Guia do Usuário do Serviço de Perímetro Nessus (interface HTML5) 16 de janeiro de 2014 (Revisão 5)

Guia do Usuário do Serviço de

Perímetro Nessus (interface HTML5)

Sumário

Introdução ... 3

Serviço de Perímetro Nessus ... 3

Assinatura e ativação ... 3

Interface de varredura do cliente ... 4

Políticas de varredura ... 4

Criar e iniciar uma varredura ... 6

Agendamento de uma varredura... 7

Gerenciamento de varreduras ... 8

Exibição dos resultados da varredura ... 8

Análise dos resultados da varredura ... 8

Validação PCI ASV ... 11

Envio de resultados de varreduras para análise pelo cliente PCI ... 12

Interface de análise do cliente ... 13

Análise dos resultados da varredura ... 14

Contestar resultados da varredura ... 16

Envio de anexos como evidências para uma contestação ... 19

Enviar relatório de varredura para análise da Tenable ... 21

Formatos de relatórios PCI ASV ... 24

Suporte ... 27

Alteração da senha ... 27

Para obter mais informações ... 27

Introdução

Este documento descreve o Serviço de Perímetro Nessus da Tenable Network Security. Envie seus comentários e sugestões para o e-mail [email protected].

Este documento abrange o Serviço de Perímetro Nessus usado para verificação de vulnerabilidades, avaliação e criação de relatórios. O conteúdo deste documento inclui os processos de assinatura e ativação do Perimeter Service, início de varredura de cliente, emissão de relatórios de vulnerabilidade e conformidade, validação PCI ASV e suporte ao Serviço de Perímetro. O Serviço de Perímetro Nessus está disponível em interfaces em Flash e HTML5. Este documento descreve a interface HTML5. Caso esteja usando a interface em Flash, que é padrão somente para o navegador Microsoft Internet Explorer, consulte o documento “Nessus Perimeter Service User Guide (Flash Interface)” (Guia do Usuário do Serviço de Perímetro Nessus – Interface em Flash) disponível no Tenable Support Portal (Portal de suporte Tenable).

Presume-se que já haja uma compreensão básica dos tópicos: scanner de vulnerabilidade Nessus da Tenable, protocolos de rede, análise e resolução de vulnerabilidades e serviços com base em nuvem.

As observações e considerações importantes são destacadas com este símbolo nas caixas de texto escurecidas.

As dicas, exemplos e práticas recomendadas são destacados com este símbolo em branco sobre fundo azul.

Serviço de Perímetro Nessus

O Serviço de Perímetro Nessus é um serviço de verificação de vulnerabilidades remoto profissional que pode ser usado para auditar endereços IP conectados à Internet para vulnerabilidades tanto da rede como de aplicativos da web

“provenientes da nuvem”. Os assinantes que se conectam aos scanners Nessus hospedados no centro de dados seguro da Tenable podem utilizar o serviço de perímetro Nessus para verificar qualquer número de sites da Internet em uma ampla variedade de dispositivos, tais como servidores corporativos, computadores desktop, laptops, iPhones, de acordo com a sua conveniência, por um valor fixo.

O portal do Serviço de Perímetro Nessus oferece acesso seguro a informações de auditorias de vulnerabilidade

detalhadas e diagnósticos hospedadas na infraestrutura da Tenable. O Serviço de Perímetro Nessus pode ser acessado de qualquer computador com acesso à Internet com navegador padrão, bem como de dispositivos móveis, incluindo o Android e iPhone/iPad, oferecendo comandos e controle de scanners fixos ou móveis, além de acesso a relatórios de vulnerabilidade e conformidade de qualquer lugar, a qualquer hora. O Serviço de Perímetro Nessus é garantido por uma equipe de pesquisa de renome mundial e tem a maior base de conhecimento de vulnerabilidades do setor, o que o torna adequado até para as auditorias mais complexas.

Assinatura e ativação

O Serviço de Perímetro Nessus da Tenable está disponível como assinatura anual. As assinaturas estão disponíveis por meio da Tenable Store (Loja Tenable). Para obter informações sobre preço, visite a Tenable Store ou solicite um

orçamento em [email protected].

