Scan

Los escaneos de vulnerabilidades externos forman parte de los requerimientos desarrollados por el PCI SSC para la identificación temprana de vulnerabilidades en aquellos dispositivos conectados a redes no confiables, permitiéndole al administrador de seguridad aplicar los controles necesarios para la protección del entorno de cumplimiento antes que dichas vulnerabilidades puedan ser aprovechadas por un usuario malintencionado.

El requerimiento 11.2.2 de PCI DSS exige lo siguiente:

11.2.2 Los análisis trimestrales de vulnerabilidades externas debe realizarlos un Proveedor Aprobado de Escaneo (ASV) certificado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC).
Nota: Los análisis trimestrales de vulnerabilidades externas debe realizarlos un Proveedor Aprobado de Escaneo (ASV), certificado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). Los análisis realizados después de cambios en la red puede realizarlos el personal interno de la empresa.

Para la realización de dichos escaneos de seguridad externos el PCI SSC ha delegado esta tarea en una figura denominada Proveedor Aprobado de Escaneo (ASV – Approved Scanning Vendor). Un Proveedor Aprobado de Escaneo es una empresa especializada en seguridad de la información que debe cumplir con una serie de requisitos específicos antes de ser aceptada como tal:

  • Requerimientos de negocio: En los cuales se evalúa la estabilidad, independencia y cubrimiento por parte de pólizas de seguro de la empresa.
  • Requerimientos de capacidad: En los que se revisa la experiencia de la empresa y del encargado de realizar los escaneos (scanning operation technical manager).
  • Requerimientos administrativos: En la que se revisa si se cuenta con la logística necesaria para ejecutar los escaneos, incluyendo verificación de antecedentes, cumplimiento con los procedimientos del PCI SSC, controles de calidad y protección de información confidencial y sensitiva proveniente de los resultados del ejercicio.
  • Requerimientos para el mantenimiento de la certificación: En los cuales se definen los criterios anuales a ser cumplidos para mantener la credencial por parte de la empresa.

En este enlace  se puede descargar el documento denominado “Validation Requirements For Approved Scanning Vendors (ASV)”, que contiene una descripción detallada de todo el proceso de aceptación y mantenimiento de la credencial.

Posterior a la validación y aceptación por parte del PCI SSC, la empresa es listada en el sitio web como ASV autorizado: https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php. Todo este trabajo permite la definición de un escenario homogéneo para la prestación de un servicio especifico, permitiendo mantener unos niveles aceptables en los reportes y entregables a cliente final y unos criterios base en términos técnicos y documentales.

Ahora bien: Se supone que con el cumplimiento de todos estos requerimientos el servicio de una compañía ASV no debería variar de una empresa a otra y que los reportes deberían identificar y reportar las vulnerabilidades de una forma similar. Si esto es así, ¿Cómo escoger una compañía ASV para la realización de los escaneos en nuestro entorno?

Recomendaciones generales para escoger un proveedor ASV

Uno de los puntos con mayor discusión entre los usuarios de los servicios de escaneos ASV es la diferencia entre resultados entre un proveedor y otro. A pesar que se han definido unas reglas claras para la prestación del servicio, no se cuenta con una única herramienta a nivel técnico para la ejecución de estos escaneos. En el mercado se pueden encontrar múltiples soluciones de software y appliances para la realización de estas pruebas y cada proveedor ASV es libre de escoger con cuál herramienta ofrecerá su servicio.  Al respecto, el PCI SSC en su “Assessor Update: August 2013” aclara:

The Council does approve the use of an ASV Company’s Scan Solution after it has passed an ASV Lab Scan Test.  An ASV Company’s Scan Solution includes the scanning procedures, the scanning tool(s), the associated report, the process for exchanging information between the scanning vendor and the scan customer and the processes used by ASV employees to operate the scan solution including review and interpretation of scan results.  Each ASV company chooses its own Scan Solution which may consist of a variety of tools.  These tools may be developed in-house, purchased commercially or chosen from a variety of open source tools available.  ASV Companies are required to maintain the security and integrity of its Scan Solution, and It is a violation of the ASV Agreement to operate a different solution or methodology than what was validated during the annual ASV Lab Scan Test.

En este punto, es obvio que algunas veces los resultados puedan variar y muchas veces dichas variaciones corresponden a “falsos positivos”, esto es: una vulnerabilidad detectada y reportada por el escáner pero inexistente realmente, error que debería ser corregido de una forma muy fácil.

