Nessus es muy bueno en lo que hace, pero un proveedor de análisis de seguridad "adecuado" no solo le entregará un informe de Nessus. Como mínimo, debe revisar el informe y validarlo para eliminar los falsos positivos. De todos modos, probablemente haga esto internamente, pero a menos que lo solicite, un proveedor no podrá hacerlo.
Hay una gran desconexión en lo que los clientes esperan y lo que ofrecen los proveedores. Hemos estado trabajando con varios proveedores y organismos de la industria para generar una taxonomía para intentar eliminar parte de esta desconexión.
Le pedimos disculpas si esta Taxonomía de prueba de seguridad está un poco fuera del alcance de la cuestión. Está pensado para inspirar la discusión entre usted y su proveedor para que pueda comprender lo que le brindarán:
Descubrimiento
El propósito de esta etapa es identificar los sistemas dentro del alcance y los servicios en uso. No tiene la intención de descubrir vulnerabilidades, pero la detección de versiones puede resaltar versiones obsoletas de software / firmware y, por lo tanto, indicar vulnerabilidades potenciales.
Análisis de vulnerabilidad
Después de la etapa de descubrimiento, esto busca problemas de seguridad conocidos mediante el uso de herramientas automatizadas para hacer coincidir las condiciones con las vulnerabilidades conocidas. La herramienta establece automáticamente el nivel de riesgo informado, sin que el proveedor de pruebas realice ninguna verificación o interpretación manual. Esto puede complementarse con el análisis basado en credenciales que busca eliminar algunos falsos positivos comunes mediante el uso de las credenciales proporcionadas para autenticarse con un servicio (como las cuentas locales de Windows).
Evaluación de vulnerabilidad
Esto utiliza el descubrimiento y la exploración de vulnerabilidades para identificar vulnerabilidades de seguridad y coloca los hallazgos en el contexto del entorno bajo prueba. Un ejemplo sería eliminar los falsos positivos comunes del informe y decidir los niveles de riesgo que deberían aplicarse a cada informe del informe para mejorar la comprensión y el contexto de la empresa.
Evaluación de seguridad
Se basa en la evaluación de vulnerabilidad al agregar la verificación manual para confirmar la exposición, pero no incluye la explotación de vulnerabilidades para obtener mayor acceso. La verificación podría ser en forma de acceso autorizado a un sistema para confirmar la configuración del sistema e involucrar el examen de registros, respuestas del sistema, mensajes de error, códigos, etc. Una evaluación de seguridad busca obtener una amplia cobertura de los sistemas bajo prueba pero no la profundidad de exposición a la que podría conducir una vulnerabilidad específica.
Prueba de penetración
Las pruebas de penetración simulan un ataque de una parte maliciosa. Aprovechar las etapas anteriores e implica la explotación de las vulnerabilidades encontradas para obtener un mayor acceso. El uso de este enfoque resultará en una comprensión de la capacidad de un atacante para obtener acceso a información confidencial, afectar la integridad de los datos o la disponibilidad de un servicio y el impacto respectivo. Cada prueba se aborda utilizando una metodología consistente y completa de manera que el probador pueda usar sus habilidades de resolución de problemas, el resultado de una gama de herramientas y su propio conocimiento de redes y sistemas para encontrar vulnerabilidades que no podrían ser identificadas por Herramientas automatizadas. Este enfoque analiza la profundidad del ataque en comparación con el enfoque de evaluación de seguridad que se centra en la cobertura más amplia.
Auditoría de seguridad
Dirigido por una función de Auditoría / Riesgo para analizar un problema específico de control o cumplimiento. Caracterizado por un alcance limitado, este tipo de participación podría hacer uso de cualquiera de los enfoques anteriores (evaluación de vulnerabilidad, evaluación de seguridad, prueba de penetración).
Revisión de seguridad
Verificación de que se han aplicado estándares de seguridad industriales o internos a los componentes del sistema o al producto. Por lo general, esto se completa a través del análisis de brechas y utiliza revisiones de compilación / código o revisando documentos de diseño y diagramas de arquitectura. Esta actividad no utiliza ninguno de los enfoques anteriores (evaluación de vulnerabilidad, evaluación de seguridad, prueba de penetración, auditoría de seguridad)