Nessus vs scans tiers
Dans le cadre de notre processus de conformité PCI-DSS, nous obtenons des analyses effectuées par une tierce partie. Sur la base du formulaire et du libellé de la sortie, il est assez clair qu'ils utilisent Nessus pour la majeure partie de leur forte levée. Identique que nous utilisons en interne, en fait.
Quelle est la valeur ajoutée pour avoir une entité externe faire les scans pour nous? Les accordent-ils différemment?
Vous pouvez obtenir zéro valeur-ajouter. Je suggère de trouver un nouveau fournisseur.
Et lors de la sollicitation de nouveaux ASV PCI potentiels, demandez-leur ce qu'ils font, des questions telles que:
Quels scanners de vulnérabilité utiliserez-vous pour évaluer nos systèmes?
[.____] Utilisez-vous les versions commerciales ou libres des scanners de vulnérabilité?
[.____] Nous utilisons Nessus en interne, que ferez-vous de plus pour apporter de la valeur?
Et si vous voulez vraiment une plus grande assurance que vous exécutez des systèmes exempts de vulnérabilités connues, donnez-le clairement à chaque candidat ASV que vous vous attendez à ce qu'ils fassent plus que simplement exécuter une analyse Nessus.
Demander qu'ils utilisent plusieurs scanners de vulnérabilités de publicité commerciaux. Par exemple, je peux faire ce qui suit lors du port d'un chapeau PCI Asv:
- exécutez plusieurs tours de Port TCP/UDP Scanny (généralement à l'aide de NMAP numériques personnalisés, balayage à différents jours et à des moments différents pour minimiser les risques de congestion pouvant blesser la précision)
- tirez sur une ronde à réglage de Qualys Numérisation
- tirez sur une ronde accordée de Nessus W/Numérisation des aliments pour animaux professionnels
- pour chaque site basé sur SSL, recherchez des problèmes à l'aide de : https://www.ssllabs.com/
- spot manuellement Vérifiez toutes les applications Web exposées pour les vulnérabilités communes (le point de ceci est si je trouve un ou deux champs de formulaire avec des vulnérabilités faciles, cela signifie généralement que l'application a de nombreuses vulnérabilités et je laisserai le client savoir qu'ils besoin de faire plus de travail)
- vérifiez manuellement les services ou applications exposés non standard
Vous ne pouvez pas vous attendre à ce qu'une qualité PCI ASV correspond à ce qui précède si vous ne payez que 99 $ (je ne dis pas que vous êtes). Mais si vous voulez plus, achetez et soyez ouvert à des prix équitables.
Compte tenu du fait que vous faites ces analyses dans le contexte de la conformité PCI-DSS, votre valeur ajoutée par rapport à la conformité peut être résumée par mon dicton préféré personnel:
Loi de Avid de la conformité réglementaire:
"La conformité PCI réduit le risque des sanctions de non-conformité".
En d'autres termes - l'ajout de valeur d'avoir un fournisseur de balayage externe sur vos outils internes (même si c'est les les mêmes outils), est-ce que c'est ce que c'est quoi Le règlement exige.
[ Jetez un coup d'œil au programme Hackersafe de McCaffee (ou avez-ils changé le nom?): Complètement sans valeur d'un point de vue de sécurité, mais également précieux d'un point de vue de la conformité - depuis une analyse ASV = ASV.
Maintenant, si vous souhaitez obtenir une valeur de sécurité supplémentaire de votre programme de conformité entière, de côté de simplement "conformité", c'est un autre problème. (Pour l'élaboration à ce sujet, voir ma réponse "La conformité PCI réduit-elle vraiment les risques et améliore la sécurité?"
[.____] Les autres réponses ici vous indiquent dans la bonne direction, mais un simple truisme: tout fournisseur qui exécute simplement des outils, ne vaut pas le prix du café pour avoir une réunion de vente.
moins cher à obtenir vos propres outils et à les exécuter vous-même - puisque vous pouvez généralement ignorer la plupart des résultats, de toute façon :).