O pacote de assinatura do Serviço de Perímetro Nessus inclui:  Varreduras ilimitadas dos sistemas do perímetro  Auditorias de aplicativos da Web

 Capacidade para se preparar para as avaliações de segurança em relação aos padrões PCI atuais  Envio de até dois relatório de validação PCI ASV trimestrais por meio da Tenable Network Security, Inc.

 Acesso 24/7 ao portal de suporte da Tenable, para acesso à base de conhecimento do Nessus e geração de pedidos de suporte

 Uma conta de usuário por assinatura

Após adquirir uma assinatura do Serviço de Perímetro Nessus, o Tenable Product Delivery (sistema de entrega de produto da Tenable) notificará o cliente por e-mail que o produto está disponível. O e-mail de notificação também incluirá o número do pedido do cliente, a data de validade e um link de ativação do produto. Um documento de ajuda de ativação está disponível on-line em:

http://static.tenable.com/documentation/PS_Activation_Help.pdf

Caso ocorra algum problema com o processo de ativação, entre em contato com [email protected]. É preciso incluir a identificação do cliente com o pedido. Caso não conheça a identificação do cliente, inclua o número do pedido para receber assistência de maneira apropriada.

Interface de varredura do cliente

Os clientes que assinam o Serviço de Perímetro Nessus interagem com um portal seguro pela Internet. Para acessar o portal de serviço, todos os clientes devem digitar as credenciais fornecidas pelo Tenable Network Security após a aquisição do serviço.

A captura de tela a seguir exibe a página de login do portal, que oferece a interface de usuário HTML5 por padrão:

Tela de login inicial do Serviço de Perímetro Nessus

Para obter mais informações sobre como usar o Serviço de Perímetro Nessus com a interface antiga em Flash, consulte o documento “Nessus Perimeter Service User Guide (Flash Interface)” (Guia do Usuário do Serviço de Perímetro Nessus – Interface em Flash) disponível no Tenable Support Portal (Portal de suporte Tenable).

Políticas de varredura

Após o login no serviço, os clientes do Serviço de Perímetro Nessus têm a opção de selecionar uma das sete políticas predefinidas para varreduras:

 Perimeter Scan (exhaustive) [Varredura de perímetro (completa)] – Esta política usará uma largura de banda maior, mas encontrará todos os serviços externos com base em TCP hospedados em uma rede direcionada

externamente. Esta política contém as configurações padrão que realizarão uma verificação completa no perímetro:

- Varredura de porta rápida de 65.536 portas TCP - As verificações de CGI são permitidas

- As verificações de aplicativos da Web são desabilitadas - Baixo número de falso-positivos

 Perimeter Scan (fast) [Varredura de perímetro (rápida)] – Esta política é ideal para uma varredura inicial. Esta política contém as configurações padrão que realizarão uma verificação rápida no perímetro:

- Varredura de porta rápida, que verifica as 8.000 portas TCP mais comuns - As verificações de CGI são permitidas

- As verificações de aplicativos da Web são desabilitadas - Baixo número de falso-positivos

 Web App Tests (exhaustive) [Teste de aplicativos da Web (completo)] – Esta política realizará um teste nos aplicativos da web no host remoto. O programa verifica a existência de vulnerabilidades comuns no(s)

aplicativo(s) utilizando o método “todos os pares” para teste de argumento, verifica todos os parâmetros de cada página e funciona por, no máximo, 24 horas.

 Web App Tests (fast) [Teste de aplicativos da Web (rápido)] – Esta política realizará um teste nos aplicativos da web no host remoto. O programa verifica a existência de vulnerabilidades comuns no aplicativo utilizando o método “todos os pares” para teste de argumento, verifica todos os parâmetros de cada página e funciona por, no máximo, duas horas.

 PCI-DSS ASV Scan (Varredura PCI-DSS ASV) – Esta política pode ser usada pelos clientes do serviços de perímetro que desejam executar varreduras de vulnerabilidades externas que podem ser usadas em um esforço de validação de conformidade PCI DSS. Para obter mais informações sobre a realização de varreduras com base na política PCI DSS e validação de varreduras por meio serviço PCI ASV da Tenable, consulte as seções posteriores deste documento.

