Serviço de Perímetro Nessus Guia do usuário. 24 de outubro de 2012 (Revisão 4)

Transcrição

1 Serviço de Perímetro Nessus Guia do usuário 24 de outubro de 2012 (Revisão 4)

2 Índice Introdução... 3 Serviço de Perímetro Nessus... 3 Assinatura e ativação... 3 Interface de varredura do cliente... 4 Políticas de varredura... 4 Criar e iniciar uma varredura... 6 Análise dos resultados da varredura... 7 Validação PCI ASV Enviar os resultados da varredura para análise do cliente PCI Interface de análise do cliente Análise dos resultados da varredura Contestar resultados da varredura Enviar relatório de varredura para análise da Tenable Formatos de relatórios PCI ASV Suporte Para obter mais informações Sobre a Tenable Network Security

3 Introdução Este documento descreve o Serviço de Perímetro Nessus da Tenable Network Security. Envie seus comentários e sugestões ao support@tenable.com. Este documento abrange o Serviço de Perímetro Nessus usado para verificação de vulnerabilidades, avaliação e criação de relatórios. O conteúdo deste documento inclui os processos de assinatura e ativação do serviço de perímetro, relatórios de implementação, vulnerabilidades e conformidade da varredura do cliente e suporte ao serviço de perímetro. Presume-se que o usuário tenha compreensão básica do scanner de vulnerabilidade Nessus da Tenable, protocolos de rede, análise de vulnerabilidade, diagnósticos e serviços baseados em nuvem. As observações e considerações importantes são destacadas com este símbolo nas caixas de texto escurecidas. As dicas, exemplos e práticas recomendadas são destacados com este símbolo em branco sobre fundo azul. Serviço de Perímetro Nessus O Serviço de Perímetro Nessus é um serviço de verificação de vulnerabilidades remoto profissional que pode ser usado para auditar endereços IP conectados à Internet para vulnerabilidades tanto da rede como de aplicativos da web provenientes da nuvem. Os assinantes que se conectam aos scanners Nessus hospedados no centro de dados seguro da Tenable podem utilizar o serviço de perímetro Nessus para verificar qualquer número de sites da Internet em uma ampla variedade de dispositivos, tais como servidores corporativos, computadores desktop, laptops, iphones, de acordo com a sua conveniência, por um valor fixo. O portal do Serviço de Perímetro Nessus oferece acesso seguro a informações de auditorias de vulnerabilidade detalhadas e diagnósticos hospedadas na infraestrutura da Tenable. O Serviço de Perímetro Nessus pode ser acessado de qualquer computador com acesso à Internet com navegador padrão, bem como de dispositivos móveis, incluindo o Android e iphone/ipad, oferecendo comandos e controle de scanners fixos ou móveis, além de acesso a relatórios de vulnerabilidade e conformidade de qualquer lugar, a qualquer hora. O Serviço de Perímetro Nessus é garantido por uma equipe de pesquisa de renome mundial e possui a maior base de conhecimento de vulnerabilidades do setor, o que o torna adequado até para as auditorias mais complexas. Assinatura e ativação O Serviço de Perímetro Nessus da Tenable está disponível como assinatura anual. As inscrições podem ser feitas por meio da Online Store da Tenable. Para obter informações sobre preços, visite a Loja On-line da Tenable ou envie um e- mail para subscriptions@tenable.com. O pacote de assinatura do Serviço de Perímetro Nessus inclui: Varredura ilimitada de IPs no perímetro Auditorias de aplicativos da Web Capacidade para se preparar para as avaliações de segurança em relação aos padrões PCI atuais Envio de até dois relatório de validação PCI ASV trimestrais por meio da Tenable Network Security, Inc. Acesso 24/7 ao portal de suporte da Tenable, para acesso à base de conhecimento do Nessus e geração de pedidos de suporte 3

