如何消除从各种不同工具中获得的安全风险发现？

Question

您可能会使用各种扫描器和过程(例如，威胁建模)，这会产生一组重叠的输出。如何避免重复的发现，这些发现在工具集之间重复？

Answer 1

我曾经写过软件来做这件事。

每个工具都需要一个解析器(您也可以使用API客户机)来处理工具输出到具有以下列的表中：

• 目标ID
• 工具ID (例如"nessus")
• 工具漏洞ID -工具提供给测试的任何ID
• 信息-自由格式文本的工具输出

我的软件有一个UI，而您定义了您自己的漏洞知识库。

• 外阴ID
• 标题
• 严重性
• 描述

要将这些映射连接到一起，还定义了映射：

• (工具ID，工具漏洞ID) ->秃鹫ID

因此，当您第一次从某个特定工具导入结果时，所有的结果都会显示为"unmapped“。然后手动为所有这些映射定义映射。如果您从该工具导入了未来的结果，那么您将受益于已经定义的映射--但通常您必须映射一些以前没有触发过的新If。

在某些情况下，手动映射变得很繁琐，所以我开发了一个启发式的自动程序，它可以处理In，比如MS公告号和CVEs。但这总是需要一点人工的监督。

一旦映射了发现，就可以查看所有漏洞的列表，并查看哪个工具报告了这些漏洞。我通常采用这样的方法，即如果两个工具就一个发现达成一致，我就会把它作为确认。如果只是这样做的话，我就手动进行调查--而原始工具的输出只需点击一下即可。随着时间的推移，使用这样的系统，您将了解不同工具的复杂之处。

我知道冠层是使用类似方法的商业软件，我希望还有其他的。