Guia do Usuário do Serviço de Perímetro Nessus (interface HTML5) 16 de janeiro de 2014 (Revisão 5)

Transcrição

1 Guia do Usuário do Serviço de Perímetro Nessus (interface HTML5) 16 de janeiro de 2014 (Revisão 5)

2 Sumário Introdução... 3 Serviço de Perímetro Nessus... 3 Assinatura e ativação... 3 Interface de varredura do cliente... 4 Políticas de varredura... 4 Criar e iniciar uma varredura... 6 Agendamento de uma varredura... 7 Gerenciamento de varreduras... 8 Exibição dos resultados da varredura... 8 Análise dos resultados da varredura... 8 Validação PCI ASV Envio de resultados de varreduras para análise pelo cliente PCI Interface de análise do cliente Análise dos resultados da varredura Contestar resultados da varredura Envio de anexos como evidências para uma contestação Enviar relatório de varredura para análise da Tenable Formatos de relatórios PCI ASV Suporte Alteração da senha Para obter mais informações Sobre a Tenable Network Security

3 Introdução Este documento descreve o Serviço de Perímetro Nessus da Tenable Network Security. Envie seus comentários e sugestões para o support@tenable.com. Este documento abrange o Serviço de Perímetro Nessus usado para verificação de vulnerabilidades, avaliação e criação de relatórios. O conteúdo deste documento inclui os processos de assinatura e ativação do Perimeter Service, início de varredura de cliente, emissão de relatórios de vulnerabilidade e conformidade, validação PCI ASV e suporte ao Serviço de Perímetro. O Serviço de Perímetro Nessus está disponível em interfaces em Flash e HTML5. Este documento descreve a interface HTML5. Caso esteja usando a interface em Flash, que é padrão somente para o navegador Microsoft Internet Explorer, consulte o documento Nessus Perimeter Service User Guide (Flash Interface) (Guia do Usuário do Serviço de Perímetro Nessus Interface em Flash) disponível no Tenable Support Portal (Portal de suporte Tenable). Presume-se que já haja uma compreensão básica dos tópicos: scanner de vulnerabilidade Nessus da Tenable, protocolos de rede, análise e resolução de vulnerabilidades e serviços com base em nuvem. As observações e considerações importantes são destacadas com este símbolo nas caixas de texto escurecidas. As dicas, exemplos e práticas recomendadas são destacados com este símbolo em branco sobre fundo azul. Serviço de Perímetro Nessus O Serviço de Perímetro Nessus é um serviço de verificação de vulnerabilidades remoto profissional que pode ser usado para auditar endereços IP conectados à Internet para vulnerabilidades tanto da rede como de aplicativos da web provenientes da nuvem. Os assinantes que se conectam aos scanners Nessus hospedados no centro de dados seguro da Tenable podem utilizar o serviço de perímetro Nessus para verificar qualquer número de sites da Internet em uma ampla variedade de dispositivos, tais como servidores corporativos, computadores desktop, laptops, iphones, de acordo com a sua conveniência, por um valor fixo. O portal do Serviço de Perímetro Nessus oferece acesso seguro a informações de auditorias de vulnerabilidade detalhadas e diagnósticos hospedadas na infraestrutura da Tenable. O Serviço de Perímetro Nessus pode ser acessado de qualquer computador com acesso à Internet com navegador padrão, bem como de dispositivos móveis, incluindo o Android e iphone/ipad, oferecendo comandos e controle de scanners fixos ou móveis, além de acesso a relatórios de vulnerabilidade e conformidade de qualquer lugar, a qualquer hora. O Serviço de Perímetro Nessus é garantido por uma equipe de pesquisa de renome mundial e tem a maior base de conhecimento de vulnerabilidades do setor, o que o torna adequado até para as auditorias mais complexas. Assinatura e ativação O Serviço de Perímetro Nessus da Tenable está disponível como assinatura anual. As assinaturas estão disponíveis por meio da Tenable Store (Loja Tenable). Para obter informações sobre preço, visite a Tenable Store ou solicite um orçamento em subscriptions@tenable.com. O pacote de assinatura do Serviço de Perímetro Nessus inclui: Varreduras ilimitadas dos sistemas do perímetro Auditorias de aplicativos da Web Capacidade para se preparar para as avaliações de segurança em relação aos padrões PCI atuais Envio de até dois relatório de validação PCI ASV trimestrais por meio da Tenable Network Security, Inc. 3

