Nessus vs scansioni di terze parti

14

Come parte del nostro processo di conformità PCI-DSS otteniamo scansioni fatte da terze parti. Sulla base della forma e della formulazione dell'output, è abbastanza chiaro che stanno usando Nessus per la maggior parte del loro sollevamento. Lo stesso che usiamo internamente, in realtà.

Qual è il valore aggiunto per avere un'entità esterna che esegue le scansioni per noi? Li sintonizzano in modo diverso?

    
posta sysadmin1138 14.01.2011 - 06:52
fonte

3 risposte

15

Potresti ricevere zero valore aggiunto. Suggerisco di trovare un nuovo fornitore.

E quando solleciti potenziali nuovi PCI ASV, chiedi loro cosa fanno, domande del tipo:

Which vulnerability scanners will you use to assess our systems?
Do you use the commercial or free versions of the vulnerability scanners?
We use Nessus internally, what more will you do to bring value?

E se davvero vuoi una maggiore sicurezza stai eseguendo sistemi privi di vulnerabilità note, allora rendi chiaro a ogni candidato ASV che ti aspetti che faccia di più che eseguire semplicemente una scansione Nessus.

Richiedono di utilizzare più scanner di vulnerabilità commerciali supportati. Ad esempio, posso fare quanto segue quando indosso un cappello ASV PCI:

  • eseguire più round di scansioni di porte TCP / UDP complete (in genere utilizzando run nmap sintonizzati personalizzati, scansione in giorni diversi e tempi diversi per ridurre al minimo i rischi di congestione che possono compromettere l'accuratezza)
  • attiva un ciclo di Qualys scansione
  • spara un giro completo di Nessus con la scansione dei feed professionali
  • per ogni sito basato su SSL, controlla i problemi usando il link
  • individua manualmente le eventuali applicazioni Web esposte per le vulnerabilità comuni (il punto è che trovo uno o due campi modulo con vulnerabilità facili in genere significa che l'app ha molte più vulnerabilità e lascerò che il client sanno che hanno bisogno di fare più lavoro)
  • individua manualmente gli eventuali servizi o applicazioni esposti non standard

Non puoi aspettarti un ASV PCI di qualità che corrisponda a quanto sopra se paghi solo $ 99 (non sto dicendo che lo sei). Ma se vuoi di più, guardati intorno e sii aperto a prezzi equi.

    
risposta data 14.01.2011 - 08:10
fonte
16

Considerando il fatto che stai facendo queste scansioni nel contesto della conformità PCI-DSS, il tuo valore aggiunto in relazione alla conformità può essere riassunto dal mio detto preferito personale:

AviD's Law of Regulatory Compliance:

"PCI compliance reduces the risk of the penalties of non-compliance".

In altre parole - il valore aggiunto di avere un fornitore di scansione esterno sugli strumenti interni (anche se è lo stesso stesso ), è quello che richiede il regolamento.
Ecco perché c'è un business ASV così scoppiettante: il loro reddito è praticamente assicurato dal PCI. Date un'occhiata al programma HackerSafe di McAffee (o hanno cambiato il nome?): Completamente inutile dal punto di vista della sicurezza, ma ugualmente prezioso dal punto di vista della conformità - dal momento che una scansione ASV = scansione ASV.

Ora, se vuoi ottenere un ulteriore valore di sicurezza dall'intero programma di conformità, oltre alla semplice "conformità", beh questo è un altro problema. (Per l'elaborazione su questo, vedere la mia risposta su "La conformità PCI riduce veramente i rischi e migliora la sicurezza?"
Le altre risposte qui indicano la giusta direzione, ma una semplice verità: qualsiasi fornitore che esegue semplicemente strumenti, non vale il prezzo del caffè per organizzare un incontro di vendita.
Più economico è quello di procurarsi i propri strumenti e di eseguirli da soli - dal momento che di solito si può ignorare la maggior parte dei risultati, comunque :).

    
risposta data 14.01.2011 - 13:29
fonte
13

Nessus è molto bravo in ciò che fa, ma un "adeguato" fornitore di scansione di sicurezza non ti consegnerà solo un rapporto Nessus. Per lo meno, devi passare attraverso il rapporto e convalidare per rimuovere i falsi positivi - probabilmente lo fai internamente lo stesso, ma a meno che tu non lo richieda, un fornitore potrebbe non farlo.