 PCI-DSS ASV Scan (Varredura PCI-DSS ASV) (baixa largura de banda) – Essa política é idêntica à política PCI DSS ASV Scan (Varredura PCI-DSS ASV), com exceção da configuração “max_hosts”, que está definida como “2” para limitar a quantidade de banda usada pelas varreduras do Serviço de Perímetro Nessus.

 PCI-DSS ASV Scan (Varredura PCI-DSS ASV) (hosts sem resposta) – Essa política é idêntica à política PCI DSS ASV Scan (Varredura PCI-DSS ASV), com exceção da configuração “Ping Host”, que é desativada para permitir que as varreduras do Serviço de Perímetro Nessus possam tentar várias opções de varredura em vez de parar de examinar um host que deixou de responder a um ping remoto.

Essas políticas são revisadas e atualizadas regularmente pelas equipes da Tenable, para garantir que contenham as atualizações das famílias de plugins e outras configurações aprimoradas. Os clientes não podem visualizar ou alterar nenhum dos parâmetros pré-definidos da política PCI DSS.

Em vez de editar as políticas de varredura pré-definidas diretamente, recomenda-se fazer uma cópia de uma política de varredura pré-definida e editar a cópia. Se uma política de varredura pré-definida for editada diretamente, a propriedade da política passará de “admin” para o usuário do Serviço de Perímetro Nessus, e as configurações originais não poderão ser restauradas automaticamente.

O botão “Upload” (Fazer upload) permitirá a transferência de políticas criadas anteriormente para o scanner Perimeter Service (Serviço de Perímetro). Na caixa de diálogo “Browse…” (Procurar...), selecione a política no sistema local e clique em “Submit” (Enviar).

Criar e iniciar uma varredura

Para criar uma varredura, um cliente do Serviço de Perímetro Nessus deve entrar na seção “Scans” (Varreduras) do serviço e selecionar “New Scan” (Nova varredura). Em seguida, o cliente poderá inserir um nome exclusivo para a varredura, o tipo de varredura, selecionar a política e inserir endereços IP, intervalos de IP ou nomes de host de seus servidores direcionados externamente que serão o alvo da varredura.

Clique em “Launch” (Iniciar) para iniciar a nova varredura imediatamente.

Agendamento de uma varredura

Para iniciar uma varredura como um modelo, comece criando uma nova varredura no menu “Scans” (Varreduras) ou no menu “Schedules” (Agendamentos). Após preencher as configurações básicas, selecione “Schedule Settings”

Após salvar, as varreduras agendadas poderão ser acessadas no menu “Schedules” (Agendamentos) na parte superior:

Gerenciamento de varreduras

Depois de iniciado, as varreduras poderão ser pausadas ou interrompidas durante o processo de varredura usando o ícone de pausa ou parada à direita da varredura:

Exibição dos resultados da varredura

Os resultados obtidos de uma varredura que está atualmente em andamento podem ser visualizados selecionando o menu “Scans” (Varreduras) e clicando na varredura em execução ou concluída:

Análise dos resultados da varredura

Assim que a varredura tiver sido concluída, o status aparecerá na seção “Scans” (Varreduras) juntamente das data e hora da última atualização ou conclusão da varredura.

O cliente tem a opção de procurar a varredura ou baixar o relatório em diversos formatos, incluindo os formatos de arquivo: .nessus, CSV, PDF, HTML e Nessus DB.

Opção de exportação para download da varredura atual

O formato de relatório para download em HTML permite selecionar tipos de capítulo no relatório. Selecione “HTML” como o formato de exportação e clique nos capítulos que deseja incluir na saída do relatório:

Saída de relatório em HTML para resumo de hosts (executivo)

