[Scanner de vulnérabilités eEye Retina – Partie 4] Conclusion

Par Rédaction, secuobs.com
Le 15/03/2008

---

Résumé : Avantages, critiques, retours sur investissement, comparaisons avec les solutions concurrentes, retrouvez l'ensemble des conclusions de ce dossier sur le scanner de vulnérabilités eEye Retina qui permet d'automatiser une grande partie du travail d'audit souvent redondante et laborieuse. - Lire l'article



Retina est un outil qui permet de faire d'énormes économies de temps pour un pentester, à défaut de ne pas être indispensable.

Utilisé conjointement avec d'autres scanners, du type Nessus ( lien ) par exemple, le framework d'exploitation Metasploit ( lien ), Core impact ( lien ) ou d'autres (il serait bien évidemment impossible de tous les nommer ici !) permettent d'effectuer une grosse partie du travail préliminaire.

Ce travail étant bien souvent redondant et long à effectuer. Ces types d'assistances permettent aux consultants de se concentrer sur les parties techniques plus ardues des tests, telles que les audits applicatifs par exemple.

Une utilisation alternative au cas présenté dans ce tutorial est possible, dans le but de s'assurer de la bonne validité des mises à jour des machines et serveurs du réseau. Pour ce dernier cas, des architectures plus évoluées, utilisant d'autres produits eEye (REM, Blink, Iris, etc.) seront préconisées. Des scénarios sont d'ailleurs proposés sur le site d'eEye.

Réputée pour son professionnalisme et ses fortes compétences dans le domaine de la sécurité, la société eEye s'est montrée à la hauteur des attentes, y compris techniquement.

Le bémol, dirons-nous « intrinsèque » à cette solution, est son caractère commercial. Il est bien sûr légitime de vendre une solution aussi complète, mais si les moyennes et grandes entreprises ne peineront pas à faire l'acquisition de Retina, certaines PME seront peut être réticentes aux frais engendrés par l'achat de ce produit.

Nous avons présenté ici la solution eEye de scanner de vulnérabilités. Si le produit s'est montré très efficace, nous n'en oublions bien sûr pas pour autant les autres scanners du marché. Il est d'ailleurs intéressant, afin de tester les plus et les moins de chaque solution, de comparer les sorties d'un test sur une même machine.

Les principaux critères à prendre en compte dans le choix d'un scanner sont :

- La précision des sorties : ne comprennent-elles pas trop de faux-positifs ? Qu'en est-il des faux-négatifs ? (plus embêtant... !)

- Quelle utilisation doit être faite du scanner ? Est-il nécessaire d'obtenir de nombreux détails techniques ou simplement une « prise de vue » du réseau à un instant donné ? Dans ce dernier cas, des outils de patch management pourraient s'avérer plus judicieux.

- Quel niveau de personnalisation est nécessaire ?


Pour information, il existe de nombreuses « comparaisons » disponibles sur le Web.

Attention cependant : l'utilisation de ces types d'outils n'est pas anodine et peut rapidement être lourde de conséquences : sur un réseau d'entreprise, la surcharge liée à l'envoi des requêtes n'est pas négligeable. De plus, certains tests sont susceptibles de provoquer des crashes de machines.

Même si les tests les plus intrusifs doivent normalement être activées par l'utilisateur (elles sont désactivées par défaut), les autres peuvent également provoquer d'importants effets de bord.

Le lancement de tels tests sur des machines n'appartenant pas à l'initiateur du test est bien évidemment interdit par la loi.


Autres ressources disponibles dans le dossier :

[Scanner de vulnérabilités eEye Retina – Partie 1] Introduction, documentation, version – lien

[Scanner de vulnérabilités eEye Retina – Partie 2] Configuration, rêgles et audits de sécurité – lien

[Scanner de vulnérabilités eEye Retina – Partie 3] Les modules fonctionnels et les rapports – lien