Home » Learning Center » Feature: False Positives verwalten 

Feature: False Positives verwalten

Als False Positive wird eine Meldung bezeichnet, die ein in Wirklichkeit nicht vorhandenes Problem beschreibt.

Der Schwachstellen-Scanner findet oft Hinweise, die auf ein Sicherheitsproblem hindeuten, aber keine definitive Aussage zulassen. Ein Bericht über diese Hinweise könnte zu einem False Positive führen. Unterläßt man dies aber, so kann das Gegenteil passieren: Ein False Negative, also keine Nachricht obwohl tatsächlich ein Sicherheitsproblem vorliegt.

Während sich False Positives messen und verwalten lassen, ist dies für False Negatives nicht möglich. Würde man False Negatives akzeptieren um die Anzahl der False Positives möglichst gering zu halten wäre in der Folge kein verlässlicher Bericht über Scan-Ergebnisse und Schwachstellen-Analyse mehr möglich.

Ein Beispiel für ein False Positive: Ein auf einem Zielrechner laufender Dienst identifiziert sich bei einem Scan als Version "1.3.11", eine als verwundbar bekannte Version. Ohne nähere Kenntnisse des Systems muss der Scanner davon ausgehen, dass eine Schwachstelle existiert und diesen Umstand in seinen Bericht aufnehmen. Der für diesen Rechner zuständige Administrator weiß aber, dass auf dem Rechner die Schwachstelle bereits behoben ist und der Dienst in der Version "1.3.11-1" vorliegt, sich aber immer noch als Version "1.3.11" identifiziert.

Ein Ergebnis als False Positive markieren

Um ein Ergebnis als False Positive zu markieren, müssen Sie zunächst ein Override anlegen, indem Sie auf das Symbol klicken.

Die folgenden Schritte führen beispielhaft durch die Markierung eines False Positives.

Die Überprüfung eines entfernten Systems hat ergeben, dass dort eine Schwachstelle bezüglich des SSH-Dienstes vorliegen könnte. Die Bedrohung wurde als "Medium" eingestuft:

Sie wissen jedoch, dass auf dem Zielsystem Debian GNU/Linux "Lenny" 5.0 installiert ist und das System alle relevanten Sicherheitsupdates enthält und vermuten, dass es sich bei dieser Meldung um ein False Positive handelt.

Sie überprüfen die Website des Herstellers und stellen fest, dass das System in der Tat OpenSSH in der Version 5.1p1-5 enthält — aber auch, dass die Sicherheitslücke in diesem Paket bereits geschlossen wurde. Also existiert die Schwachstelle nicht mehr auf dem Dienst, der auf dem Zielsystem läuft: Sie haben ein False Positive gefunden.

Sie können nun das Ergebnis mit einem Klick auf das Symbol als False Positive markieren.

In dieser Maske können Sie entweder die vorgegebenen Werte verwenden, um das Ergebnis mit dieser Kombination von Zielrechner und Port für alle Scans in diesem Task als False Positive zu markieren. Oder Sie können die Auswahl verallgemeinern, beispielsweise um die Markierung auf alle Tasks anzuwenden, die diese Ziel scannen. Auf jeden Fall sollten Sie stets das Textfeld nutzen und dokumentieren, warum dieses Ergebnis ein False Positive ist. Wenn Sie mit der Auswahl zufrieden sind, klicken Sie auf die Schaltfläche "Create override".

Die Markierung als False Positive wird sofort angewandt, der Scan enthält nun kein "Medium"-Ergebnis mehr. Als False Positive markierte Ergebnisse werden standardmäßig nicht angezeigt. Wenn Sie diese Ergebnisse sehen wollen, müssen Sie entsprechende Filter-Auswahl wählen.

Im Bericht selbst können Sie jedes Override löschen (), bearbeiten () oder ansehen ().

Da einige Ergebnisse recht lang sein können, enthalten Ergebnisse mit Override eine entsprechendes Symbol (), mit dem Sie direkt zu Override springen können.

Overrides für Fortgeschrittene

top^

Als Sie das Ergebnis als False Positive markiert haben, ist Ihnen vermutlich aufgefallen, dass die Einstellung "New threat" standardmäßig auf den Wert "False Positive" gesetzt ist, wenn Sie ein neues Override erstellen. Sie können hier aber auch einen beliebigen Wert für die neue Einstufung angeben. Dies kann beispielsweise nützlich sein, wenn der Scanner eine Schwachstelle als geringe oder mittlere Bedrohung bewertet ("Low" oder "Medium"), Sie ein Vorhandensein dieser Schwachstelle in Ihrem Netzwerk aber als große Bedrohung ("High") sehen.

Verwaltung von Overrides

top^

Sie können erstellte Overrides im Bereich "Scan Management" verwalten.

Beziehungen und Inhalte können in der Maske "Details" eingesehen werden.

Sie können auch direkt zu den jeweiligen NVTs springen. In den NVT-Details erscheint eine Liste mit allen Overrides, die diesem NVT zugeordnet sind. Sie können die Overrides ebenso von dort aus verwalten.


Greenbone Networks GmbH © 2009-2011
Alle Rechte vorbehalten. Impressum. Datenschutzerklärung. AGB.
Kontakt
FAQ