web-dev-qa-db-ja.com

Nessusとサードパーティのスキャン

PCI-DSSコンプライアンスプロセスの一環として、サードパーティによるスキャンが行われます。出力の形式と言い回しに基づいて、彼らが大仕事のほとんどにNessusを使用していることはかなり明らかです。実際に内部で使用するのと同じです。

外部エンティティにスキャンを実行させることの付加価値は何ですか?彼らはそれらを異なって調整しますか?

networkcompliancepci-dssnetwork-scanners
14
sysadmin1138

付加価値がゼロになる可能性があります。新しいベンダーを見つけることをお勧めします。

そして、潜在的な新しいPCI ASVを要請する場合は、次のような質問をして、彼らに何をするか尋ねます。

システムを評価するためにどの脆弱性スキャナーを使用しますか?
脆弱性スキャナーの商用バージョンまたは無料バージョンを使用していますか?
Nessusを社内で使用しています。価値をもたらすためにこれ以上何をしますか?

また、既知の脆弱性のないシステムを実行していることを本当に確実にしたい場合は、Nessusスキャンを実行する以上のことを期待することを各ASV候補に明らかにします。

複数の商用の脆弱性スキャナーを使用するように要求します。たとえば、PCI ASVの帽子をかぶっているときは、次のようにします。

  • 完全なTCP/UDPポートスキャンを複数回実行します(通常、カスタム調整されたnmap実行を使用して、正確性を損なう可能性がある輻輳の危険を最小限に抑えるために、異なる曜日と異なる時間にスキャンします)
  • Qualys スキャンの調整されたラウンドを開始します
  • nessusの調整されたラウンドをプロのフィードスキャンで起動します
  • sSLベースのサイトごとに、 https://www.ssllabs.com/ を使用して問題を確認します
  • 一般的な脆弱性について、公開されているWebアプリケーションを手動でスポットチェックします(これのポイントは、1つまたは2つのフォームフィールドに脆弱性が見つかると、通常、アプリにさらに多くの脆弱性があることを意味します。さらに作業が必要であることをクライアントに知らせます)
  • 非標準の公開されたサービスまたはアプリケーションを手動でスポットチェック

99ドルしか払っていない場合、高品質のPCI ASVが上記に一致することは期待できません(そうではありません)。しかし、あなたがもっと欲しいのなら、買い物をして公正な価格設定にオープンになってください。

15
Tate Hansen

PCI-DSSコンプライアンスのコンテキストでこれらのスキャンを実行しているという事実を考慮すると、コンプライアンスに関する付加価値は、私の個人的なお気に入りの言葉で要約できます。

AviDの規制順守の法則:

「PCIコンプライアンスは、コンプライアンス違反のペナルティのリスクを軽減します」。

言い換えれば、(sameツールであっても)内部ツールよりも外部スキャンベンダーを利用することの付加価値は、それが何であるかということです。規制が要求します。
だからこそ、このような急上昇するASVビジネスがあります。彼らの収入はPCIによってほぼ確保されています。 McAffeeのHackerSafeプログラムを見てみましょう(または名前を変更しましたか?)。ASVスキャン= ASVスキャンなので、セキュリティの観点からはまったく価値がありませんが、コンプライアンスの観点からは同等に価値があります。

さて、単に「コンプライアンス」を除いて、コンプライアンスプログラム全体から追加のセキュリティ値を取得したい場合、それは別の問題です。 (これの詳細については、私の回答を参照してください 「PCIコンプライアンスは本当にリスクを軽減し、セキュリティを向上させますか?」
ここでの他の回答は正しい方向を示していますが、1つの単純な自明があります。単にツールを実行するベンダーは、営業会議を開くのにコーヒーの価格に値しません。
独自のツールを入手して自分で実行するのが安く、通常はほとんどの結果を無視できます。

16
AviD

Nessusはその機能に非常に優れていますが、「適切な」セキュリティスキャンベンダーはNessusレポートを提供するだけではありません。少なくとも、レポートを確認して検証し、誤検知を削除する必要があります。おそらく、とにかくこれを内部的に行うことになりますが、要求しない限り、ベンダーはそうしない場合があります。

顧客が期待するものとベンダーが提供するものには大きな隔たりがあります。私たちはさまざまなベンダーや業界団体と協力して、この切断の一部を削除しようとする分類法を生成しています。

このセキュリティテストの分類が少し問題の範囲を超えている場合は、お詫び申し上げます。それはあなたとあなたのベンダーの間の議論を刺激するであるため、彼らが何を提供するかを理解することができます:

発見

この段階の目的は、スコープ内のシステムと使用中のサービスを識別することです。脆弱性の発見を目的としたものではありませんが、バージョン検出により、ソフトウェア/ファームウェアの非推奨バージョンがハイライトされ、潜在的な脆弱性が示される場合があります。

脆弱性スキャン

発見段階に続いて、自動化ツールを使用して既知の脆弱性と条件を一致させることにより、既知のセキュリティ問題を探します。報告されたリスクレベルはツールによって自動的に設定され、テストベンダーによる手動の検証や解釈はありません。これは、提供された資格情報を使用してサービス(ローカルWindowsアカウントなど)で認証することにより、いくつかの一般的な誤検知を削除するように見える資格情報ベースのスキャンで補足できます。

脆弱性評価

これは、検出と脆弱性スキャンを使用してセキュリティの脆弱性を識別し、テスト結果をテスト環境のコンテキストに配置します。例としては、レポートから一般的な誤検知を削除し、ビジネスの理解とコンテキストを改善するために各レポート結果に適用する必要があるリスクレベルを決定します。

セキュリティ評価

露出を確認するための手動検証を追加することにより、脆弱性評価に基づいていますが、さらなるアクセスを得るための脆弱性の悪用は含まれていません。検証は、システムへの承認されたアクセスの形式で行われ、システム設定を確認し、ログ、システム応答、エラーメッセージ、コードなどを調査する必要があります。セキュリティ評価は、テスト対象のシステムを広範囲にカバーすることを目的としていますが、深さではありません特定の脆弱性がもたらす可能性のある暴露の割合。

侵入テスト

侵入テストは、悪意のある当事者による攻撃をシミュレートします。前のステージに基づいて構築し、発見された脆弱性を利用してさらにアクセスできるようにします。このアプローチを使用すると、機密情報へのアクセスを取得し、データの整合性またはサービスの可用性とそれぞれの影響に影響を与える攻撃者の能力を理解できます。各テストは、一貫した完全な方法論を使用してアプローチされ、テスターが問題解決能力、さまざまなツールからの出力、およびネットワークとシステムに関する独自の知識を使用して、特定できない脆弱性を見つけることができます。自動化ツール。このアプローチは、より広い範囲を対象とするセキュリティ評価アプローチと比較して、攻撃の深さを調べます。

セキュリティ監査

監査/リスク機能によって駆動され、特定の制御またはコンプライアンスの問題を調べます。狭い範囲を特徴とするこのタイプのエンゲージメントは、前述のアプローチ(脆弱性評価、セキュリティ評価、侵入テスト)のいずれかを利用できます。

セキュリティレビュー

業界または内部のセキュリティ標準がシステムコンポーネントまたは製品に適用されていることの確認。これは通常、ギャップ分析を通じて完了し、ビルド/コードのレビューを利用するか、設計ドキュメントとアーキテクチャ図をレビューします。このアクティビティでは、以前のアプローチ(脆弱性評価、セキュリティ評価、侵入テスト、セキュリティ監査)は利用されません。

13
Rory Alsop