen producten ook niet rechtstreeks aanbesteed worden. Kansloos eigenlijk.

Ik denk dat hij beter een aanbesteding moet uitschrijven voor een oplossing inclusief architectuur, technisch ontwerp, project, implementatie, documentatie, maar training en... Duidelijke resultaat verplichting met bijbehorende boetes. En dan zit je met die aantallen al snel op de 4-5 miljoen over 3 jaar. De maar tja, dat is dus koffiedik kijken, want we weten helemaal niks en het bedrag kan zo maar de helft zijn, of 5 keer zo veel. Te veel onbekende variabelen.

En ze hebben een ander issue, ik zit al bij een andere opdrachtgever.... Lol

Mensen, iemand stelt een vraag voordat de actie wordt uitgevoerd. Wat een goed plan is... Zeker ook voor overheidsgeld

@Verwijderd ik denk dat het beter is om desgewenst een nieuw topic te openen met iets concretere uitvraag.