it-swarm-es.com

Nessus vs escaneos de terceros

Como parte de nuestro proceso de cumplimiento de PCI-DSS, obtenemos escaneos realizados por un tercero. Según la forma y la redacción de la salida, está bastante claro que están usando Nessus para la mayor parte de su trabajo pesado. Lo mismo que usamos internamente, en realidad.

¿Cuál es el valor agregado para que una entidad externa haga los escaneos por nosotros? ¿Los sintonizan de manera diferente?

14
sysadmin1138

Es posible que obtenga cero valor agregado. Sugiero encontrar un nuevo vendedor.

Y cuando solicite posibles nuevos ASV PCI, pregúnteles qué hacen, preguntas como:

¿Qué escáneres de vulnerabilidad utilizará para evaluar nuestros sistemas?
¿Utiliza las versiones comerciales o gratuitas de los escáneres de vulnerabilidad?
Usamos Nessus internamente, ¿qué más harás para aportar valor?

Y si realmente desea una mayor seguridad de que está ejecutando sistemas libres de vulnerabilidades conocidas, deje en claro a cada candidato de ASV que espera que hagan más que simplemente ejecutar un análisis de Nessus.

Solicite que utilicen múltiples escáneres de vulnerabilidad respaldados por comerciales. Por ejemplo, puedo hacer lo siguiente cuando uso un sombrero PCI ASV:

  • ejecute múltiples rondas de escaneos completos de puertos TCP/UDP (típicamente usando corridas nmap personalizadas, escaneando en diferentes días y diferentes horas para minimizar los riesgos de congestión que pueden dañar la precisión)
  • disparar una ronda sintonizada de Qualys escaneo
  • dispara una ronda de Nessus sintonizada con escaneo de alimentación profesional
  • para cada sitio basado en SSL, verifique los problemas usando https://www.ssllabs.com/
  • compruebe manualmente cualquier aplicación web expuesta para detectar vulnerabilidades comunes (el punto es que si encuentro uno o dos campos de formulario con vulnerabilidades fáciles, generalmente significa que la aplicación tiene muchas más vulnerabilidades y dígale al cliente que necesita hacer más trabajo)
  • compruebe manualmente cualquier aplicación o servicio expuesto no estándar

No puede esperar que un ASV PCI de calidad coincida con lo anterior si solo paga $ 99 (no estoy diciendo que lo sea). Pero si desea más, compare precios y esté abierto a precios justos.

15
Tate Hansen

Teniendo en cuenta el hecho de que está realizando estos escaneos en el contexto del cumplimiento de PCI-DSS, su valor agregado en relación con el cumplimiento puede resumirse en mi dicho favorito personal:

Ley de cumplimiento normativo de AviD:

"El cumplimiento de PCI reduce el riesgo de sanciones por incumplimiento".

En otras palabras, el valor agregado de tener un proveedor de escaneo externo sobre sus herramientas internas (incluso si son las mismas herramientas ), es que eso es lo que La regulación requiere.
Es por eso que hay un negocio ASV tan popular: PCI asegura sus ingresos. Eche un vistazo al programa HackerSafe de McAffee (¿o cambiaron el nombre?): Completamente inútil desde el punto de vista de la seguridad, pero igualmente valioso desde el punto de vista del cumplimiento, ya que un escaneo ASV = escaneo ASV.

Ahora, si desea obtener un valor de seguridad adicional de todo su programa de cumplimiento, aparte de simplemente "cumplimiento", bueno, ese es otro problema. (Para más detalles sobre esto, vea mi respuesta en "¿El cumplimiento de PCI realmente reduce el riesgo y mejora la seguridad?"
Las otras respuestas aquí lo señalan en la dirección correcta, pero un simple truco: cualquier proveedor que simplemente ejecuta herramientas, no vale el precio del café para tener una reunión de ventas.
Más barato para obtener sus propias herramientas y ejecutarlas usted mismo, ya que generalmente puede ignorar la mayoría de los resultados, de todos modos :).