4 Uma conta de usuário por assinatura Após adquirir uma assinatura do Serviço de Perímetro Nessus, o sistema de entrega de produto da Tenable (Tenable Product Delivery) notificará o cliente por que o produto está disponível. O de notificação também incluirá o número do pedido do cliente, a data de validade e um link de ativação do produto. Um documento de ajuda de ativação está disponível on-line em: Caso tenha algum problema durante o processo de ativação, envie um para licenses@tenable.com. É preciso incluir a identificação do cliente com o pedido. Caso não conheça a identificação do cliente, inclua o número do pedido para receber assistência de maneira apropriada. Interface de varredura do cliente Os clientes que assinam o Serviço de Perímetro Nessus interagem com um portal seguro pela Internet. Para acessar o portal de serviço, todos os clientes devem digitar as credenciais fornecidas pelo Tenable Network Security após a aquisição do serviço. A imagem de tela a seguir exibe a página de login do portal: Tela de login inicial do Serviço de Perímetro Nessus Políticas de varredura Após o login no serviço, os clientes do Nessus Perimeter Service têm a opção de selecionar uma das sete políticas predefinidas para varreduras: Perimeter Scan (exhaustive) [Varredura do perímetro (completa)] Esta regra requer mais largura de banda, mas permite localizar todos os serviços remotos baseados em TCP hospedados na rede externa. Esta política contém as configurações padrão que realizarão uma verificação completa no perímetro: 4

5 - Varredura de porta rápida de portas TCP - As verificações de CGI são permitidas - As verificações de aplicativos da Web são desabilitadas - Baixo número de falso-positivos Perimeter Scan (fast) [Varredura de perímetro (rápida)] Esta política é ideal para uma varredura inicial. Esta política contém as configurações padrão que realizarão uma verificação rápida no perímetro: - Varredura de porta rápida, que verifica as portas TCP mais comuns - As verificações de CGI são permitidas - As verificações de aplicativos da Web são desabilitadas - Baixo número de falso-positivos Web App Tests (exhaustive) [Teste de aplicativos da Web) (completo)] Esta política realizará um teste nos aplicativos da web no host remoto. O programa verifica a existência de vulnerabilidades comuns no(s) aplicativo(s) utilizando o método todos os pares para teste de argumento, verifica todos os parâmetros de cada página e funciona por, no máximo, 24 horas. Web App Tests (fast) [Teste de aplicativos da Web) (rápido)] Esta política realizará um teste nos aplicativos da web no host remoto. O programa verifica a existência de vulnerabilidades comuns no aplicativo utilizando o método todos os pares para teste de argumento, verifica todos os parâmetros de cada página e funciona por, no máximo, duas horas. PCI-DSS ASV Scan (PCI-DSS Varredura ASV) Esta política pode ser usada pelos clientes do serviços de perímetro que desejam executar varreduras de vulnerabilidades externas que podem ser usadas em um esforço de validação de conformidade PCI DSS. Para obter mais informações sobre a realização de varreduras com base na política PCI DSS e validação de varreduras por meio serviço PCI ASV da Tenable, consulte as seções posteriores deste documento. PCI-DSS ASV Scan (PCI-DSS Varredura ASV) (baixa largura de banda) Esta política é idêntica à política PCI DSS ASV Scan, com exceção da configuração max_hosts, que é definida como 2 para limitar a largura de banda usada por varreduras do Nessus Perimeter Service. PCI-DSS ASV Scan (PCI-DSS Varredura ASV) (hosts sem resposta) Essa política é idêntica à política PCI DSS ASV Scan, com exceção da configuração Ping Host, que é desativada para permitir que as varreduras do Nessus Perimeter Service possam tentar várias opções de varredura em vez de parar de examinar um host que deixou de responder a um ping remoto. 5

6 Essas políticas são revisadas e atualizadas regularmente pelas equipes da Tenable, para garantir que contenham as atualizações das famílias de plugins e outras configurações aprimoradas. Os clientes não podem visualizar ou alterar nenhum dos parâmetros pré-definidos da política PCI DSS. Em vez de editar as políticas de varredura pré-definidas diretamente, recomenda-se fazer uma cópia de uma política de varredura pré-definida e editar a cópia. Se uma política de varredura pré-definida for editada diretamente, a propriedade da política passará de admin para o usuário do Serviço de Perímetro Nessus, e as configurações originais não poderão ser restauradas automaticamente. O botão Import Policy (Importar política) permite enviar políticas pré-definidas ao scanner do serviço de perímetro. Use a caixa de diálogo Browse... (Procurar) para selecionar a política no sistema local e clique em Submit (Enviar). Criar e iniciar uma varredura Para criar uma varredura, o cliente do Serviço de Perímetro Nessus deve acessar a seção Scans (Varreduras) do serviço e selecionar Add (Adicionar). Digite, em seguida, o nome exclusivo da varredura, selecione a política e insira o(s) endereço(s) IP, intervalo(s) de IP(s) ou nomes de hosts de seus servidores externos que serão o destino da varredura. As varreduras já adicionadas como modelos também podem ser editadas para alteração do nome da varredura, destino(s) e a política de varredura. 6