Nessus est très bon à ce qu'il fait, mais un fournisseur de numérisation de sécurité "approprié" ne vous livrerait pas simplement à un rapport Nessus. À tout le moins, vous devez passer par le rapport et valider pour supprimer les faux positifs - vous le faites probablement en interne de toute façon, mais à moins que vous ne le demandiez qu'un fournisseur ne peut pas.
Il y a une déconnexion majeure dans ce que les clients attendent et quels fournisseurs offrent. Nous travaillons avec divers fournisseurs et organismes industriels pour générer une taxonomie pour tenter de supprimer une partie de cette déconnexion.
Toutes mes excuses si cette taxonomie de la sécurité est un peu au-delà de la portée de la question. C'est censé inspirer une discussion entre vous et votre fournisseur afin que vous puissiez comprendre ce qu'ils fourniront:
découverte
Le but de cette étape est d'identifier les systèmes dans la portée et les services utilisés. Il n'est pas destiné à découvrir des vulnérabilités, mais la détection de la version peut mettre en évidence des versions obsolètes de logiciels/micrologiciels et d'indiquer ainsi des vulnérabilités potentielles.
Scan de vulnérabilité
Suite à la scène de découverte, ceci recherche des problèmes de sécurité connus en utilisant des outils automatisés pour correspondre aux conditions des vulnérabilités connues. Le niveau de risque signalé est défini automatiquement par l'outil sans vérification manuelle ni interprétation par le fournisseur de test. Cela peut être complété par une numérisation basée sur les informations d'identification qui cherche à supprimer des faux positifs communs en utilisant des informations d'identification fournies pour s'authentifier avec un service (tel que des comptes Windows locaux).
Évaluation de la vulnérabilité
Cela utilise la scannage de la découverte et de la vulnérabilité pour identifier les vulnérabilités de sécurité et les conclusions dans le contexte de l'environnement en cours de test. Un exemple enlèverait des faux positifs communs du rapport et de décider des niveaux de risque qui devraient être appliqués à chaque rapport pour améliorer la compréhension et le contexte des entreprises.
Évaluation de la sécurité
Construit sur l'évaluation de la vulnérabilité en ajoutant une vérification manuelle pour confirmer l'exposition, mais n'inclut pas l'exploitation des vulnérabilités pour obtenir un accès supplémentaire. La vérification pourrait se présenter sous la forme d'un accès autorisé à un système pour confirmer les paramètres du système et impliquer des journaux d'examen, des réponses du système, des messages d'erreur, des codes, etc. Une évaluation de la sécurité cherche à obtenir une large couverture des systèmes à tester mais pas la profondeur. d'exposition qu'une vulnérabilité spécifique pourrait conduire à.
test de pénétration
Le test de pénétration simule une attaque par une soirée malveillante. S'appuyant sur les étapes précédentes et implique l'exploitation des vulnérabilités trouvées pour obtenir un accès supplémentaire. L'utilisation de cette approche entraînera une compréhension de la capacité d'un attaquant à accéder à des informations confidentielles, à affecter l'intégrité des données ou la disponibilité d'un service et de l'impact respectif. Chaque test est approché à l'aide d'une méthodologie cohérente et complète de manière à permettre au testeur d'utiliser leurs capacités de résolution de problèmes, la production provenant d'une gamme d'outils et sa propre connaissance de la mise en réseau et des systèmes pour trouver des vulnérabilités qui ne pourraient pas être identifiées. Outils automatisés. Cette approche examine la profondeur d'attaque par rapport à l'approche d'évaluation de la sécurité qui examine la couverture plus large.
Audit de sécurité
Dirigé par une fonction d'audit/risque pour examiner un problème de contrôle ou de conformité spécifique. Caractérisé par une étendue étroite, ce type d'engagement pourrait utiliser l'une des approches précédentes abordées (évaluation de la vulnérabilité, évaluation de la sécurité, test de pénétration).
revue de sécurité
Vérification selon laquelle l'industrie ou les normes de sécurité internes ont été appliquées aux composants ou au produit du système. Ceci est généralement terminé par l'analyse des écarts et utilise des examens de construction/code ou en examinant les documents de conception et les diagrammes d'architecture. Cette activité n'utilise aucune des approches antérieures (évaluation de la vulnérabilité, évaluation de la sécurité, test de pénétration, audit de sécurité)