Los escaneos ASV (Approved Scanning Vendor) hacen parte esencial de las actividades periódicas de seguridad requeridas por el estándar PCI DSS dentro de los programas corporativos de gestión de vulnerabilidades. Lamentablemente, muchas veces las empresas que deben cumplir con este requerimiento lo realizan con desconocimiento del alcance, de las metodologías y de los resultados, lo cual puede afectar el nivel de seguridad de su entorno y ofrecer una falsa sensación de seguridad, impactando también su cumplimiento con el estándar.

En este artículo se responderán algunas de las preguntas más frecuentes relacionadas con estas validaciones de seguridad:

¿Qué es un escaneo ASV?

Con el fin de realizar una revisión proactiva del estado de seguridad de los servicios y dispositivos publicados en redes públicas abiertas (como por ejemplo, internet) en organizaciones que procesan, almacenan y/o transmiten datos de tarjetas de pago, el estándar PCI DSS requiere la ejecución de una serie de escaneos externos de vulnerabilidades realizados por organizaciones denominadas ASV (Approved Scanning Vendors). El requerimiento relacionado con estos escaneos es el 11.2.2:

11.2.2 Los análisis trimestrales de vulnerabilidades externas deben estar a cargo de un ASV (proveedor aprobado de escaneo) que esté certificado por el PCI SSC (PCI Security Standards Council). Vuelva a realizar los análisis cuantas veces sea necesario hasta que todos los análisis estén aprobados.

Estos escaneos proveen información valiosa para soportar las tareas de gestión de vulnerabilidades y actualizaciones de seguridad dentro del marco normativo de PCI DSS.

¿Mi empresa requiere ejecutar escaneos ASV?

El requerimiento 11.2.2 relacionado con los escaneos externos de vulnerabilidades realizados por empresas ASV puede aplicar a cualquier comerciante o proveedor de servicios que incluya componentes conectados a internet dentro de su infraestructura que gestiona datos de tarjetas de pago. Inclusive, si una entidad no ofrece transacciones basadas en internet, otros servicios (como el correo electrónico o los servicios de DNS) pueden estar accesibles desde internet y, por lo tanto, ser susceptibles de ser escaneados.

Igualmente, cada marca de tarjetas de pago (VISA, AMEX, MasterCard, JCB y Discover) define unos niveles de cumplimiento que incluyen una serie de requisitos, como los escaneos ASV. Para más información, el artículo «Niveles de cumplimiento y requerimientos de las marcas para comercios y proveedores de servicio en PCI DSS» incluye los requisitos por cada marca en función del tipo de entidad (comerciante o proveedor de servicios) y de la cantidad de transacciones de pago procesadas anualmente.

No obstante, la mejor alternativa es trabajar de la mano de un asesor QSA, quien se encargará de validar estos requisitos de forma conjunta con la entidad adquiriente o con las marcas de tarjetas de pago.

¿Qué es un Proveedor Aprobado de Escaneos (Approved Scanning Vendor - ASV)?

Los escaneos externos de vulnerabilidades deben ser realizados única y exclusivamente por una organización homologada por el PCI SSC. Estas organizaciones reciben el nombre de Proveedores Aprobados de Escaneos (Approved Scanning Vendors – ASV) y son los únicos autorizados para realizar este tipo de servicios. Está prohibido que cualquier otra organización no homologada o la propia empresa afectada los realice.

Los Proveedores Aprobados de Escaneos son homologados por el PCI SSC después de demostrar que cuentan con el personal, el conocimiento, la metodología y las herramientas necesarias para realizar estas validaciones conforme con el requerimiento 11.2.2 de PCI DSS. Dentro de sus responsabilidades se encuentran:

  • Operar la solución de escaneos ASV.
  • Trabajar con el cliente para coordinar y resolver dudas e inconvenientes del escaneo, incluyendo la gestión de disputas, falsos positivos y uso de controles compensatorios.
  • Revisar e interpretar los resultados de los escaneos.
  • Generar los reportes de los escaneos.
  • Enviar los reportes de los escaneos a los clientes.