7 Para iniciar uma varredura, o cliente deve selecionar a varredura desejada na seção Scans (Varreduras) e selecionar Launch (Iniciar). Uma vez iniciadas, as varreduras podem ser pausadas ou interrompidas durante o processo de varredura selecionandose o botão Pause ou Stop na página Scans do Serviço de Perímetro Nessus. Os resultados da varredura em andamento podem ser visualizados selecionando uma determinada varredura e clicando no botão Browse (Procurar). Análise dos resultados da varredura Após a conclusão da varredura, o status aparecerá na seção Reports (Relatórios), juntamente com o horário em que a varredura anterior foi atualizada ou concluída. 7

8 O cliente tem a opção de navegar pelas varreduras ou baixar o relatório em diversos formatos, inclusive.nessus,.nessus (v1), NBE export e formatos de arquivo HTML. Varredura concluída na exibição Browse 8

9 Relatório de varredura completo selecionado para download O formato de relatório para download em HTML permite selecionar tipos de capítulo no relatório. Selecione HTML como o formato de download e clique nos capítulos para incluí-lo na saída do relatório: 9

10 Saída de relatório em HTML para resumo de hosts (executivo) O número de varreduras que o cliente pode realizar e o número de relatórios que podem ser gerados durante o período de assinatura do Serviço de Perímetro Nessus são ilimitados. Informações detalhadas sobre as políticas, varreduras e relatórios do Nessus podem ser encontradas no guia do usuário Nessus, disponível no endereço: Validação PCI ASV Em março de 2012, a Tenable Network Security, Inc. é um PCI Approved Scanning Vendor (Fornecedor de varreduras aprovado pela PCI) (ASV) e obteve a certificação para validar varreduras de vulnerabilidades em sistemas voltados para a Internet em conformidade com certos aspectos do PCI Data Security Standards (PCI DSS). O Serviço de Perímetro Nessus inclui uma política DSS PCI estática pré-definida, que cumpre os requisitos de varredura trimestrais do PCI DSS v2.0. Esta política pode ser usada por empresas e provedores para avaliar seus ambientes com base nos requisitos do PCI DSS, além de executar varreduras de vulnerabilidade externas e gerar relatórios que podem ser validados por membros qualificados do Tenable Network Security de acordo com os requisitos de validação do PCI DSS ASV. É importante notar que, embora os clientes usem a política de varredura PCI DSS para verificar os sistemas externos quantas vezes desejar, a varredura deve ser enviada à Tenable para validação antes de ser considerada uma varredura PCI ASV válida. Os clientes podem enviar até dois relatórios de validação PCI ASV trimestrais por meio da Tenable Network Security, Inc. Depois de se conectarem ao serviço, os clientes têm a opção de selecionar uma política denominada PCI DSS, consistente com o PCI ASV Program Guide v1.0, intitulada ASV Scan Solution Required Components (Solução de varredura ASV Componentes exigidos). Os clientes não podem visualizar ou alterar nenhum dos parâmetros prédefinidos nesta política. 10

11 Para se qualificar como varredura PCI DSS ASV para validação por meio do Serviço de Perímetro Nessus, a política PCI-DSS deve ser sempre selecionada. Enviar os resultados da varredura para análise do cliente PCI Os clientes têm a opção de enviar os resultados da varredura ao Tenable Network Security para validação de PCI ASV. Ao clicar em Submit for PCI Validation (Enviar para validação de PCI), os resultados da varredura serão enviados à seção administrativa do Serviço de Perímetro Nessus (Serviço de Varredura PCI) para análise do cliente, e o cliente será solicitado a fazer login na seção de serviço do usuário para avaliar os resultados de varredura do ponto de vista do PCI DSS. Link para Submit for PCI Validation (Enviar para validação de PCI) Caixa de diálogo de confirmação de envio de relatório 11

