Como parte de nuestro proceso de cumplimiento con PCI-DSS, realizamos análisis realizados por un tercero. Basado en la forma y la redacción de la salida, es bastante claro que están usando Nessus para la mayoría de sus trabajos pesados. Lo mismo que usamos internamente, en realidad.
¿Cuál es el valor agregado para que una entidad externa realice las exploraciones por nosotros? ¿Los afinan de manera diferente?
Es posible que obtengas un valor agregado de cero. Sugiero encontrar un nuevo proveedor.
Y cuando solicite posibles nuevos ASV PCI, pregúnteles qué hacen, preguntas como:
¿Qué escáneres de vulnerabilidad utilizarás para evaluar nuestros sistemas?
¿Utiliza las versiones comerciales o gratuitas de los escáneres de vulnerabilidad?
Usamos Nessus internamente, ¿qué más harás para aportar valor?
Y si realmente desea una mayor seguridad, está ejecutando sistemas libres de vulnerabilidades conocidas, entonces deje claro a cada candidato a ASV que espera que hagan más que simplemente ejecutar un análisis de Nessus.
Solicite que usen múltiples escáneres de vulnerabilidad con respaldo comercial. Por ejemplo, puedo hacer lo siguiente cuando uso un sombrero PCI ASV:
No puede esperar que un ASV PCI de calidad coincida con lo anterior si solo paga $ 99 (no estoy diciendo que lo sea). Pero si desea más, compare y esté abierto a precios justos.
Teniendo en cuenta el hecho de que está realizando estas exploraciones en el contexto del cumplimiento con PCI-DSS, su valor añadido en relación con el cumplimiento puede resumirse en mi dicho favorito:
Ley de cumplimiento normativo de AviD:
"El cumplimiento de PCI reduce el riesgo de sanciones por incumplimiento".
En otras palabras, el valor agregado de tener un proveedor de escaneo externo sobre sus herramientas internas (incluso si son las mismas herramientas) es que eso es lo que exige la regulación.
Es por eso que hay un negocio ASV tan importante: sus ingresos están prácticamente garantizados por PCI. Eche un vistazo al programa HackerSafe de McAffee (¿o cambiaron el nombre?): Completamente sin valor desde el punto de vista de seguridad, pero igualmente valioso desde el punto de vista de cumplimiento, ya que un escaneo ASV = escaneo ASV.
Ahora, si desea obtener un valor de seguridad adicional de todo su programa de cumplimiento, además de simplemente "cumplimiento", ese es otro problema. (Para obtener más información sobre esto, vea mi respuesta en "¿El cumplimiento de PCI realmente reduce el riesgo y mejora la seguridad?"
Las otras respuestas aquí apuntan en la dirección correcta, pero una simple cuestión: cualquier proveedor que simplemente ejecute herramientas, no vale la pena pagar un café por tener una reunión de ventas.
Más barato para obtener sus propias herramientas y ejecútelas usted mismo, ya que de todos modos, por lo general, puede ignorar la mayoría de los resultados :).
Nessus es muy bueno en lo que hace, pero un proveedor de análisis de seguridad "adecuado" no solo le entregará un informe de Nessus. Como mínimo, debe revisar el informe y validarlo para eliminar los falsos positivos. De todos modos, probablemente haga esto internamente, pero a menos que lo solicite, un proveedor no podrá hacerlo.
Hay una gran desconexión en lo que los clientes esperan y lo que ofrecen los proveedores. Hemos estado trabajando con varios proveedores y organismos de la industria para generar una taxonomía para intentar eliminar parte de esta desconexión.
Le pedimos disculpas si esta Taxonomía de prueba de seguridad está un poco fuera del alcance de la cuestión. Está pensado para inspirar la discusión entre usted y su proveedor para que pueda comprender lo que le brindarán:
Descubrimiento
El propósito de esta etapa es identificar los sistemas dentro del alcance y los servicios en uso. No tiene la intención de descubrir vulnerabilidades, pero la detección de versiones puede resaltar versiones obsoletas de software / firmware y, por lo tanto, indicar vulnerabilidades potenciales.
Análisis de vulnerabilidad
Después de la etapa de descubrimiento, esto busca problemas de seguridad conocidos mediante el uso de herramientas automatizadas para hacer coincidir las condiciones con las vulnerabilidades conocidas. La herramienta establece automáticamente el nivel de riesgo informado, sin que el proveedor de pruebas realice ninguna verificación o interpretación manual. Esto puede complementarse con el análisis basado en credenciales que busca eliminar algunos falsos positivos comunes mediante el uso de las credenciales proporcionadas para autenticarse con un servicio (como las cuentas locales de Windows).
Evaluación de vulnerabilidad
Esto utiliza el descubrimiento y la exploración de vulnerabilidades para identificar vulnerabilidades de seguridad y coloca los hallazgos en el contexto del entorno bajo prueba. Un ejemplo sería eliminar los falsos positivos comunes del informe y decidir los niveles de riesgo que deberían aplicarse a cada informe del informe para mejorar la comprensión y el contexto de la empresa.
Evaluación de seguridad
Se basa en la evaluación de vulnerabilidad al agregar la verificación manual para confirmar la exposición, pero no incluye la explotación de vulnerabilidades para obtener mayor acceso. La verificación podría ser en forma de acceso autorizado a un sistema para confirmar la configuración del sistema e involucrar el examen de registros, respuestas del sistema, mensajes de error, códigos, etc. Una evaluación de seguridad busca obtener una amplia cobertura de los sistemas bajo prueba pero no la profundidad de exposición a la que podría conducir una vulnerabilidad específica.
Prueba de penetración
Las pruebas de penetración simulan un ataque de una parte maliciosa. Aprovechar las etapas anteriores e implica la explotación de las vulnerabilidades encontradas para obtener un mayor acceso. El uso de este enfoque resultará en una comprensión de la capacidad de un atacante para obtener acceso a información confidencial, afectar la integridad de los datos o la disponibilidad de un servicio y el impacto respectivo. Cada prueba se aborda utilizando una metodología consistente y completa de manera que el probador pueda usar sus habilidades de resolución de problemas, el resultado de una gama de herramientas y su propio conocimiento de redes y sistemas para encontrar vulnerabilidades que no podrían ser identificadas por Herramientas automatizadas. Este enfoque analiza la profundidad del ataque en comparación con el enfoque de evaluación de seguridad que se centra en la cobertura más amplia.
Auditoría de seguridad
Dirigido por una función de Auditoría / Riesgo para analizar un problema específico de control o cumplimiento. Caracterizado por un alcance limitado, este tipo de participación podría hacer uso de cualquiera de los enfoques anteriores (evaluación de vulnerabilidad, evaluación de seguridad, prueba de penetración).
Revisión de seguridad
Verificación de que se han aplicado estándares de seguridad industriales o internos a los componentes del sistema o al producto. Por lo general, esto se completa a través del análisis de brechas y utiliza revisiones de compilación / código o revisando documentos de diseño y diagramas de arquitectura. Esta actividad no utiliza ninguno de los enfoques anteriores (evaluación de vulnerabilidad, evaluación de seguridad, prueba de penetración, auditoría de seguridad)
Lea otras preguntas en las etiquetas network pci-dss compliance network-scanners