Nessus 与第三方扫描

信息安全 网络 遵守 pci-dss 网络扫描仪
2021-09-06 06:42:14

作为我们 PCI-DSS 合规流程的一部分,我们由第三方完成扫描。根据输出的形式和措辞,很明显他们使用 Nessus 完成大部分繁重的工作。实际上和我们内部使用的一样。

让外部实体为我们进行扫描有什么附加值?他们调整它们的方式不同吗?

3个回答

考虑到您是在 PCI-DSS 合规性背景下进行这些扫描的事实,您与合规性相关的增值可以用我个人最喜欢的一句话来概括:

AviD 的法规遵从法:

“PCI 合规性降低了违规处罚的风险”。

换句话说 - 在您的内部工具(即使是相同的工具)上拥有外部扫描供应商的附加值就是法规要求的。
这就是为什么 ASV 业务如此火爆的原因——他们的收入几乎是由 PCI 保证的。看看 McAffee 的 HackerSafe 程序(或者他们是否更改了名称?):从安全的角度来看完全没有价值,但从合规性的角度来看同样有价值 - 因为 ASV 扫描 = ASV 扫描。

现在,如果您想从整个合规计划中获得额外的安全价值,除了简单的“合规”之外,那是另一个问题。(关于这一点的详细说明,请参阅我关于“PCI 合规性是否真的可以降低风险并提高安全性?”
的答案,这里的其他答案为您指明了正确的方向,但有一个简单的真理:任何仅运行工具的供应商都不值这个价与销售会议一起喝咖啡。
获得自己的工具并自己运行它们更便宜 - 因为您通常可以忽略大部分结果,无论如何:)。

您可能会获得零增值。我建议找一个新的供应商。

在征集潜在的新 PCI ASV 时,询问他们的工作内容,例如:

您将使用哪些漏洞扫描程序来评估我们的系统?
您使用的是商业版还是免费版的漏洞扫描器?
我们在内部使用 Nessus,您还会做些什么来带来价值?

如果您真的想要更大的保证,您正在运行没有已知漏洞的系统,那么请向每个 ASV 候选者明确表示您希望他们做的不仅仅是运行 Nessus 扫描。

要求他们使用多个商业支持的漏洞扫描程序。例如,当我戴上 PCI ASV 帽子时,我可能会做以下事情:

  • 执行多轮完整的 TCP/UDP 端口扫描(通常使用自定义调整的 nmap 运行,在不同的日子和不同的时间进行扫描,以最大限度地减少可能影响准确性的拥塞风险)
  • 启动一轮调谐的Qualys扫描
  • 使用专业的饲料扫描启动一轮调整的 Nessus
  • 对于每个基于 SSL 的站点,使用https://www.ssllabs.com/检查问题
  • 手动抽查任何暴露的 Web 应用程序的常见漏洞(重点是如果我发现一两个表单字段具有简单漏洞,那么这通常意味着该应用程序存在更多漏洞,我会让客户知道他们需要做更多工作)
  • 手动抽查任何非标准暴露的服务或应用程序

如果您只支付 99 美元(我不是说您是),您就不能指望高质量的 PCI ASV 与上述匹配。但是,如果您想要更多,那就货比三家,对公平定价持开放态度。

Nessus 非常擅长它的工作,但“合适的”安全扫描供应商不会只为您提供 Nessus 报告。至少,您需要仔细阅读报告并进行验证以消除误报——无论如何,您可能会在内部执行此操作,但除非您要求,否则供应商可能不会这样做。

客户的期望与供应商提供的产品之间存在重大脱节。我们一直在与各种供应商和行业机构合作,以生成分类法,以尝试消除其中的一些脱节。

如果此安全测试分类法有点超出问题范围,我们深表歉意。它旨在激发您和您的供应商之间的讨论,以便您了解他们将提供什么:

发现

此阶段的目的是识别范围内的系统和正在使用的服务。它并非旨在发现漏洞,但版本检测可能会突出显示已弃用的软件/固件版本,从而指示潜在的漏洞。

漏洞扫描

在发现阶段之后,它通过使用自动化工具将条件与已知漏洞匹配来查找已知的安全问题。报告的风险级别由工具自动设置,无需测试供应商手动验证或解释。这可以通过基于凭据的扫描来补充,该扫描通过使用提供的凭据对服务(例如本地 Windows 帐户)进行身份验证来消除一些常见的误报。

漏洞评估

这使用发现和漏洞扫描来识别安全漏洞并将发现结果放入被测环境的上下文中。一个例子是从报告中删除常见的误报,并确定应该应用于每个报告结果的风险级别,以提高业务理解和背景。

安全评估

在漏洞评估的基础上添加手动验证以确认暴露,但不包括利用漏洞获得进一步访问权限。验证可以采用授权访问系统的形式,以确认系统设置,并涉及检查日志、系统响应、错误消息、代码等。安全评估旨在获得对被测系统的广泛覆盖,而不是深度特定漏洞可能导致的暴露。

渗透测试

渗透测试模拟恶意方的攻击。建立在之前的阶段,并涉及利用发现的漏洞来获得进一步的访问权限。使用这种方法将有助于了解攻击者获取机密信息、影响数据完整性或服务可用性以及相应影响的能力。每项测试都使用一致且完整的方法进行处理,使测试人员能够利用他们解决问题的能力、一系列工具的输出以及他们自己的网络和系统知识来发现可能/无法识别的漏洞自动化工具。与着眼于更广泛覆盖范围的安全评估方法相比,这种方法着眼于攻击的深度。

安全审计

由审计/风险功能驱动,以查看特定的控制或合规问题。这种类型的参与具有范围狭窄的特点,可以利用前面讨论的任何方法(漏洞评估、安全评估、渗透测试)。

安全审查

验证行业或内部安全标准已应用于系统组件或产品。这通常通过差距分析并利用构建/代码审查或通过审查设计文档和架构图来完成。此活动不使用任何早期方法(漏洞评估、安全评估、渗透测试、安全审计)

其它你可能感兴趣的问题
上一篇无法复制的二维码 - 可能吗? 下一篇即使关闭并取出电池,手机是否也可以传输?