O número de varreduras que o cliente pode realizar e o número de relatórios que podem ser gerados durante o período de assinatura do Serviço de Perímetro Nessus são ilimitados. Informações detalhadas sobre as políticas, varreduras e relatórios do Nessus podem ser encontradas no guia do usuário Nessus, disponível no endereço:

http://www.tenable.com/products/nessus/documentation

Validação PCI ASV

A Tenable Network Security, Inc. é um PCI Approved Scanning Vendor (ASV) e está certificada para validar varreduras de vulnerabilidade de sistemas voltados para a Internet para cumprimento de determinados aspectos dos padrões de segurança de dados do PCI Data Security Standards (PCI DSS). O Serviço de Perímetro Nessus inclui uma política DSS PCI estática pré-definida, que cumpre os requisitos de varredura trimestrais do PCI DSS v2.0. Esta política pode ser usada por empresas e provedores para avaliar seus ambientes com base nos requisitos do PCI DSS, além de executar varreduras de vulnerabilidade externas e gerar relatórios que podem ser validados por membros qualificados do Tenable Network Security de acordo com os requisitos de validação do PCI DSS ASV. É importante notar que, embora os clientes usem a política de varredura PCI DSS para verificar os sistemas externos quantas vezes desejarem, a varredura deve ser enviada à Tenable para validação antes de ser considerada uma varredura PCI ASV válida. Os clientes tem permissão para até dois envios de relatórios para validação PCI ASV trimestrais por meio da Tenable Network Security, Inc.

Após efetuar login no serviço, os clientes terão a opção de selecionar uma política denominada “PCI DSS”, que cumpre com os requisitos da seção do PCI ASV Program Guide v2.0 intitulada “ASV Scan Solution – Required Components” (Solução de varredura ASV – Componentes necessários). Os clientes não podem visualizar ou alterar nenhum dos parâmetros pré-definidos nesta política.

Para qualificar como uma varredura PCI DSS ASV para validação por meio do Serviço de Perímetro Nessus, uma das três políticas de “PCI-DSS” deve ser selecionada.

Envio de resultados de varreduras para análise pelo cliente PCI

Os clientes têm a opção de enviar os resultados da varredura ao Tenable Network Security para validação de PCI ASV. Ao clicar em “Submit for PCI” (Enviar para PCI), os resultados da varredura serão transferidos para uma seção

administrativa do Serviço de Perímetro Nessus (o PCI Scanning Service) para análise do cliente. O cliente será solicita a efetuar login na seção do usuário do serviço para analisar as descobertas dos resultados da varredura pela perspectiva de PCI DSS.

Caixa de diálogo do link de transferência de relatório e DSS

É recomendável que os clientes revisem completamente os resultados de varredura PCI antes de enviar o(s) relatório(s) ao Tenable Network Security por meio do Serviço de Varredura PCI. Os relatórios com resultados inconsistentes devem passar por um ciclo de análise de Serviço de Varredura PCI completo, no qual os clientes do Serviço de Perímetro Nessus são limitados a dois (2) por período trimestral.

Interface de análise do cliente

Tela de login do Serviço de Varredura PCI do cliente

Depois de um cliente efetuar login na PCI Validation user section (seção do usuário de validação PCI), uma lista de relatórios que foram enviados por seu login exclusivo do Serviço de Perímetro Nessus será apresentada. A opção “Report Filter” (Filtro de relatório) permite que os relatórios sejam filtrados por proprietário, nome e status.

Análise dos resultados da varredura

Para passar em uma avaliação PCI DSS ASV, todos os itens (exceto para vulnerabilidades de negação de serviços (DoS)) listados como “Critical” (Crítico), “High” (Alto) ou “Medium” (Médio) (ou com pontuação CVSS de 4.0 ou superior) devem ser corrigidos ou contestados pelo cliente. Todos os itens contestados devem ser solucionados, aceitos sem exceções, aceitos como falsos positivos ou atenuados usando controles de compensação. Todos os itens listados como “Critical” (Crítico), “High” (Alto) ou “Medium” (Médio) no Serviço de Perímetro Nessus podem ser exibidos em detalhes; e todos os itens contêm uma opção de contestação do próprio item.

Clique no nome da varredura em “List of Reports” (Lista de relatórios) para visualizar uma lista de hosts e do número de vulnerabilidades encontradas em cada host, classificadas por gravidade.