4 Acesso 24/7 ao portal de suporte da Tenable, para acesso à base de conhecimento do Nessus e geração de pedidos de suporte Uma conta de usuário por assinatura Após adquirir uma assinatura do Serviço de Perímetro Nessus, o Tenable Product Delivery (sistema de entrega de produto da Tenable) notificará o cliente por que o produto está disponível. O de notificação também incluirá o número do pedido do cliente, a data de validade e um link de ativação do produto. Um documento de ajuda de ativação está disponível on-line em: Caso ocorra algum problema com o processo de ativação, entre em contato com licenses@tenable.com. É preciso incluir a identificação do cliente com o pedido. Caso não conheça a identificação do cliente, inclua o número do pedido para receber assistência de maneira apropriada. Interface de varredura do cliente Os clientes que assinam o Serviço de Perímetro Nessus interagem com um portal seguro pela Internet. Para acessar o portal de serviço, todos os clientes devem digitar as credenciais fornecidas pelo Tenable Network Security após a aquisição do serviço. A captura de tela a seguir exibe a página de login do portal, que oferece a interface de usuário HTML5 por padrão: Tela de login inicial do Serviço de Perímetro Nessus Para obter mais informações sobre como usar o Serviço de Perímetro Nessus com a interface antiga em Flash, consulte o documento Nessus Perimeter Service User Guide (Flash Interface) (Guia do Usuário do Serviço de Perímetro Nessus Interface em Flash) disponível no Tenable Support Portal (Portal de suporte Tenable). Políticas de varredura Após o login no serviço, os clientes do Serviço de Perímetro Nessus têm a opção de selecionar uma das sete políticas predefinidas para varreduras: Perimeter Scan (exhaustive) [Varredura de perímetro (completa)] Esta política usará uma largura de banda maior, mas encontrará todos os serviços externos com base em TCP hospedados em uma rede direcionada 4

5 externamente. Esta política contém as configurações padrão que realizarão uma verificação completa no perímetro: - Varredura de porta rápida de portas TCP - As verificações de CGI são permitidas - As verificações de aplicativos da Web são desabilitadas - Baixo número de falso-positivos Perimeter Scan (fast) [Varredura de perímetro (rápida)] Esta política é ideal para uma varredura inicial. Esta política contém as configurações padrão que realizarão uma verificação rápida no perímetro: - Varredura de porta rápida, que verifica as portas TCP mais comuns - As verificações de CGI são permitidas - As verificações de aplicativos da Web são desabilitadas - Baixo número de falso-positivos Web App Tests (exhaustive) [Teste de aplicativos da Web (completo)] Esta política realizará um teste nos aplicativos da web no host remoto. O programa verifica a existência de vulnerabilidades comuns no(s) aplicativo(s) utilizando o método todos os pares para teste de argumento, verifica todos os parâmetros de cada página e funciona por, no máximo, 24 horas. Web App Tests (fast) [Teste de aplicativos da Web (rápido)] Esta política realizará um teste nos aplicativos da web no host remoto. O programa verifica a existência de vulnerabilidades comuns no aplicativo utilizando o método todos os pares para teste de argumento, verifica todos os parâmetros de cada página e funciona por, no máximo, duas horas. PCI-DSS ASV Scan (Varredura PCI-DSS ASV) Esta política pode ser usada pelos clientes do serviços de perímetro que desejam executar varreduras de vulnerabilidades externas que podem ser usadas em um esforço de validação de conformidade PCI DSS. Para obter mais informações sobre a realização de varreduras com base na política PCI DSS e validação de varreduras por meio serviço PCI ASV da Tenable, consulte as seções posteriores deste documento. PCI-DSS ASV Scan (Varredura PCI-DSS ASV) (baixa largura de banda) Essa política é idêntica à política PCI DSS ASV Scan (Varredura PCI-DSS ASV), com exceção da configuração max_hosts, que está definida como 2 para limitar a quantidade de banda usada pelas varreduras do Serviço de Perímetro Nessus. PCI-DSS ASV Scan (Varredura PCI-DSS ASV) (hosts sem resposta) Essa política é idêntica à política PCI DSS ASV Scan (Varredura PCI-DSS ASV), com exceção da configuração Ping Host, que é desativada para permitir que as varreduras do Serviço de Perímetro Nessus possam tentar várias opções de varredura em vez de parar de examinar um host que deixou de responder a um ping remoto. 5