12 Caixa de diálogo de confirmação de envio de relatório e login de Serviço de Varredura PCI É recomendável que os clientes revisem completamente os resultados de varredura PCI antes de enviar o(s) relatório(s) ao Tenable Network Security por meio do Serviço de Varredura PCI. Os relatórios com resultados inconsistentes devem passar por um ciclo de análise de Serviço de Varredura PCI completo, no qual os clientes do Serviço de Perímetro Nessus são limitados a dois (2) por período trimestral. Interface de análise do cliente Tela de login do Serviço de Varredura PCI do cliente Ao acessar a Seção de validação PCI do usuário, os clientes recebem uma lista de relatórios que foram apresentados com base no login exclusivo ao Serviço de Perímetro Nessus. A opção Report Filter permite que os relatórios sejam filtrados por proprietário, nome e status. 12

13 Análise dos resultados da varredura Para que uma avaliação de PCI DSS ASV seja aprovada, todos os itens (com exceção da negação de serviço (DoS) ou vulnerabilidades) listados como High (alto) ou Medium (Médio) (ou uma pontuação CVSS igual a 4.0 ou superior) devem ser corrigidos ou contestados pelo cliente, e todos os itens contestados devem ser solucionados, aceitos como exceções, aceitos como falso-positivos ou atenuados com o uso de controles de compensação. Todos os itens listados como High ou Medium no Serviço de Perímetro Nessus pode ser visualizados em detalhes, e todos os itens contêm uma opção para contestar o item em questão. Clique no nome da varredura em List of Reports para visualizar uma lista de hosts e do número de vulnerabilidades encontradas em cada host, classificadas por gravidade. Clique no número de Failed Items (itens rejeitados) na List of Reports (lista de relatórios) para exibir uma lista de itens que devem ser corrigidos para se qualificar como relatórios compatíveis com ASV por meio do Serviço de Varredura PCI da Tenable. Os clientes do Serviço de Perímetro Nessus/Serviço de Varredura PCI são responsáveis por analisar todos os itens não aprovados antes de enviar um relatório de varredura ao Tenable Network Security. Selecione Failed Items (itens rejeitados) em List of Reports (lista de relatórios) para avançar diretamente para os itens que podem afetar o status de conformidade de validação ASV PCI. 13

14 Use o botão verde + na coluna esquerda para expandir uma entrada individual para obter detalhes adicionais sobre vulnerabilidade. Descrição de item de relatório com a funcionalidade Dispute (Contestar) 14

15 Como mostrado acima, o botão Dispute é exibido para cada item individual, o que permite ao cliente inserir detalhes adicionais sobre a correção de vulnerabilidades ou contestar o que acredita ser um falso-positivo gerado pela varredura inicial. Contestar resultados da varredura Quando um item é contestado, gera-se um ticket que permite selecionar um tipo de alteração, o texto adicional para a alteração e quaisquer outras notas que o cliente queira adicionar antes do envio para revisão pela Tenable Network Security. Depois de gerar um ticket para um item específico, o cliente pode visualizá-lo selecionando o item em questão e, em seguida, selecionando View Ticket (Exibir ticket). 15

16 Descrição de item de relatório de varredura com a funcionalidade View Ticket (Exibir ticket) 16

17 Comentários adicionais podem ser inseridos, clicando-se no botão Edit (Editar) e Add Note (Adicionar nota), e salvando-se a nota no ticket, clicando-se em Update (Atualizar). 17

18 O Plugin 33929, PCI DSS Compliance, é um plugin administrativo que se vincula aos resultados de outros plugins. Ie um relatório mostra que um host não tem conformidade com PCI DSS, resolver todos os itens com falha permitirá que o plugin seja resolvido e substituído pelo plugin 33930, PCI DSS Compliance: Passed. Em caso de disputas ou exceções, se todos os itens de relatório com falhas forem questionados com êxito ou receberem exceções, uma exceção pode ser concedida para o plugin com base na remediação de todas as outras questões de relatórios. 18

19 Enviar relatório de varredura para análise da Tenable Quando os tickets forem gerados para todos os itens pendentes do relatório sob análise do usuário, o relatório pode ser enviado à Tenable Network Security para análise de ASV. Antes de enviar um relatório para análise, o cliente deve concordar com uma declaração que inclui um texto obrigatório, conforme descrito no guia do programa ASV. Texto de declaração de envio do relatório Se o cliente deixar de corrigir um item pendente para uma determinada varredura antes de o relatório ser enviado para análise de ASV, deverá se certificar de que um ticket seja gerado para cada item. Qualquer relatório com itens pendentes que não foram solucionados pelo cliente não podem ser enviados à Tenable Network Security para análise. 19

