Automated scanning assets - Privacy en beveiliging

woensdag 3 mei 2023 11:21

Acties:

0 Henk 'm!

Topicstarter

Hallo allen,

Wij hebben een aantal applicaties en websites die beschikbaar zijn via het internet.
Ik ben op zoek naar een cloud tool om deze applicaties en websites periodiek te laten scannen op vulnerabilities.
Zijn er mensen die tips hebben welke leveranciers hier diensten rond leveren ?
Voorbeeld van een leverancier is https://www.intruder.io/l...zYgRnPB8oHiRoCQZ8QAvD_BwE

Groeten

woensdag 3 mei 2023 11:37

Acties:

+1 Henk 'm!

hellknight

Medieval Nerd

Zoek je echt pentesting, of meer continues vulnerability scanning?
Voor dat laatste heb je voor de zakelijke markt o.a. BitSight en SecurityScoreCard
wij hebben in het verleden BitSight gebruikt, en zijn enige tijd terug overgestapt op SecurityScoreCard.
Alle 2 geven je de mogelijkheid om zowel je eigen internet-facing zaken te checken, en informatie te krijgen over de internet facing security bij een aantal andere partijen, zoals (potentiele) klanten of leveranciers

Your lack of planning is not my emergency

woensdag 3 mei 2023 11:48

Acties:

+1 Henk 'm!

reneetjuhh1991

Pentesting en vulnerability scanning zijn verschillende dingen, die wel veel overlap met elkaar hebben.

Als ik het zo lees zoek je echt vulnerability scanning en niet pentesting. De adviezen van @hellknight zijn dan goede, Intruder.io biedt ook zo'n tool aan.

Wat ook nog tot de mogelijkheden behoord mocht self-hosting een optie zijn is OpenVAS van Greenbone, tevens zou je vanuit een andere invalshoek ook nog met Shodan.io kunnen werken dan scan je van binnenuit (OpenVAS of eerdergenoemde SaaS-tools) maar ook van buitenaf

woensdag 3 mei 2023 12:04

Acties:

0 Henk 'm!

Yarisken

Topicstarter

Bedankt voor de input. Ik zoek idd vulnerability scanning solution.
Ik ga zeker securityscorecard eens bekijken.

Ivm shodan.io. Is dat niet meer dat je eigen externe ip's kan laten checken of er veranderingen zijn zoals poorten die open komen te staan ?

woensdag 3 mei 2023 16:14

Acties:

0 Henk 'm!

ramon42

Hier zijn zeker legio aan opties voor beschikbaar. ook bijvoorbeeld een Tenable biedt met Nessus Expert een "external attack surface scan" aan, welke ongetwijfeld ook in het tenable.io pakket zit. zelfde geld voor Qualys met EASM en InsightVM van Rapid7 biedt ook een soort gelijke dienst.

zoals vermeld is openvas ook een opensource optie die je kan meenemen, echter vindt ik deze wel wat bewerkelijk en niet voor iedereen even makkelijk in gebruik.

zaterdag 6 mei 2023 10:16

Acties:

0 Henk 'm!

Orangelights23

Heb security scorecard ook veel gebruikt, maar ik vind de informatie redelijk beperkt en standaard. Gratis tooltjes op internet vinden hetzelfde. Hun tool kan ook gebruikt worden binne TPRM, maar ook dat is slechts een kleine indicatie.

Ben zelf meer een fan van Nessus en Qualys.

zaterdag 6 mei 2023 11:47

Acties:

0 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

Vraag een demo van de verschillende opties, scan dezelfde assets en vergelijk het resultaat. Indien in-house kennis beperkt is let dan goed op de output, kun je op basis daarvan zelf mitigatie regelen of moet je daar derden voor inhuren (of bied de tool zelf expertise aan, tegen welke kosten?)?

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.