C'è una grande disconnessione in ciò che i clienti si aspettano e che offrono i venditori. Abbiamo lavorato con vari fornitori e enti del settore per generare una tassonomia per provare a rimuovere parte di questa disconnessione.

Ci scusiamo se questa tassonomia dei test di sicurezza è un po 'al di là della portata della domanda. È inteso per stimolare la discussione tra te e il tuo venditore in modo che tu possa capire che cosa forniranno:

Discovery

Lo scopo di questa fase è identificare i sistemi nell'ambito e i servizi in uso. Non ha lo scopo di scoprire vulnerabilità, ma il rilevamento delle versioni potrebbe evidenziare versioni deprecate di software / firmware e quindi indicare potenziali vulnerabilità.

Scansione vulnerabilità

In seguito alla fase di scoperta, vengono rilevati noti problemi di sicurezza utilizzando strumenti automatici per abbinare condizioni con vulnerabilità note. Il livello di rischio segnalato viene impostato automaticamente dallo strumento senza alcuna verifica manuale o interpretazione da parte del fornitore del test. Questo può essere integrato con una scansione basata sulle credenziali che cerca di rimuovere alcuni falsi positivi comuni utilizzando le credenziali fornite per l'autenticazione con un servizio (come gli account Windows locali).

Valutazione della vulnerabilità

Utilizza la scansione di individuazione e vulnerabilità per identificare le vulnerabilità della sicurezza e inserisce i risultati nel contesto dell'ambiente in esame. Un esempio potrebbe essere la rimozione di falsi positivi comuni dal report e la definizione dei livelli di rischio che dovrebbero essere applicati a ogni ricerca di report per migliorare la comprensione e il contesto aziendale.

Valutazione della sicurezza

Si basa sulla valutazione delle vulnerabilità aggiungendo la verifica manuale per confermare l'esposizione, ma non include lo sfruttamento delle vulnerabilità per ottenere un ulteriore accesso. La verifica potrebbe consistere in un accesso autorizzato a un sistema per confermare le impostazioni del sistema e comportare l'esame di registri, risposte del sistema, messaggi di errore, codici, ecc. Una valutazione della sicurezza sta cercando di ottenere un'ampia copertura dei sistemi sottoposti a test ma non della profondità di esposizione a cui una vulnerabilità specifica potrebbe portare.

Test di penetrazione

I test di penetrazione simulano un attacco da parte di un utente malintenzionato. Costruire sulle fasi precedenti e comporta lo sfruttamento delle vulnerabilità rilevate per ottenere un ulteriore accesso. L'utilizzo di questo approccio consentirà di comprendere la capacità di un utente malintenzionato di accedere a informazioni riservate, influire sull'integrità dei dati o sulla disponibilità di un servizio e sul relativo impatto. Ogni test viene affrontato utilizzando una metodologia coerente e completa in un modo che consenta al tester di utilizzare le proprie capacità di problem solving, l'output da una gamma di strumenti e la propria conoscenza di reti e sistemi per individuare le vulnerabilità che potrebbero / non potrebbero essere identificate da strumenti automatizzati. Questo approccio esamina la profondità di attacco rispetto all'approccio di Security Assessment che esamina la copertura più ampia.

Controllo sicurezza

Spinto da una funzione di controllo / rischio per esaminare uno specifico problema di controllo o conformità. Caratterizzato da un campo di applicazione ristretto, questo tipo di coinvolgimento potrebbe avvalersi di uno dei precedenti approcci discussi (valutazione della vulnerabilità, valutazione della sicurezza, test di penetrazione).

Revisione della sicurezza

Verifica che gli standard di settore o di sicurezza interna siano stati applicati ai componenti di sistema o al prodotto. Questo viene in genere completato attraverso l'analisi delle lacune e utilizza le revisioni di build / code o la revisione di documenti di progettazione e diagrammi di architettura. Questa attività non utilizza nessuno dei precedenti approcci (valutazione delle vulnerabilità, valutazione della sicurezza, test di penetrazione, controllo di sicurezza)

    
risposta data 14.01.2011 - 10:25
fonte

Leggi altre domande sui tag