Clique no número de “Failed Items” (Itens rejeitados) na “List of Reports” (Lista de relatórios) para exibir uma lista de itens que devem ser corrigidos para se qualificar como relatórios “compatíveis” com ASV por meio do Serviço de Varredura PCI da Tenable.

Os clientes do Serviço de Perímetro Nessus/Serviço de Varredura PCI são responsáveis por analisar todos os itens não aprovados antes de enviar um relatório de varredura ao Tenable Network Security. Selecione “Failed Items” (Itens rejeitados) em “List of Reports” (Lista de relatórios) para avançar diretamente para os itens que podem afetar o status de conformidade de validação ASV PCI.

Use o botão verde “+” na coluna esquerda para expandir uma entrada individual para obter detalhes adicionais sobre vulnerabilidade.

Descrição de item de relatório com a funcionalidade “Dispute” (Contestar)

Como mostrado acima, o botão “Dispute” (Contestar) é exibido para cada item individual, o que permite ao cliente inserir detalhes adicionais sobre a correção de vulnerabilidades ou contestar o que acredita ser um falso-positivo gerado pela varredura inicial.

Contestar resultados da varredura

Quando um item é contestado, gera-se um ticket que permite selecionar um tipo de alteração, o texto adicional para a alteração e quaisquer outras notas que o cliente queira adicionar antes do envio para revisão pela Tenable Network Security.

Depois de gerar um ticket para um item específico, o cliente pode visualizá-lo selecionando o item em questão e, em seguida, selecionando “View Ticket” (Exibir ticket).

Comentários adicionais podem ser inseridos, clicando-se no botão “Edit” (Editar) e “Add Note” (Adicionar nota), e salvando-se a nota no ticket, clicando-se em “Update” (Atualizar).

O Plugin 33929, “PCI DSS Compliance”, é um plugin administrativo que se vincula aos resultados de outros plugins. Se um relatório mostrar que um host não está em conformidade com PCI DSS, solucionar todos os itens reprovados permitirá que o plugin 33929 solucione e seja substituído pelo plugin 33930, “PCI DSS Compliance: Passed” (Conformidade com PCI DSS: Aprovado). Em caso de disputas ou exceções, se todos os itens de relatório com falhas forem questionados com êxito ou receberem exceções, uma exceção pode ser concedida para o plugin 33929 com base na remediação de todas as outras questões de relatórios.

Envio de anexos como evidências para uma contestação

Depois do ticket ser criado, será possível enviar evidências de apoio como anexo. Após criar um ticket, clique no número listado em “Open Tickets” (Tickets abertos) para exibir todos os tickets abertos:

Na tela “List of Tickets” (Lista de tickets), clique em “View” (Exibir):

Quando uma tela do ticket aberto for exibida, as opções “Upload File” (Fazer upload arquivo) e “Attach” (Anexar) serão exibidas:

Clique em “Browse…” (Procurar...) para procurar e selecionar o arquivo de evidência (captura de tela, documento Word, PDF etc.) para upload:

Em seguida, clique em “Attach” (Anexar) para anexar o arquivo ao ticket. Ao concluir, a tela exibirá uma mensagem que o arquivo foi transferido com êxito:

Clique no link “Download” próximo a “Attachments” (Anexos) para exibir os nomes de todos os arquivos anexados ao ticket:

Enviar relatório de varredura para análise da Tenable

Quando os tickets forem gerados para todos os itens pendentes do relatório sob análise do usuário, o relatório pode ser enviado à Tenable Network Security para análise de ASV.

Antes de um relatório poder ser enviado para análise, o cliente deverá preencher as informações de contato e concordar com a comprovação que inclui um texto obrigatório, como descrito no ASV Program Guide (Guia do Programa ASV).

Texto de declaração de envio do relatório

Se o cliente deixar de corrigir um item pendente para uma determinada varredura antes de o relatório ser enviado para análise de ASV, deverá se certificar de que um ticket seja gerado para cada item. Qualquer relatório com itens pendentes que não foram solucionados pelo cliente não podem ser enviados à Tenable Network Security para análise.

