Índice
Introdução
Desde 1998, o Projeto Nessus vem atraindo pesquisadores de segurança de todo o mundo. Nessus foi adotado como padrão pelo setor de segurança, fornecedores e profissionais, muitos dos quais confiam no Nessus como base para suas práticas de segurança. O Nessus emprega muitos recursos de segurança que permitem uma adaptação fácil a qualquer infraestrutura de segurança. Os mecanismos de criptografia e autenticação são robustos. O recurso tipo sandbox da interface Nessus Attack Scripting Language (NASL) mantém os plug-ins focados e se comportando conforme o esperado. Devido à sua facilidade de implantação e sua linguagem de script extensível, o Nessus conta com uma comunidade completa de desenvolvedores e usuários que continuam a inovar.
Instalando o Nessus
O Nessus é um framework muito poderoso e vem equipado com muitos métodos poderosos de instalação. No entanto, é necessário pensar um pouco pelo analista de segurança para implantar o Nessus na empresa. Antes da implantação corporativa, é importante considerar o método a ser usado para instalação, o tipo de hardware a ser implantado e a frequência com que ele seria atualizado. O Nessus é melhor aproveitado por uma política sólida de avaliação de vulnerabilidades e um processo de backup. A configuração do Nessus leva muito pouco tempo — a primeira instalação deve estar pronta e funcionando em aproximadamente 15 a 30 minutos.
Executando sua primeira varredura
O Nessus é uma ferramenta muito poderosa e flexível, não uma correção de segurança imediata. É preciso prática para descobrir a melhor maneira de usá-lo em qualquer rede específica. Questões como autorização, risco versus benefício, fornecimento de informações de autenticação e seleção de plug-ins devem ser revisadas antes que qualquer verificação seja executada. O uso eficaz do Nessus requer um planejamento cuidadoso com antecedência. O usuário deve ter um objetivo claro em mente e fazer uso de todas as informações disponíveis para refinar a abordagem de varredura. Os plugins são a parte mais importante do Nessus. Os plugins Nesses são escritos em Nessus Attack Scripting Language (NASL) e são organizados em famílias funcionais.
Interpretando Resultados
O Nessus é uma ferramenta que executa um extenso conjunto de testes de segurança na rede e pode apresentar os resultados em diversos formatos. Aprender a entender a saída do scanner Nessus com aprender a falar um novo idioma. É necessária uma compreensão dos elementos “técnicos” (vocabulário e gramática) e “culturais” (história e tradição) da língua.
Tipos de Vulnerabilidade
Compreender e classificar resmas de dados de vulnerabilidade ajuda a conquistar vários tipos de vulnerabilidades que foram encontradas. Ter uma ideia clara do que são vulnerabilidades e em que ordem elas precisam ser tratadas pode ajudar na definição de um plano para corrigir os problemas de forma mais eficaz. Vulnerabilidades críticas são as ameaças mais imediatas e cruciais para uma rede e geralmente são a base para worms e vírus. As vulnerabilidades críticas incluem escalonamento de privilégios, explorações de raiz local e remota e outros problemas importantes. Vazamentos de informações não ameaçam diretamente a segurança das máquinas, mas divulgam informações que podem ser usadas para acelerar ataques técnicos e sociais. As vulnerabilidades de negação de serviço não concedem privilégios ou execução de código ao invasor, mas podem ser usadas para deixar uma máquina funcional offline. As vulnerabilidades de práticas recomendadas seguem as diretrizes recomendadas pelo fabricante do produto e pelos especialistas do setor para produzir a configuração e a configuração mais proativa e segura possível.
Falsos Positivos
Um FP é o inverso de uma vulnerabilidade que passou pelo scanner. A presença de FPs nos relatórios do scanner é provavelmente uma das principais razões pelas quais as pessoas param de usar um scanner específico. A estrutura do Nessus oferece aos administradores e à equipe de segurança a opção de investigar o funcionamento interno do scanner em detalhes intrincados. Vários recursos online, como o Open Source Vulnerability Database, PacketStorm e SecurityFocus, fornecem detalhes sobre como a vulnerabilidade funciona e como testá-la. Armado com um scanner de código aberto e esses recursos, um analista deve ser capaz de lidar efetivamente com PFs.
