Question:
Nessus vs scans tiers
sysadmin1138
2011-01-14 11:52:28 UTC
view on stackexchange narkive permalink

Dans le cadre de notre processus de conformité PCI-DSS, nous faisons effectuer des analyses par un tiers. Sur la base de la forme et du libellé de la sortie, il est assez clair qu'ils utilisent Nessus pour la plupart de leurs tâches lourdes. Identique à ce que nous utilisons en interne, en fait.

Quelle est la valeur ajoutée du fait qu'une entité externe effectue les analyses pour nous? Les accordent-ils différemment?

Trois réponses:
#1
+16
AviD
2011-01-14 18:29:38 UTC
view on stackexchange narkive permalink

Compte tenu du fait que vous effectuez ces analyses dans le contexte de la conformité PCI-DSS, votre valeur ajoutée en matière de conformité peut être résumée par mon adage préféré:

Loi de conformité réglementaire d'AviD:

"La conformité PCI réduit le risque de sanctions en cas de non-conformité".

En d'autres termes - la valeur ajoutée d'avoir un fournisseur de numérisation externe sur vos outils internes (même si ce sont les mêmes outils), c'est ce que la réglementation l'exige.
C'est pourquoi il y a une telle activité ASV en plein essor - leurs revenus sont à peu près assurés par PCI. Jetez un œil au programme HackerSafe de McAffee (ou ont-ils changé de nom?): Totalement sans valeur du point de vue de la sécurité, mais tout aussi précieux du point de vue de la conformité - puisqu'un scan ASV = scan ASV.

Maintenant, si vous voulez obtenir une valeur de sécurité supplémentaire de l'ensemble de votre programme de conformité, en dehors de la simple "conformité", c'est un autre problème. (Pour en savoir plus, consultez ma réponse sur "La conformité PCI réduit-elle vraiment les risques et améliore-t-elle la sécurité?"
Les autres réponses ici vous orientent dans la bonne direction, mais un truisme simple: tout fournisseur qui exécute simplement des outils, ne vaut pas le prix du café pour avoir une réunion de vente.
Moins cher pour obtenir vos propres outils et les exécuter vous-même - puisque vous pouvez généralement ignorer la plupart des résultats, de toute façon :).

PCI nécessite une ASV tierce, et nous examinons consciencieusement et signalons les mêmes faux positifs d'année en année. Je soupçonne que le respect de cette exigence est la plus grande valeur ajoutée que nous obtenons.
@sysadmin1138 C'est précisément le point d'AviD - en particulier, l'esprit de sa «loi».
#2
+15
Tate Hansen
2011-01-14 13:10:21 UTC
view on stackexchange narkive permalink

Il se peut que vous n'obteniez aucune valeur ajoutée. Je suggère de trouver un nouveau fournisseur.

Et lorsque vous sollicitez de nouveaux ASV PCI potentiels, demandez-leur ce qu'ils font, des questions telles que:

Quels scanners de vulnérabilité allez-vous utiliser pour évaluer notre systèmes?
Utilisez-vous les versions commerciales ou gratuites des scanners de vulnérabilité?
Nous utilisons Nessus en interne, que ferez-vous de plus pour apporter de la valeur?

Et si vous voulez vraiment une plus grande assurance que vous exécutez des systèmes exempts de vulnérabilités connues, indiquez clairement à chaque candidat ASV que vous vous attendez à ce qu'il fasse plus que simplement exécuter une analyse Nessus.

Demandez qu'ils utilisent plusieurs scanners de vulnérabilités commercialisés. Par exemple, je peux faire ce qui suit lorsque je porte un chapeau PCI ASV:

  • exécuter plusieurs séries de scans complets de port TCP / UDP (généralement en utilisant des exécutions nmap personnalisées, en scannant des jours différents et des moments différents pour minimiser les risques de congestion qui peuvent nuire à la précision)
  • déclencher une série de scans Qualys
  • déclencher une ronde réglée de Nessus avec analyse de flux professionnelle
  • pour chaque site basé sur SSL, vérifiez les problèmes en utilisant https://www.ssllabs.com/
  • repérer manuellement vérifier toutes les applications Web exposées pour les vulnérabilités courantes (le fait est que si je trouve un ou deux champs de formulaire avec des vulnérabilités faciles, cela signifie généralement que l'application a beaucoup plus de vulnérabilités et je ferai savoir au client qu'il doit le faire plus de travail)
  • vérifier manuellement les services ou applications exposés non standard

Vous ne pouvez pas vous attendre à ce qu'un PCI ASV de qualité corresponde à ce qui précède si vous ne payez que 99 $ (je ne dis pas que vous êtes). Mais si vous voulez plus, magasinez et soyez ouvert à des prix équitables.

Une belle liste de questions à poser! Bon produit.
#3
+13
Rory Alsop
2011-01-14 15:25:44 UTC
view on stackexchange narkive permalink

Nessus est très bon dans ce qu'il fait, mais un fournisseur d'analyse de sécurité «approprié» ne vous délivrera pas simplement un rapport Nessus. À tout le moins, vous devez parcourir le rapport et valider pour supprimer les faux positifs - vous le faites probablement en interne de toute façon, mais à moins que vous ne le demandiez, un fournisseur ne le fera peut-être pas.