6 Essas políticas são revisadas e atualizadas regularmente pelas equipes da Tenable, para garantir que contenham as atualizações das famílias de plugins e outras configurações aprimoradas. Os clientes não podem visualizar ou alterar nenhum dos parâmetros pré-definidos da política PCI DSS. Em vez de editar as políticas de varredura pré-definidas diretamente, recomenda-se fazer uma cópia de uma política de varredura pré-definida e editar a cópia. Se uma política de varredura pré-definida for editada diretamente, a propriedade da política passará de admin para o usuário do Serviço de Perímetro Nessus, e as configurações originais não poderão ser restauradas automaticamente. O botão Upload (Fazer upload) permitirá a transferência de políticas criadas anteriormente para o scanner Perimeter Service (Serviço de Perímetro). Na caixa de diálogo Browse (Procurar...), selecione a política no sistema local e clique em Submit (Enviar). Criar e iniciar uma varredura Para criar uma varredura, um cliente do Serviço de Perímetro Nessus deve entrar na seção Scans (Varreduras) do serviço e selecionar New Scan (Nova varredura). Em seguida, o cliente poderá inserir um nome exclusivo para a varredura, o tipo de varredura, selecionar a política e inserir endereços IP, intervalos de IP ou nomes de host de seus servidores direcionados externamente que serão o alvo da varredura. 6

7 Clique em Launch (Iniciar) para iniciar a nova varredura imediatamente. Agendamento de uma varredura Para iniciar uma varredura como um modelo, comece criando uma nova varredura no menu Scans (Varreduras) ou no menu Schedules (Agendamentos). Após preencher as configurações básicas, selecione Schedule Settings (Configurações de agendamento) e selecione a frequência: 7

8 Após salvar, as varreduras agendadas poderão ser acessadas no menu Schedules (Agendamentos) na parte superior: Gerenciamento de varreduras Depois de iniciado, as varreduras poderão ser pausadas ou interrompidas durante o processo de varredura usando o ícone de pausa ou parada à direita da varredura: Exibição dos resultados da varredura Os resultados obtidos de uma varredura que está atualmente em andamento podem ser visualizados selecionando o menu Scans (Varreduras) e clicando na varredura em execução ou concluída: Análise dos resultados da varredura Assim que a varredura tiver sido concluída, o status aparecerá na seção Scans (Varreduras) juntamente das data e hora da última atualização ou conclusão da varredura. 8

9 O cliente tem a opção de procurar a varredura ou baixar o relatório em diversos formatos, incluindo os formatos de arquivo:.nessus, CSV, PDF, HTML e Nessus DB. Varredura concluída na exibição Vulnerabilities (Vulnerabilidades) 9

10 Opção de exportação para download da varredura atual O formato de relatório para download em HTML permite selecionar tipos de capítulo no relatório. Selecione HTML como o formato de exportação e clique nos capítulos que deseja incluir na saída do relatório: 10

