it-swarm-korea.com

Nessus 및 타사 스캔

PCI-DSS 컴플라이언스 프로세스의 일환으로 타사에서 스캔을 수행합니다. 결과물의 형태와 표현에 기초하여, 그들이 무거운 물건을 들기 위해 Nessus를 사용하고 있음이 분명합니다. 실제로 내부적으로 사용하는 것과 같습니다.

외부 기관이 우리를 위해 스캔하도록하는 부가 가치는 무엇입니까? 그들은 다르게 조정합니까?

14
sysadmin1138

부가 가치가 전혀 없을 수 있습니다. 새로운 벤더를 찾는 것이 좋습니다.

잠재적 인 새로운 PCI ASV를 요청할 때는 다음과 같은 질문을하십시오.

시스템을 평가하기 위해 어떤 취약점 스캐너를 사용 하시겠습니까?
상업용 또는 무료 버전의 취약점 스캐너를 사용하십니까?
내부적으로 Nessus를 사용하고 있습니다. 가치를 높이기 위해 무엇을 더 하시겠습니까?

그리고 더 큰 확신을 원한다면 알려진 취약점이없는 시스템을 실행하고 있으며 각 ASV 후보에게 단순히 Nessus 스캔을 실행하는 것보다 더 많은 작업을 수행 할 것임을 분명히하십시오.

여러 상용 백업 취약점 스캐너를 사용하도록 요청하십시오. 예를 들어, PCI ASV 모자를 착용 할 때 다음을 수행 할 수 있습니다.

  • 여러 라운드의 전체 TCP/UDP 포트 스캔 실행 (일반적으로 사용자 정의 조정 된 nmap 실행 사용, 정확도를 떨어 뜨릴 수있는 혼잡 위험을 최소화하기 위해 다른 요일과 다른 시간에 스캔)
  • Qualys 스캐닝의 조정 된 라운드에서 발사
  • 전문 피드 스캔을 통해 조정 된 Nessus 라운드 발사
  • 각 SSL 기반 사이트에 대해 https://www.ssllabs.com/
  • 노출 된 웹 응용 프로그램에 공통적 인 취약점이 있는지 수동으로 확인 (이 시점은 쉬운 취약점이있는 하나 또는 두 개의 양식 필드를 찾은 경우 일반적으로 앱에 더 많은 취약점이 있음을 의미하며 클라이언트에게 알려줍니다. 더 많은 일을해야한다)
  • 비표준 노출 서비스 또는 응용 프로그램을 수동으로 스팟 검사

99 달러 만 지불하면 양질의 PCI ASV가 위와 일치한다고 기대할 수 없습니다 (나는 당신이 그런 말을하지 않습니다). 그러나 더 많은 것을 원한다면 쇼핑을하고 공정한 가격을 책정하십시오.

15
Tate Hansen

PCI-DSS 준수와 관련하여 이러한 스캔을 수행한다는 사실을 고려할 때 준수와 관련한 부가 가치는 내가 개인적으로 좋아하는 말로 요약 할 수 있습니다.

AviD의 규정 준수 법률 :

"PCI 규정 준수는 규정 위반으로 인한 처벌의 위험을 줄입니다.".

다시 말해 내부 도구보다 외부 스캐닝 벤더를 보유한 것의 부가 가치는 같은 도구 일지라도) 규제가 요구합니다.
따라서 그러한 터무니없는 ASV 사업이있는 이유는 PCI에 의해 수입이 거의 보장 된 것입니다. ASV 스캔 = ASV 스캔이기 때문에 McAffee의 HackerSafe 프로그램을 살펴보십시오 (또는 이름이 바뀌 었습니까?).

이제 단순히 "규정 준수"외에 전체 규정 준수 프로그램에서 추가 보안 가치를 얻으려면 또 다른 문제가 있습니다. (이에 대한 자세한 내용은 "PCI 규정 준수가 실제로 위험을 줄이고 보안을 개선합니까?")에 대한 내 대답을 참조하십시오.
여기서 다른 대답은 올바른 방향을 제시하지만 한 가지 단순한 진실입니다. 단순히 도구를 실행하는 모든 공급 업체는 영업 회의를 가질 커피 가격이 아닙니다.
어쨌든 대부분의 결과를 무시할 수 있기 때문에 자신 만의 도구를 직접 찾아서 직접 실행할 수 있습니다. :).