El listado oficial de estos Proveedores Aprobados de Escaneos (ASV) se encuentra en la siguiente URL: https://www.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors

Igualmente, en el artículo «Criterios para escoger un Proveedor Aprobado de Escaneo (ASV)» se enumeran una serie de elementos al tener en cuenta en el momento de identificar un proveedor para este tipo de servicios.

¿Qué dispositivos y cuáles entornos deben ser analizados por los escaneos ASV (alcance)?

El propósito de los escaneos externos de vulnerabilidades ASV es verificar los niveles de seguridad de todos los componentes de sistemas accesibles de forma externa (conectados a internet) que pertenezcan al entorno del titular de tarjetas (Cardholder Data Environment – CDE), que ofrezcan servicios a dicho entorno o que permitan acceso al CDE de forma remota.

En este sentido, se deben identificar todas las direcciones y rangos de IP y los nombres de dominio (Fully Qualified Domain Names – FQDN) de cualquier punto de la infraestructura conectado con internet, incluyendo:

  • Servidores web (incluyendo host virtuales (virtual hosts) y alias de dominios (domain aliases))
  • Servidores de correo electrónico
  • Servidores de acceso remoto (VPN, RDP, etc.)
  • Servidores de resolución de nombres (Domain Name Servers – DNS)
  • Enrutadores o conmutadores (switches) conectados con internet (si son propiedad o son gestionados por la organización)

Entre otros.

Los escaneos externos de vulnerabilidades son realizados de forma remota por la empresa ASV. Por ello, el Proveedor Aprobado de Escaneos (ASV) deberá tener acceso a los servicios y dispositivos a ser evaluados, sin que sea necesaria la presencia en sitio del proveedor.

¿Con qué periodicidad se deben ejecutar los escaneos ASV?

Los escaneos de vulnerabilidades se describen en los siguientes requerimientos del estándar PCI DSS:

  • 11.2 Realice análisis internos y externos de las vulnerabilidades de la red, al menos, trimestralmente y después de cada cambio significativo en la red (como por ejemplo, la instalación de nuevos componentes del sistema, cambios en la topología de la red, modificaciones en las normas de firewall, actualizaciones de productos).
  • 11.2.2 Los análisis trimestrales de vulnerabilidades externas deben estar a cargo de un ASV (proveedor aprobado de escaneo) que esté certificado por el PCI SSC (PCI Security Standards Council). Vuelva a realizar los análisis cuantas veces sea necesario hasta que todos los análisis estén aprobados.
  • 11.2.3 Lleve a cabo análisis internos y externos, y repítalos, según sea necesario, después de realizar un cambio significativo. Los análisis deben estar a cargo de personal calificado.

Como se puede observar, hay tres momentos en los cuales se deben ejecutar los escaneos ASV:

  1. De forma trimestral (ver FAQ #1087 «For vulnerability scans, what is meant by quarterly?«)
  2. Cuando el resultado del análisis detecte una o varias vulnerabilidades catalogadas como HIGH o MEDIUM y se tenga que repetir después de la implementación de las acciones de remediación hasta que el resultado sea satisfactorio, y
  3. Cuando se realice un cambio significativo.

¿Qué metodología se emplea para la realización de los escaneos ASV?

La metodología empleada para la ejecución de estos servicios incluye las siguientes fases:

  • Definición del alcance (Scoping)
  • Realización del escaneo (Scanning)
  • Generación de reportes preliminares
  • Implementación de acciones de remediación por parte del cliente (si aplican)
  • Re-escaneo (si aplica)
  • Generación de reportes finales

¿Qué diferencias hay entre un escaneo de vulnerabilidades y una prueba de penetración?

Las diferencia entre los escaneos de vulnerabilidades y las pruebas de penetración está básicamente en la explotación o no de las vulnerabilidades identificadas. Mientras que el escaneo de vulnerabilidades detecta las potenciales vulnerabilidades y reporta su existencia, la prueba de penetración realiza lo mismo pero va más allá intentando explotarlas, como lo haría un atacante real.

Más información al respecto se puede encontrar en el artículo «¿Cuál es la diferencia entre un escaneo de vulnerabilidades (req. 11.2), una prueba de penetración (req. 11.3) y un análisis de vulnerabilidades de aplicación web (req. 6.6) en PCI DSS?«.

¿Qué son los sistemas de protección activa y por qué se deben desactivar durante los escaneos ASV (Scan Interference)?