11 Saída de relatório em HTML para resumo de hosts (executivo) O número de varreduras que o cliente pode realizar e o número de relatórios que podem ser gerados durante o período de assinatura do Serviço de Perímetro Nessus são ilimitados. Informações detalhadas sobre as políticas, varreduras e relatórios do Nessus podem ser encontradas no guia do usuário Nessus, disponível no endereço: Validação PCI ASV A Tenable Network Security, Inc. é um PCI Approved Scanning Vendor (ASV) e está certificada para validar varreduras de vulnerabilidade de sistemas voltados para a Internet para cumprimento de determinados aspectos dos padrões de segurança de dados do PCI Data Security Standards (PCI DSS). O Serviço de Perímetro Nessus inclui uma política DSS PCI estática pré-definida, que cumpre os requisitos de varredura trimestrais do PCI DSS v2.0. Esta política pode ser usada por empresas e provedores para avaliar seus ambientes com base nos requisitos do PCI DSS, além de executar varreduras de vulnerabilidade externas e gerar relatórios que podem ser validados por membros qualificados do Tenable Network Security de acordo com os requisitos de validação do PCI DSS ASV. É importante notar que, embora os clientes usem a política de varredura PCI DSS para verificar os sistemas externos quantas vezes desejarem, a varredura deve ser enviada à Tenable para validação antes de ser considerada uma varredura PCI ASV válida. Os clientes tem permissão para até dois envios de relatórios para validação PCI ASV trimestrais por meio da Tenable Network Security, Inc. Após efetuar login no serviço, os clientes terão a opção de selecionar uma política denominada PCI DSS, que cumpre com os requisitos da seção do PCI ASV Program Guide v2.0 intitulada ASV Scan Solution Required Components (Solução de varredura ASV Componentes necessários). Os clientes não podem visualizar ou alterar nenhum dos parâmetros pré-definidos nesta política. 11

12 Para qualificar como uma varredura PCI DSS ASV para validação por meio do Serviço de Perímetro Nessus, uma das três políticas de PCI-DSS deve ser selecionada. Envio de resultados de varreduras para análise pelo cliente PCI Os clientes têm a opção de enviar os resultados da varredura ao Tenable Network Security para validação de PCI ASV. Ao clicar em Submit for PCI (Enviar para PCI), os resultados da varredura serão transferidos para uma seção administrativa do Serviço de Perímetro Nessus (o PCI Scanning Service) para análise do cliente. O cliente será solicita a efetuar login na seção do usuário do serviço para analisar as descobertas dos resultados da varredura pela perspectiva de PCI DSS. Link para Submit for PCI (Enviar para PCI) (destacado em vermelho) 12

13 Caixa de diálogo do link de transferência de relatório e DSS É recomendável que os clientes revisem completamente os resultados de varredura PCI antes de enviar o(s) relatório(s) ao Tenable Network Security por meio do Serviço de Varredura PCI. Os relatórios com resultados inconsistentes devem passar por um ciclo de análise de Serviço de Varredura PCI completo, no qual os clientes do Serviço de Perímetro Nessus são limitados a dois (2) por período trimestral. Interface de análise do cliente Tela de login do Serviço de Varredura PCI do cliente Depois de um cliente efetuar login na PCI Validation user section (seção do usuário de validação PCI), uma lista de relatórios que foram enviados por seu login exclusivo do Serviço de Perímetro Nessus será apresentada. A opção Report Filter (Filtro de relatório) permite que os relatórios sejam filtrados por proprietário, nome e status. 13

14 Análise dos resultados da varredura Para passar em uma avaliação PCI DSS ASV, todos os itens (exceto para vulnerabilidades de negação de serviços (DoS)) listados como Critical (Crítico), High (Alto) ou Medium (Médio) (ou com pontuação CVSS de 4.0 ou superior) devem ser corrigidos ou contestados pelo cliente. Todos os itens contestados devem ser solucionados, aceitos sem exceções, aceitos como falsos positivos ou atenuados usando controles de compensação. Todos os itens listados como Critical (Crítico), High (Alto) ou Medium (Médio) no Serviço de Perímetro Nessus podem ser exibidos em detalhes; e todos os itens contêm uma opção de contestação do próprio item. Clique no nome da varredura em List of Reports (Lista de relatórios) para visualizar uma lista de hosts e do número de vulnerabilidades encontradas em cada host, classificadas por gravidade. Clique no número de Failed Items (Itens rejeitados) na List of Reports (Lista de relatórios) para exibir uma lista de itens que devem ser corrigidos para se qualificar como relatórios compatíveis com ASV por meio do Serviço de Varredura PCI da Tenable. Os clientes do Serviço de Perímetro Nessus/Serviço de Varredura PCI são responsáveis por analisar todos os itens não aprovados antes de enviar um relatório de varredura ao Tenable Network Security. Selecione Failed Items (Itens rejeitados) em List of Reports (Lista de relatórios) para avançar diretamente para os itens que podem afetar o status de conformidade de validação ASV PCI. 14