20 Quando o relatório é enviado à Tenable Network Security para análise, o status do relatório passa de Under User Review (Requer análise do usuário) para Under Admin Review (Requer análise do administrador), e a opção Submit (Enviar) é removida para evitar o envio de itens ou relatórios duplicados. Relatório enviado como Under Admin Review A função Withdraw (Remover) no ticket em aberto só estará disponível quando o relatório for enviado para análise pelo Serviço de Varredura PCI da Tenable. Tenha cuidado ao usar a função Withdraw, pois a remoção de um ticket fará com que o item em questão seja marcado como não solucionado devido a evidências inconclusivas, e o relatório como um todo será considerado não conforme. Se um membro da equipe da Tenable Network Security solicitar mais informações ou se qualquer outra ação do usuário for necessária para um ticket, um indicador aparecerá na lista de relatórios do cliente, como mostrado abaixo: 20

21 Notificação User Action Required (Requer ação do usuário) O ticket pode ser alterado pelo usuário e reenviado à Tenable Network Security para análise posterior. Formatos de relatórios PCI ASV Quando o relatório atingir o status de conformidade pelo PCI Scanning Service da Tenable, os clientes terão a opção de visualizá-lo no formato Attestation Report (Relatório de certificação), Executive Report (Relatório executivo) ou Detailed Report (Relatório detalhado). Um formulário de feedback de ASV também é fornecido ao cliente do Serviço de Perímetro Nessus. Essas opções estão disponíveis por meio do ícone Download, localizado ao lado de cada relatório. O relatório de certificação, o relatório executivo e o relatório detalhado estão disponíveis para o cliente somente em formato PDF e não podem ser editados. 21

22 Amostra de relatório de certificação 22

23 Amostra de relatório executivo Ao selecionar o nome do relatório e o nome do host na interface baseada na web, uma lista de itens relacionados ao relatório selecionado é exibida. 23

24 Suporte Lista de itens exibida na interface Web Ao adquirir a assinatura do Serviço de Perímetro Nessus da Tenable, o(s) nome(s) e endereço(s) de da(s) pessoa(s) de contato técnico devem ser fornecidos à Tenable. Uma conta separada do portal de suporte da Tenable é criada automaticamente para cada pessoa de contato técnico. Os pedidos de suporte são aceitos por meio do portal de suporte da Tenable ou por enviado ao endereço support@tenable.com. Observe que os pedidos por devem ser enviados a um dos endereços de fornecidos à Tenable para contato de suporte. Para obter mais informações A documentação do Nessus está disponível no endereço: Para obter mais informações sobre os recursos do portal de suporte da Tenable, acesse o endereço: Caso tenha algum problema durante o processo de registro, envie um para licenses@tenable.com. 24

25 O suporte do Serviço de Perímetro Nessus só pode ser acessado por . Envie todas as suas dúvidas relacionadas ao suporte ao endereço e forneça o número de identificação do cliente com uma descrição detalha do problema encontrado. Além disso, é preciso conectar-se ao portal de suporte da Tenable para gerar um pedido de suporte. 25

26 Sobre a Tenable Network Security Tenable Network Security, líder em monitoramento unificado de segurança, é a criadora do scanner de vulnerabilidades Nessus e de soluções de primeira classe sem agente para o monitoramento contínuo de vulnerabilidades, pontos fracos de configuração, vazamento de dados, gerenciamento de logs e detecção de comprometimentos para ajudar a garantir a segurança da rede e o cumprimento das leis e normas FDCC, FISMA, SANS CSIS e PCI. Os produtos premiados da Tenable são utilizados por muitas organizações da Global 2000 e por órgãos públicos para tomar a iniciativa de reduzir os riscos nas redes. Para mais informações, visite GLOBAL HEADQUARTERS Tenable Network Security 7021 Columbia Gateway Drive Suite 500 Columbia, MD Copyright Tenable Network Security, Inc. Todos os direitos reservados. Tenable Network Security e Nessus são marcas comerciais registradas da Tenable Network Security, Inc. 26