Desde la perspectiva de los escaneos ASV existen dos tipos de sistemas de protección: Pasiva y Activa.

  • Sistemas de protección pasiva: Son aquellos sistemas que bloquean exclusivamente el tráfico perteneciente a un ataque detectado pero no bloquea el resto de tráfico, así dicho tráfico siga generándose desde el mismo origen del ataque. Algunos ejemplos de estos sistemas de protección pasiva son:
    • Sistemas de Detección de Intrusiones (IDS), que registra el ataque y su campo de acción se limita exclusivamente a la notificación.
    • Firewalls, que están configurados para bloquear siempre determinados puertos pero mantene abiertos otros previamente autorizados.
    • Servidores de VPN, que rechazan autenticaciones con credenciales inválidas pero permiten accessos con credenciales válidas.
    • Software antivirus, que bloquea, pone en cuarentena o elimina malware conocido basado en una base de datos o en firmas, pero permite todos los demás archivos.
  • Sistemas de protección activa: Son aquellos sistemas de seguridad que modifican su comportamiento de forma dinámica basados en la información obtenida desde patrones de tráfico que no están propiamente vinculados con un ataque (tráfico potencialmente legítimo que no es tráfico malicioso o malformado) pero que son bloqueados o rechazados como parte de acciones preventivas. Dentro de los sistemas de protección activa se encuentran:
    • Sistemas de Prevención de Intrusiones (IPS), que pueden rechazar tráfico no malicioso con base en el comportamiento previo de la dirección IP origen (por ejemplo, bloqueando todo el tráfico desde una dirección IP origen durante un periodo de tiempo debido a que se ha detectado que uno o más sistemas están siendo escaneados desde la misma dirección IP).
    • Web Application Firewalls (WAF), que pueden bloquear todo el tráfico desde una dirección IP con base en la cantidad de eventos realizados durante un umbral de tiempo específico (por ejemplo, realizar más de tres intentos de autenticación por segundo).
    • Cortafuegos (firewalls), que pueden bloquear una direccción IP o un rango si se detecta un escaneo de puertos.
    • Sistemas de control de tráfico (Quality of Service – QoS), que pueden limitar la cantidad de tráfico asignado a una dirección IP o a un rango con base en la cantidad de ancho de banda empleado.
    • Filtros de spam, que pueden bloquear (blacklist) una dirección IP con base en determinados comandos de SMTP originados desde dicha IP.

Como se puede ver, los sistemas de protección activa reaccionan de forma dinámica a los escaneos ASV pudiendo causar inexactitudes en los reportes finales. Por esta razón, es necesario que durante el periodo de tiempo que dure la ejecución del escaneo ASV se ejecuten las siguientes acciones para evitar interferencias:

  • Desactivar los sistemas de protección activa únicamente para las direcciones IP desde donde se ejecutan los escaneos ASV,
  • Monitorizar de forma activa el tráfico durante el escaneo, para identificar potenciales problemas, y
  • Reactivar los sistemas de protección activa tan pronto como el escaneo haya finalizado.

Por ello, es muy importante coordinar los tiempos y las actividades con el proveedor del servicio ASV. De lo contrario, el informe puede salir incompleto o inexacto.

¿Qué tipo de pruebas no se realizan en los escaneos ASV?

Los escaneos de vulnerabilidades externos realizados por empresas ASV deben garantizar que no se impacta la operación normal de la organización evaluada durante los escaneos y que no se realiza ninguna alteración intencional o no del entorno de cliente.

Debido a ello, los siguientes tipos de pruebas no se realizan durante los escaneos ASV:

¿Cómo se catalogan las vulnerabilidades detectadas por los escaneos ASV?

Las vulnerabilidades detectadas por los escaneos ASV se categorizan empleando dos herramientas principalmente:

  • Common Vulnerability Scoring System (CVSS)
  • National Vulnerability Database (NVD)

De acuerdo con estas puntuaciones, las vulnerabilidades se catalogan en 3 grupos en función de su gravedad:

resultados ASV

¿Qué significa que un escaneo ASV sea PASS o FAIL?