15 Use o botão verde + na coluna esquerda para expandir uma entrada individual para obter detalhes adicionais sobre vulnerabilidade. Descrição de item de relatório com a funcionalidade Dispute (Contestar) Como mostrado acima, o botão Dispute (Contestar) é exibido para cada item individual, o que permite ao cliente inserir detalhes adicionais sobre a correção de vulnerabilidades ou contestar o que acredita ser um falso-positivo gerado pela varredura inicial. 15

16 Contestar resultados da varredura Quando um item é contestado, gera-se um ticket que permite selecionar um tipo de alteração, o texto adicional para a alteração e quaisquer outras notas que o cliente queira adicionar antes do envio para revisão pela Tenable Network Security. Depois de gerar um ticket para um item específico, o cliente pode visualizá-lo selecionando o item em questão e, em seguida, selecionando View Ticket (Exibir ticket). 16

17 Descrição de item de relatório de varredura com a funcionalidade View Ticket (Exibir ticket) 17

18 Comentários adicionais podem ser inseridos, clicando-se no botão Edit (Editar) e Add Note (Adicionar nota), e salvando-se a nota no ticket, clicando-se em Update (Atualizar). 18

19 O Plugin 33929, PCI DSS Compliance, é um plugin administrativo que se vincula aos resultados de outros plugins. Se um relatório mostrar que um host não está em conformidade com PCI DSS, solucionar todos os itens reprovados permitirá que o plugin solucione e seja substituído pelo plugin 33930, PCI DSS Compliance: Passed (Conformidade com PCI DSS: Aprovado). Em caso de disputas ou exceções, se todos os itens de relatório com falhas forem questionados com êxito ou receberem exceções, uma exceção pode ser concedida para o plugin com base na remediação de todas as outras questões de relatórios. Envio de anexos como evidências para uma contestação Depois do ticket ser criado, será possível enviar evidências de apoio como anexo. Após criar um ticket, clique no número listado em Open Tickets (Tickets abertos) para exibir todos os tickets abertos: 19

20 Na tela List of Tickets (Lista de tickets), clique em View (Exibir): Quando uma tela do ticket aberto for exibida, as opções Upload File (Fazer upload arquivo) e Attach (Anexar) serão exibidas: Clique em Browse (Procurar...) para procurar e selecionar o arquivo de evidência (captura de tela, documento Word, PDF etc.) para upload: Arquivo de evidência de exemplo (no_shiro.png) 20

21 Em seguida, clique em Attach (Anexar) para anexar o arquivo ao ticket. Ao concluir, a tela exibirá uma mensagem que o arquivo foi transferido com êxito: Clique no link Download próximo a Attachments (Anexos) para exibir os nomes de todos os arquivos anexados ao ticket: Enviar relatório de varredura para análise da Tenable Quando os tickets forem gerados para todos os itens pendentes do relatório sob análise do usuário, o relatório pode ser enviado à Tenable Network Security para análise de ASV. Antes de um relatório poder ser enviado para análise, o cliente deverá preencher as informações de contato e concordar com a comprovação que inclui um texto obrigatório, como descrito no ASV Program Guide (Guia do Programa ASV). 21

22 Texto de declaração de envio do relatório Se o cliente deixar de corrigir um item pendente para uma determinada varredura antes de o relatório ser enviado para análise de ASV, deverá se certificar de que um ticket seja gerado para cada item. Qualquer relatório com itens pendentes que não foram solucionados pelo cliente não podem ser enviados à Tenable Network Security para análise. 22