Il y a une déconnexion majeure dans ce qui les clients attendent et ce que les fournisseurs proposent. Nous avons travaillé avec divers fournisseurs et organismes industriels pour générer une taxonomie afin d'essayer de supprimer une partie de cette déconnexion.

Toutes nos excuses si cette taxonomie des tests de sécurité dépasse un peu la portée de la question. Il est destiné à inspirer la discussion entre vous et votre fournisseur afin que vous puissiez comprendre ce qu'ils fourniront:

Découverte

Le le but de cette étape est d'identifier les systèmes dans le champ d'application et les services utilisés. Il ne vise pas à découvrir des vulnérabilités, mais la détection de version peut mettre en évidence des versions obsolètes du logiciel / micrologiciel et ainsi indiquer des vulnérabilités potentielles.

Analyse de vulnérabilité

Suite à la étape de découverte: elle recherche les problèmes de sécurité connus en utilisant des outils automatisés pour faire correspondre les conditions avec les vulnérabilités connues. Le niveau de risque signalé est défini automatiquement par l'outil sans vérification ni interprétation manuelle par le fournisseur de test. Cela peut être complété par une analyse basée sur les informations d'identification qui cherche à supprimer certains faux positifs courants en utilisant les informations d'identification fournies pour s'authentifier auprès d'un service (tel que des comptes Windows locaux).

Évaluation des vulnérabilités

Ceci utilise la découverte et l'analyse des vulnérabilités pour identifier les vulnérabilités de sécurité et place les résultats dans le contexte de l'environnement testé. Un exemple serait de supprimer les faux positifs courants du rapport et de décider des niveaux de risque à appliquer à chaque résultat du rapport pour améliorer la compréhension et le contexte de l'entreprise.

Évaluation de la sécurité

S'appuie sur l'évaluation des vulnérabilités en ajoutant une vérification manuelle pour confirmer l'exposition, mais n'inclut pas l'exploitation des vulnérabilités pour obtenir un accès supplémentaire. La vérification peut prendre la forme d'un accès autorisé à un système pour confirmer les paramètres du système et impliquer l'examen des journaux, des réponses du système, des messages d'erreur, des codes, etc. Une évaluation de la sécurité cherche à obtenir une large couverture des systèmes testés mais pas la profondeur d'exposition à laquelle une vulnérabilité spécifique pourrait conduire.

Test de pénétration

Le test de pénétration simule une attaque par une partie malveillante. S'appuyant sur les étapes précédentes et implique l'exploitation des vulnérabilités trouvées pour obtenir un accès supplémentaire. L'utilisation de cette approche permettra de comprendre la capacité d'un attaquant à accéder à des informations confidentielles, d'affecter l'intégrité des données ou la disponibilité d'un service et l'impact respectif. Chaque test est abordé en utilisant une méthodologie cohérente et complète d'une manière qui permet au testeur d'utiliser ses capacités de résolution de problèmes, le résultat d'une gamme d'outils et sa propre connaissance des réseaux et des systèmes pour trouver des vulnérabilités qui ne pourraient / ne pourraient pas être identifiées par outils automatisés. Cette approche examine la profondeur de l'attaque par rapport à l'approche d'évaluation de la sécurité qui examine la couverture plus large.

Audit de sécurité

Piloté par une fonction d'audit / risque pour examiner un problème de contrôle ou de conformité spécifique. Caractérisé par une portée étroite, ce type d'engagement pourrait utiliser n'importe laquelle des approches précédemment évoquées (évaluation de la vulnérabilité, évaluation de la sécurité, test de pénétration).

Security Review

Vérification que les normes industrielles ou de sécurité internes ont été appliquées aux composants du système ou au produit. Ceci est généralement complété par une analyse des lacunes et utilise des revues de construction / code ou en examinant des documents de conception et des diagrammes d'architecture. Cette activité n'utilise aucune des approches précédentes (évaluation de la vulnérabilité, évaluation de la sécurité, test de pénétration, audit de sécurité)

Nous appartenons à un consortium de .edu de niveau supérieur qui se regroupent pour obtenir un ASV pour scanner nos réseaux et partager le coût. Nous n'avons pas notre mot à dire sur le vendeur. Nous leur donnons une liste d'adresses IP, ils nous donnent accès à un front-end Web où les résultats ont été téléchargés et nous pouvons signaler les sévérités et la correction. Ce site est une valeur ajoutée claire. La détection du système d'exploitation n'a pas eu lieu, comme en témoignent les alertes rouges clignotantes qu'ils ont lancées pour nos serveurs NetWare (maintenant partis). Nous n'avons pas encore fait l'objet d'un audit de sécurité complet avec examen.
Très bonne réponse. Pourriez-vous clarifier la partie «analyse basée sur les informations d'identification»? Quels types de faux positifs éliminerait-il?
@nealmcb - exécuter des outils d'analyse sans identifiants finit par fournir à la fois des faux positifs et des négatifs, dont certains peuvent être réconciliés en laissant l'outil d'analyse utiliser les informations d'identification, par exemple une zone d'une application Web qui nécessite une connexion utilisateur peut répondre différemment pour différents utilisateurs.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...