Nessus è molto bravo in ciò che fa, ma un "adeguato" fornitore di scansione di sicurezza non ti consegnerà solo un rapporto Nessus. Per lo meno, devi passare attraverso il rapporto e convalidare per rimuovere i falsi positivi - probabilmente lo fai internamente lo stesso, ma a meno che tu non lo richieda, un fornitore potrebbe non farlo.
C'è una grande disconnessione in ciò che i clienti si aspettano e che offrono i venditori. Abbiamo lavorato con vari fornitori e enti del settore per generare una tassonomia per provare a rimuovere parte di questa disconnessione.
Ci scusiamo se questa tassonomia dei test di sicurezza è un po 'al di là della portata della domanda. È inteso per stimolare la discussione tra te e il tuo venditore in modo che tu possa capire che cosa forniranno:
Discovery
Lo scopo di questa fase è identificare i sistemi nell'ambito e i servizi in uso. Non ha lo scopo di scoprire vulnerabilità, ma il rilevamento delle versioni potrebbe evidenziare versioni deprecate di software / firmware e quindi indicare potenziali vulnerabilità.
Scansione vulnerabilità
In seguito alla fase di scoperta, vengono rilevati noti problemi di sicurezza utilizzando strumenti automatici per abbinare condizioni con vulnerabilità note. Il livello di rischio segnalato viene impostato automaticamente dallo strumento senza alcuna verifica manuale o interpretazione da parte del fornitore del test. Questo può essere integrato con una scansione basata sulle credenziali che cerca di rimuovere alcuni falsi positivi comuni utilizzando le credenziali fornite per l'autenticazione con un servizio (come gli account Windows locali).
Valutazione della vulnerabilità
Utilizza la scansione di individuazione e vulnerabilità per identificare le vulnerabilità della sicurezza e inserisce i risultati nel contesto dell'ambiente in esame. Un esempio potrebbe essere la rimozione di falsi positivi comuni dal report e la definizione dei livelli di rischio che dovrebbero essere applicati a ogni ricerca di report per migliorare la comprensione e il contesto aziendale.
Valutazione della sicurezza
Si basa sulla valutazione delle vulnerabilità aggiungendo la verifica manuale per confermare l'esposizione, ma non include lo sfruttamento delle vulnerabilità per ottenere un ulteriore accesso. La verifica potrebbe consistere in un accesso autorizzato a un sistema per confermare le impostazioni del sistema e comportare l'esame di registri, risposte del sistema, messaggi di errore, codici, ecc. Una valutazione della sicurezza sta cercando di ottenere un'ampia copertura dei sistemi sottoposti a test ma non della profondità di esposizione a cui una vulnerabilità specifica potrebbe portare.
Test di penetrazione
I test di penetrazione simulano un attacco da parte di un utente malintenzionato. Costruire sulle fasi precedenti e comporta lo sfruttamento delle vulnerabilità rilevate per ottenere un ulteriore accesso. L'utilizzo di questo approccio consentirà di comprendere la capacità di un utente malintenzionato di accedere a informazioni riservate, influire sull'integrità dei dati o sulla disponibilità di un servizio e sul relativo impatto. Ogni test viene affrontato utilizzando una metodologia coerente e completa in un modo che consenta al tester di utilizzare le proprie capacità di problem solving, l'output da una gamma di strumenti e la propria conoscenza di reti e sistemi per individuare le vulnerabilità che potrebbero / non potrebbero essere identificate da strumenti automatizzati. Questo approccio esamina la profondità di attacco rispetto all'approccio di Security Assessment che esamina la copertura più ampia.
Controllo sicurezza
Spinto da una funzione di controllo / rischio per esaminare uno specifico problema di controllo o conformità. Caratterizzato da un campo di applicazione ristretto, questo tipo di coinvolgimento potrebbe avvalersi di uno dei precedenti approcci discussi (valutazione della vulnerabilità, valutazione della sicurezza, test di penetrazione).
Revisione della sicurezza
Verifica che gli standard di settore o di sicurezza interna siano stati applicati ai componenti di sistema o al prodotto. Questo viene in genere completato attraverso l'analisi delle lacune e utilizza le revisioni di build / code o la revisione di documenti di progettazione e diagrammi di architettura. Questa attività non utilizza nessuno dei precedenti approcci (valutazione delle vulnerabilità, valutazione della sicurezza, test di penetrazione, controllo di sicurezza)