23 Quando um relatório é finalmente enviado à Tenable Network Security para análise, o status do relatório muda de Under User Review (Sob análise do usuário) para Under Admin Review (Sob análise do administrador) e a opção Submit (Enviar) é removida (esmaecida) para evitar o envio de itens ou relatórios duplicados. Relatório enviado como Under Admin Review (Sob análise do admin.) A função Withdraw (Remover) no ticket em aberto só estará disponível quando o relatório for enviado para análise pelo Serviço de Varredura PCI da Tenable. Tenha cuidado ao usar a função Withdraw, pois a remoção de um ticket fará com que o item em questão seja marcado como não solucionado devido a evidências inconclusivas, e o relatório como um todo será considerado não conforme. Se um membro da equipe da Tenable Network Security solicitar mais informações ou se qualquer outra ação do usuário for necessária para um ticket, um indicador aparecerá na lista de relatórios do cliente, como mostrado abaixo: Notificação User Action Required (Requer ação do usuário) 23

24 O ticket pode ser alterado pelo usuário e reenviado à Tenable Network Security para análise posterior. Formatos de relatórios PCI ASV Quando o relatório atingir o status de conformidade pelo PCI Scanning Service da Tenable, os clientes terão a opção de visualizá-lo no formato Attestation Report (Relatório de certificação), Executive Report (Relatório executivo) ou Detailed Report (Relatório detalhado). Um formulário de feedback de ASV também é fornecido ao cliente do Serviço de Perímetro Nessus. Essas opções estão disponíveis por meio do ícone Download, localizado ao lado de cada relatório. O relatório de certificação, o relatório executivo e o relatório detalhado estão disponíveis para o cliente somente em formato PDF e não podem ser editados. 24

25 Amostra de relatório de certificação 25

26 Amostra de relatório executivo Ao selecionar o nome do relatório e o nome do host na interface baseada na web, uma lista de itens relacionados ao relatório selecionado é exibida. Lista de itens exibida na interface Web 26

27 Suporte Ao adquirir a assinatura do Serviço de Perímetro Nessus da Tenable, o(s) nome(s) e endereço(s) de da(s) pessoa(s) de contato técnico devem ser fornecidos à Tenable. Uma conta separada do portal de suporte da Tenable é criada automaticamente para cada pessoa de contato técnico. As solicitações de suporte são aceitas através do Tenable Support Portal ou por support@tenable.com. Observe que as solicitações por devem ser enviadas de um dos endereços de fornecidos para a Tenable como contato de suporte. Alteração da senha Caso o usuário precise alterar a senha do Serviço de Perímetro Nessus, clique no endereço de no canto superior direito da tela do scanner e selecione a opção User Profile (Perfil de usuário) na lista suspensa. Após alterar a senha, uma caixa de diálogo será exibida confirmando: Para obter mais informações A documentação do Nessus está disponível no endereço: Para obter mais informações sobre os recursos do portal de suporte da Tenable, acesse o endereço: Caso ocorra algum problema com o processo de registro, entre em contato com licenses@tenable.com. O suporte do Serviço de Perímetro Nessus só pode ser acessado por . Encaminhe todas as questões relacionadas ao suporte para support@tenable.com, fornecendo seu Customer ID (ID de cliente) com uma descrição detalhada do problema ocorrido. Além disso, é preciso conectar-se ao Tenable Support Portal (Portal de suporte Tenable) para gerar um pedido de suporte. 27

28 Sobre a Tenable Network Security A Tenable Network Security conta com a confiança de mais de 20 mil empresas, incluindo todo o Departamento de Defesa dos EUA, além de diversas das maiores empresas do mundo e governos, para manter-se à frente das vulnerabilidades, ameaças e riscos de conformidade emergentes. Suas soluções, Nessus e SecurityCenter, continuam a definir o padrão para identificar vulnerabilidades, evitar ataques e estar em conformidade com uma ampla variedade de requisitos normativos. Para mais informações, visite SEDE GLOBAL Tenable Network Security 7021 Columbia Gateway Drive Suite 500 Columbia, MD Copyright Tenable Network Security, Inc. Todos os direitos reservados. Tenable Network Security e Nessus são marcas comerciais registradas da Tenable Network Security, Inc. 28