Debido a que el servicio de escaneos ofrecido por empresas ASV es tan “similar”, para la elección de un proveedor se debe prestar atención no solamente a los costes asociados (que lamentablemente suele ser el criterio final de escogencia) sino también a los servicios agregados que dicha empresa ofrece para el soporte del ciclo de vida del escaneo, garantizando de esta forma unos resultados óptimos. Por ello, a continuación se describen algunas recomendaciones para la elección de un proveedor ASV:

  • Escoger preferiblemente a un proveedor ASV local de confianza: Muchas veces se opta por la escogencia de un proveedor ASV ubicado en otro país, con lo cual el establecer un canal de contacto en caso de dudas o problemas suele ser bastante complicado, ya sea por horarios, disponibilidad o simplemente por temas de cultura. La escogencia de un proveedor local (ubicado en las cercanías geográficas de la empresa cliente) puede facilitar este tema, así como también la gestión de facturación e impuestos relacionados con el servicio. Si se ha trabajado previamente con este proveedor o se tienen buenas referencias de él, es un valor adicional.
  • Escoger preferiblemente a un proveedor ASV en su propio idioma: Este punto esta relacionado con el anterior. Si no se tiene una buena habilidad con un idioma extranjero, es preferible contratar un proveedor ASV local o que pueda responder en el lenguaje del cliente, facilitando la resolución de dudas, soporte o cualquier otro elemento del servicio de una forma más específica y personalizada.
  • Soporte y servicios agregados: El servicio de escaneos ASV no se debe limitar únicamente a la entrega del reporte cada tres meses. Debe ir más allá, con el fin de cubrir todo el ciclo de vida de las vulnerabilidades detectadas, tal como se describió al principio del artículo. Algunos servicios de valor agregado son:
    • Gestión de excepciones y falsos positivos: En el caso que el reporte contenga un falso positivo, se debe ubicar un proveedor que  facilite un canal de comunicación mediante el cual dicho error pueda ser analizado, corregido y excluido del reporte final.
    • Soporte en la corrección: Cada vulnerabilidad detectada debería contar con una breve descripción de la actividad correctiva asociada. Si dicha descripción no es suficiente, se debería contar con un soporte adicional por parte de la empresa ASV en caso que se requiera. Obviamente, dichas correcciones deberían estar alineadas con los requerimientos de PCI DSS.
    • Históricos y análisis de comportamiento a través del tiempo: Este servicio permite un análisis del estado de seguridad de la plataforma en el tiempo, mostrando su mejora o degradación con base en las vulnerabilidades detectadas. Esto le permite a la Dirección tomar decisiones respecto a la estrategia asociada con la identificación y corrección de vulnerabilidades y reajustar las acciones en caso de ser necesario.
  • Costes asociados al servicio:  Lamentablemente los escaneos ASV muchas veces se ven como un mero trámite burocrático. Nada más lejos de la realidad. Estos escaneos son un elemento crítico dentro de la seguridad del entorno de cumplimiento y como tal deberían ser tratados, asignándoles el presupuesto necesario con base en el riesgo que se intenta controlar. El tema económico es importante, pero no debería ser el único criterio para la escogencia de un proveedor ASV.
  • Remplazo continuo del proveedor ASV: Es una buena práctica establecer periodos máximos a nivel contractual con un proveedor ASV. Esto le permitirá a la empresa contar con un punto de vista nuevo respecto a su seguridad y evaluar de forma objetiva el servicio prestado con base en la comparación. Una buena práctica es trabajar con varios proveedores ASV e irlos rotando de forma anual, coincidiendo con el ejercicio de recertificación de PCI DSS.
  • Independencia con el asesor QSA: Otra recomendación es escoger un proveedor ASV diferente al asesor QSA (Qualified Security Assessor). Esto permitirá mantener una independencia entre los servicios de auditoría PCI DSS y ASV, evitando potenciales “conflictos de interés” que se puedan presentar en el ejercicio de auditoría.

Es importante aclarar que ningún proveedor ASV es mejor que otro, ya que trabajan con los mismos criterios y reglas. La diferencia la hacen los servicios de valor agregado que proporcionen como parte del trabajo contratado.

Finalmente, la labor de un proveedor ASV puede ser valorada por el cliente al terminar el servicio empleando el siguiente formulario de feedback provisto por el PCI SSC, quien se encarga de recibirlos y analizarlos directamente: https://www.pcisecuritystandards.org/approved_companies_providers/asv-feedbackform.php

Nota: Agradecimientos a Carlos, usuario del portal que hizo la pregunta de este artículo.

keep-calm-and-re-run-your-asv-scan