O Nessus usa um modelo de processo individual, ou seja, cada conexão do cliente com o servidor Nessus resulta em um novo processo para lidar com essa conexão. É descoberto que cada máquina é avaliada e escaneada independentemente em um modelo baseado em host. Entranhas lógicas e comportamentais do Nessus e na maneira como ele funciona e analisa. Essas descobertas podem fornecer uma compreensão mais profunda do Nessus e onde e como os plug-ins adicionais do Nessus devem se encaixar na lógica do programa. Várias opções configuráveis permitem a otimização das varreduras para uma rede e agendamento.
A Base de Conhecimento do Nessus
A Base de Conhecimento Nessus (KB) fornece poder tanto para o analista de redação de testes quanto para o administrador que executa o scanner. O analista pode escrever testes mais eficientes e que consomem menos largura de banda, enquanto o administrador se beneficia da diminuição do tráfego de rede. A decisão de usar o salvamento da KB e limitar as verificações futuras com base nos dados armazenados na KB é complicada e deve ser cuidadosamente examinada antes da execução. A maior parte das configurações que regem o uso da KB durante uma verificação pode ser encontrada na guia KB da interface gráfica do usuário (GUI) do Nessus Setup no cliente. Essas configurações podem ser usadas para habilitar ou desabilitar o salvamento de KB e para orientar o que o scanner pode fazer com os dados de KB armazenados e por qual período de tempo. Um usuário do Nessus pode optar por verificar ou ignorar hosts com KBs existentes e executar diferentes permutações das famílias de script Nessus Attack Scripting Language (NASL) com base nas informações armazenadas na KB do host de destino. Fazer uso da KB para armazenar dados que deveriam persistir faz todo o sentido e é uma técnica cada vez mais utilizada. Fazer uso das chamadas corretas para recuperar esses valores armazenados e estar ciente das possíveis limitações do KB são importantes ao escrever scripts NASL.
Varredura Corporativa
A verificação de vulnerabilidades corporativas é complicada e requer uma certa quantidade de planejamento, preparação e ajuste. Os principais fatores para a verificação eficaz das vulnerabilidades de segurança da empresa são a administração fácil, a verificação periódica e os resultados precisos. A aplicação de técnicas como varredura distribuída e correlação de relatórios possibilita o uso da ferramenta de varredura Nessus em toda a empresa. O Nessus requer a preparação de uma rede para os requisitos de largura de banda do scanner. A utilização da largura de banda é muito afetada por vários tipos de topologias usadas para implantar os servidores de varredura. Diferentes topologias também afetam os requisitos de hardware e os preparativos necessários para o dia em que a varredura de uma vulnerabilidade específica for necessária, em vez de usar o arsenal completo de testes de vulnerabilidade. Como a simples varredura da rede não é suficiente, esses resultados precisam ser colocados em algum local centralizado e os dados relevantes precisam ser classificados. Uma vez que os dados tenham sido colocados em um único local, quaisquer falsos positivos e vulnerabilidades irrelevantes podem ser filtrados.
NASL
O uso do Nessus Attack Scripting Language (NASL) simplifica drasticamente a manutenção dos plugins. Correções de bugs e melhorias podem ser aplicadas ao interpretador NASL para evitar a necessidade de modificar cada plugin. Os primórdios da NASL, os requisitos de design originais e a evolução da linguagem para enfrentar os desafios das avaliações de vulnerabilidade modernas. Os scripts NASL são compostos de duas seções: a descrição do script e o corpo do script. O corpo do script contém o código NASL que executa o teste de vulnerabilidade. Os plug-ins se comunicam entre si definindo variáveis na Base de conhecimento (KB). A KB só está disponível quando um script é iniciado pelo mecanismo Nessus.
A comunidade de usuários do Nessus
O Nessus conta com amplo suporte na área de segurança de computadores. A comunidade de usuários é uma parte ativa e importante do Projeto Nessus. Ao enviar relatórios de bugs, solicitações de aprimoramento e novos plugins e desenvolver ferramentas de terceiros, a comunidade de usuários melhora a qualidade do projeto. A fonte do Nessus e seus plugins podem ser navegados para saber como eles funcionam. Com o conhecimento adquirido, contribuições podem ser feitas para o Projeto Nessus, adicionando recursos e corrigindo problemas na base de software existente, derivando novos plugins dos existentes e desenvolvendo ferramentas e recursos de terceiros. Por meio de recursos como listas de discussão, comentários de usuários no banco de dados de plug-ins online e as perguntas frequentes do Nessus, a comunidade de usuários atua como um educador que enriquece e expande a comunidade de usuários.