Quando um relatório é finalmente enviado à Tenable Network Security para análise, o status do relatório muda de “Under User Review” (Sob análise do usuário) para “Under Admin Review” (Sob análise do administrador) e a opção “Submit” (Enviar) é removida (esmaecida) para evitar o envio de itens ou relatórios duplicados.

Relatório enviado como “Under Admin Review” (Sob análise do admin.)

A função “Withdraw” (Remover) no ticket em aberto só estará disponível quando o relatório for enviado para análise pelo Serviço de Varredura PCI da Tenable. Tenha cuidado ao usar a função “Withdraw”, pois a remoção de um ticket fará com que o item em questão seja marcado como não solucionado devido a evidências inconclusivas, e o relatório como um todo será considerado não conforme.

Se um membro da equipe da Tenable Network Security solicitar mais informações ou se qualquer outra ação do usuário for necessária para um ticket, um indicador aparecerá na lista de relatórios do cliente, como mostrado abaixo:

O ticket pode ser alterado pelo usuário e reenviado à Tenable Network Security para análise posterior.

Formatos de relatórios PCI ASV

Quando o relatório atingir o status de “conformidade” pelo PCI Scanning Service da Tenable, os clientes terão a opção de visualizá-lo no formato “Attestation Report” (Relatório de certificação), “Executive Report” (Relatório executivo) ou

“Detailed Report” (Relatório detalhado). Um formulário de feedback de ASV também é fornecido ao cliente do Serviço de Perímetro Nessus. Essas opções estão disponíveis por meio do ícone “Download”, localizado ao lado de cada relatório.

O relatório de certificação, o relatório executivo e o relatório detalhado estão disponíveis para o cliente somente em formato PDF e não podem ser editados.

Amostra de relatório executivo

Ao selecionar o nome do relatório e o nome do host na interface baseada na web, uma lista de itens relacionados ao relatório selecionado é exibida.

Suporte

Ao adquirir a assinatura do Serviço de Perímetro Nessus da Tenable, o(s) nome(s) e endereço(s) de e-mail da(s) pessoa(s) de contato técnico devem ser fornecidos à Tenable. Uma conta separada do portal de suporte da Tenable é criada automaticamente para cada pessoa de contato técnico. As solicitações de suporte são aceitas através do Tenable Support Portal ou por e-mail: [email protected]. Observe que as solicitações por e-mail devem ser enviadas de um dos endereços de e-mail fornecidos para a Tenable como contato de suporte.

Alteração da senha

Caso o usuário precise alterar a senha do Serviço de Perímetro Nessus, clique no endereço de e-mail no canto superior direito da tela do scanner e selecione a opção “User Profile” (Perfil de usuário) na lista suspensa.

Após alterar a senha, uma caixa de diálogo será exibida confirmando:

Para obter mais informações

A documentação do Nessus está disponível no endereço: http://www.tenable.com/products/nessus/documentation

Para obter mais informações sobre os recursos do portal de suporte da Tenable, acesse o endereço: http://www.tenable.com/whitepapers/tenable-network-security-support-portal

http://static.tenable.com/prod_docs/Subscription_Agreement.pdf

Caso ocorra algum problema com o processo de registro, entre em contato com [email protected].

O suporte do Serviço de Perímetro Nessus só pode ser acessado por e-mail. Encaminhe todas as questões relacionadas ao suporte para [email protected], fornecendo seu Customer ID (ID de cliente) com uma descrição detalhada do problema ocorrido. Além disso, é preciso conectar-se ao Tenable Support Portal (Portal de suporte Tenable) para gerar um pedido de suporte.

Sobre a Tenable Network Security

A Tenable Network Security conta com a confiança de mais de 20 mil empresas, incluindo todo o Departamento de Defesa dos EUA, além de diversas das maiores empresas do mundo e governos, para manter-se à frente das vulnerabilidades, ameaças e riscos de conformidade emergentes. Suas soluções, Nessus e SecurityCenter, continuam a definir o padrão para identificar vulnerabilidades, evitar ataques e estar em conformidade com uma ampla variedade de requisitos normativos. Para mais informações, visite www.tenable.com.

SEDE GLOBAL

Tenable Network Security

7021 Columbia Gateway Drive Suite 500

Columbia, MD 21046 410.872.0555