16
AviD

Nessus es muy bueno en lo que hace, pero un proveedor de análisis de seguridad "adecuado" no solo le entregaría un informe de Nessus. Por lo menos, debe revisar el informe y validar para eliminar los falsos positivos; de todos modos, probablemente lo haga internamente, pero a menos que lo solicite, un proveedor puede no hacerlo.

Hay una desconexión importante en lo que los clientes esperan y lo que ofrecen los vendedores. Hemos estado trabajando con varios proveedores y organismos de la industria para generar una taxonomía para tratar de eliminar parte de esta desconexión.

Disculpas si esta taxonomía de pruebas de seguridad está un poco más allá del alcance de la pregunta. Está destinado a inspirar una discusión entre usted y su proveedor para que pueda entender lo que proporcionarán:

Descubrimiento

El propósito de esta etapa es identificar los sistemas dentro del alcance y los servicios en uso. No tiene la intención de descubrir vulnerabilidades, pero la detección de versiones puede resaltar versiones obsoletas de software/firmware e indicar posibles vulnerabilidades.

Análisis de vulnerabilidad

Después de la etapa de descubrimiento, busca problemas de seguridad conocidos mediante el uso de herramientas automatizadas para hacer coincidir las condiciones con las vulnerabilidades conocidas. La herramienta establece automáticamente el nivel de riesgo informado sin verificación ni interpretación manual por parte del proveedor de la prueba. Esto se puede complementar con un escaneo basado en credenciales que busca eliminar algunos falsos positivos comunes mediante el uso de credenciales proporcionadas para autenticarse con un servicio (como las cuentas locales de Windows).

Evaluación de vulnerabilidad

Utiliza el descubrimiento y el escaneo de vulnerabilidades para identificar vulnerabilidades de seguridad y ubica los hallazgos en el contexto del entorno bajo prueba. Un ejemplo sería eliminar los falsos positivos comunes del informe y decidir los niveles de riesgo que deberían aplicarse a cada hallazgo del informe para mejorar la comprensión y el contexto del negocio.

Evaluación de seguridad

Se basa en la Evaluación de Vulnerabilidad agregando verificación manual para confirmar la exposición, pero no incluye la explotación de vulnerabilidades para obtener mayor acceso. La verificación podría ser en forma de acceso autorizado a un sistema para confirmar la configuración del sistema e implicar el examen de registros, respuestas del sistema, mensajes de error, códigos, etc. Una evaluación de seguridad busca obtener una amplia cobertura de los sistemas bajo prueba, pero no la profundidad de exposición a la que podría conducir una vulnerabilidad específica.

Prueba de penetración

Las pruebas de penetración simulan un ataque de una parte maliciosa. Se basa en las etapas anteriores e implica la explotación de las vulnerabilidades encontradas para obtener un mayor acceso. El uso de este enfoque dará como resultado la comprensión de la capacidad de un atacante para obtener acceso a información confidencial, afectar la integridad de los datos o la disponibilidad de un servicio y el impacto respectivo. Cada prueba se aborda utilizando una metodología consistente y completa de una manera que le permite al probador usar sus habilidades para resolver problemas, el resultado de una variedad de herramientas y su propio conocimiento de redes y sistemas para encontrar vulnerabilidades que podrían/​​no podrían ser identificadas por herramientas automatizadas Este enfoque analiza la profundidad del ataque en comparación con el enfoque de Evaluación de seguridad que analiza la cobertura más amplia.

Auditoría de seguridad

Impulsado por una función de Auditoría/Riesgo para analizar un control específico o un problema de cumplimiento. Caracterizado por un alcance limitado, este tipo de compromiso podría hacer uso de cualquiera de los enfoques anteriores discutidos (evaluación de vulnerabilidad, evaluación de seguridad, prueba de penetración).

Revisión de seguridad

Verificación de que los estándares de seguridad internos o de la industria se hayan aplicado a los componentes o productos del sistema. Esto generalmente se completa a través del análisis de brechas y utiliza revisiones de compilación/código o revisando documentos de diseño y diagramas de arquitectura. Esta actividad no utiliza ninguno de los enfoques anteriores (evaluación de vulnerabilidad, evaluación de seguridad, prueba de penetración, auditoría de seguridad)

13
Rory Alsop