Nessus, uma ótima ferramenta para análise e correção de vulnerabilidades
A Tenable, em sua variedade de versões possui uma grande seção para treinar seus clientes, não é à toa que escala posições com o passar do tempo e com cada melhoria que cria verdadeiras expectativas.
Dentro da empresa implantamos o Nesss e realmente tem sido útil encontrar todas as vulnerabilidades que as varreduras nos lançam, as informações são muito completas desde as etapas de descoberta, nos sentimos muito satisfeitos, que a ferramenta foi implementada em outra infraestrutura e o os resultados são muito úteis.
Vantagens
Nessus e sua interface gráfica é atraente, eu diria que minimalista, mas pontual e charmoso, é muito limpo, deve ser aplaudido que em cada versão eles o melhorem e incluam alguns tipos de varreduras que podem trazer resultados mais completos quando você carrega sair uma análise. É muito notável que os plugins em seu banco de dados estejam atualizados e que sua comunidade gere uma resposta adequada a tempo.
Desvantagens
Por enquanto toda a experiência que tenho com o Nessus tem sido boa, com a constância que você tem em sua equipe trabalhando todos os dias para melhorá-lo sei que será uma boa ferramenta para detecção de vulnerabilidades.
O Nessus Professional faz o trabalho
Este produto faz um ótimo trabalho ao informar seus grupos de TI e segurança sobre o que pode estar vulnerável em seu ambiente. Especialmente se sua organização deseja iniciar um programa, comece pequeno e use esse serviço para construir seus processos e programa antes de investir grandes quantias de dinheiro em outros serviços ou produtos.
Vantagens
O Nessus ainda é o líder do setor nessa área, e a capacidade do produto de identificar vulnerabilidades com precisão ainda é o ponto alto a ser superado. Você pode estar funcionando em apenas alguns minutos, e a capacidade de realizar verificações recorrentes é uma ótima maneira de este produto ajudá-lo com seu programa de segurança. Os campos “Saída do plug-in” ajudam muito ao tentar determinar se os testes são falsos positivos e dão credibilidade adicional aos administradores do sistema quando você pode mostrar a eles exatamente *por que* algo foi detectado como uma vulnerabilidade.
Desvantagens
Não há maneiras de rastrear vulnerabilidades ou seus esforços para monitorá-las ao longo do tempo; esta é realmente apenas uma visão pontual do seu ambiente, a menos que você atualize para um produto muito mais caro.
É um scanner de vulnerabilidade
O agente do lado do cliente é leve e fácil de implantar quando você o instala com sucesso e gera relatórios. O console administrativo é um pouco confuso, mas fornece relatórios muito detalhados que você pode personalizar ao seu gosto.
Vantagens
Faz o que é suposto. Fornece uma boa visão geral das vulnerabilidades nos sistemas para avaliações e auditorias de segurança interna. Pacote MSI fácil de implantar
Desvantagens
O suporte é algo a desejar. Durante a configuração inicial em nosso ambiente, houve várias complicações ao tentar conectar máquinas à nuvem tenable.io e fornecer atualizações às máquinas clientes. O grupo de suporte não pôde fornecer a assistência necessária e acabamos resolvendo o problema por conta própria.
Nessus para verificação de vulnerabilidades
Após nossa primeira grande auditoria de segurança do cliente, implementamos o Nessus para executar verificações semanais de vulnerabilidades internas e externas. Isso não apenas ajuda a satisfazer as demandas de nossos clientes, mas também nos ajuda a encontrar vulnerabilidades em nossos sistemas e nos ajuda a encontrar patches e soluções para as vulnerabilidades.
Vantagens
Fácil de configurar, usar e relatar. Começamos a usar esse aplicativo após nossa primeira grande auditoria de segurança do cliente, alguns anos atrás. É uma ótima ferramenta.
Desvantagens
Não há muito a não gostar com Nessus. Talvez alguns relatórios melhores, e o custo sempre poderia ser melhor, embora não seja ruim.
Alternativas consideradas
Auditor Netwrix
Razões para mudar para o Nessus
Era o que várias empresas de segurança utilizam e foi recomendado pelo especialista em segurança que contratamos para realizar uma avaliação de risco de nossa rede.