16
AviD

Nessus는 그 기능에 매우 능숙하지만 '적절한'보안 스캐닝 벤더는 Nessus 보고서 만 제공하지는 않습니다. 최소한 보고서를 검토하고 오 탐지를 제거하기 위해 유효성을 검사해야합니다. 어쨌든 내부적으로이 작업을 수행하지만 요청하지 않는 한 공급 업체는 그렇지 않을 수 있습니다.

고객이 기대하는 것과 공급 업체가 제공하는 것에는 큰 차이가 있습니다. 우리는 다양한 공급 업체 및 산업 단체와 협력하여 이러한 연결 끊김을 제거하기위한 분류 체계를 생성했습니다.

이 보안 테스트 분류법이 문제의 범위를 벗어난 경우에 사과드립니다. 그것은 당신과 당신의 벤더 사이에 토론을 불러 일으킬 것입니다

발견

이 단계의 목적은 범위 내의 시스템과 사용중인 서비스를 식별하는 것입니다. 취약점을 발견하기위한 것은 아니지만, 버전 탐지는 더 이상 사용되지 않는 소프트웨어/펌웨어 버전을 강조하여 잠재적 인 취약점을 나타낼 수 있습니다.

취약점 스캔

검색 단계 후에는 자동화 된 도구를 사용하여 알려진 취약점과 조건을 일치시켜 알려진 보안 문제를 찾습니다. 보고 된 위험 수준은 테스트 공급 업체의 수동 확인이나 해석없이 도구에 의해 자동으로 설정됩니다. 제공된 자격 증명을 사용하여 서비스 (예 : 로컬 Windows 계정)로 인증함으로써 일반적인 오 탐지를 제거하는 자격 증명 기반 검색으로 보완 할 수 있습니다.

취약점 평가

검색 및 취약성 검색을 사용하여 보안 취약성을 식별하고 그 결과를 테스트중인 환경의 컨텍스트에 배치합니다. 예를 들어 보고서에서 일반적인 오 탐지를 제거하고 비즈니스 이해와 상황을 개선하기 위해 각 보고서에 적용 할 위험 수준을 결정하는 것이 있습니다.

보안 평가

노출을 확인하기 위해 수동 확인을 추가하여 취약점 평가를 기반으로하지만 더 많은 액세스 권한을 얻기위한 취약점 악용은 포함되지 않습니다. 검증은 시스템 설정을 확인하고 로그, 시스템 응답, 오류 메시지, 코드 등을 검사하기 위해 시스템에 대한 인증 된 액세스 형식 일 수 있습니다. 특정 취약점으로 이어질 수있는 노출.

침투 테스트

침투 테스트는 악의적 인 당사자의 공격을 시뮬레이션합니다. 이전 단계를 기반으로하며 발견 된 취약점을 악용하여 추가 액세스 권한을 얻습니다. 이 접근 방식을 사용하면 공격자가 기밀 정보에 액세스하고 데이터 무결성 또는 서비스 가용성 및 해당 영향에 영향을 줄 수있는 능력을 이해하게됩니다. 각 테스트는 일관되고 완전한 방법론을 사용하여 테스터가 문제 해결 능력, 다양한 도구의 결과 및 네트워킹 및 시스템에 대한 자체 지식을 사용하여 식별 할 수없는 취약점을 찾을 수 있도록합니다. 자동화 된 도구. 이 접근 방식은 더 넓은 범위를 다루는 보안 평가 접근 방식과 비교하여 공격의 깊이를 확인합니다.

보안 감사

특정 제어 또는 규정 준수 문제를 확인하기 위해 감사/위험 기능에 의해 구동됩니다. 좁은 범위로 특징 지어진이 유형의 참여는 앞서 논의 된 모든 접근 방식 (취약성 평가, 보안 평가, 침투 테스트)을 이용할 수 있습니다.

보안 검토

산업 또는 내부 보안 표준이 시스템 구성 요소 또는 제품에 적용되었는지 확인 이는 일반적으로 갭 분석을 통해 완료되며 빌드/코드 검토를 활용하거나 설계 문서 및 아키텍처 다이어그램을 검토하여 수행됩니다. 이 액티비티는 이전 접근 방식 (취약성 평가, 보안 평가, 침투 테스트, 보안 감사)을 사용하지 않습니다.

13
Rory Alsop