Para demostrar cumplimiento con el requerimiento 11.2.2 de PCI DSS, el reporte de un escaneo de vulnerabilidades no debe contener vulnerabilidades catalogadas con una puntuación igual o superior a CVSS 4.0. Igualmente no debe existir ninguna vulnerabilidad que indique que existen fallos de configuración o uso de funcionalidades que entren en conflicto con los criterios del estándar.

De acuerdo con ello, los resultados de los escaneos ASV se catalogan en dos tipos:

  • PASS: Cuando el escaneo no ha detectado ninguna vulnerabilidad HIGH o MEDIUM. Las vulnerablidades reportadas como LOW se recomienda que se corrijan pero no afectan el resultado del informe.
  • FAIL: Cuando el escaneo ha detectado vulnerabilidades HIGH o MEDIUM. Cuando esto ocurre, se debe proceder con la remediación inmediata de la vulnerabilidad y la ejecución de un nuevo escaneo ASV hasta que el informe sea reportado como PASS.

¿Qué informes se obtienen al finalizar un escaneo ASV?

Al finalizar un escaneo ASV, el Proveedores Aprobado de Escaneos genera tres informes:

  1. Attestation of Scan Compliance: Este reporte es el resumen general que muestra el resultado final del escaneo (PASS o FAIL). Si existe una vulnerabilidad con CVSS igual o superior a 4.0 en toda la infraestructura analizada, directamente todo el informe es FAIL.
  2. ASV Scan Report Summary: Este reporte enumera las vulnerabilidades detectadas por componente (dirección IP, host/virtual host, dominios, FQDN, etc.), muestra el resultado del escaneo por cada componente y ofrece una descripción de las posibles alternativas para remediar la vulnerabilidad.
  3. ASV Scan Vulnerability Details: Esta sección del informe incorpora la lista general de vulnerabilidades con su estado (PASS/FAIL) y los detalles de todas las vulnerabilidades detectadas durante el escaneo.

Con el fin de reportar cumplimiento con el requerimiento 11.2.2 se debe presentar el reporte «Attestation of Scan Compliance». Los demás reportes pueden ser requeridos por las marcas o por las entidades adquirientes bajo demanda.

¿Qué es un falso positivo?

Debido a que los escaneos de vulnerabilidades son susceptibles a errores ya que las vulnerabilidades detectadas no se comprueban/confirman técnicamente para evitar afectar la infraestructura del cliente, algunas veces los reportes de los escaneos pueden contener vulnerabilidades que no aplican al entorno o que simplemente son errores del motor de escaneo. Esto se denomina un «falso positivo«.

En estos casos, el cliente puede argumentarle al Proveedor Aprobado de Escaneos (ASV) que una vulnerabilidad no aplica y que se trata de un «falso positivo», proporcionándole evidencia escrita de sus argumentos (capturas de pantalla, archivos de configuración, listados de actualizaciones de seguridad, etc.). El proveedor ASV realizará las verificaciones que considere prudentes y actualizará el informe si es necesario.

¿Se pueden implementar controles compensatorios en los escaneos ASV?

En el caso que no sea posible corregir una vulnerabilidad detectada durante el escaneo por restricciones técnicas o administrativas, se puede hacer uso de un control compensatorio (o de compensación). Estos son controles alternativos que reducen o eliminan el riesgo de la vulnerabilidad identificada y que deben ser reportados por el cliente al Proveedor Aprobado de Escaneos (ASV) para que sean analizados y tenidos en cuenta en el momento de la generación de los reportes.

¿Qué labor desempeña el asesor QSA durante los escaneos ASV?

Los asesores QSA (Qualified Security Assessors) por lo general realizan tareas de consultoría y soporte para ayudar a sus clientes antes, durante y después de la ejecución de los escaneos ASV. En este sentido, algunas de sus labores son:

  • Ayudar al cliente a definir de forma correcta el alcance de las pruebas (scope).
  • Ofrecer soporte para el entendimiento de los resultados de los escaneos.
  • Colaborar en la definición de acciones de remediación, si se necesitan.
  • Ayudar a coordinar las actividades realizadas por la empresa ASV.
  • Ayudar a gestionar cualquier incidente o disputas con la empresa ASV.
  • Dar soporte durante la gestión de falsos positivos o durante la definición de controles compensatorios.

Sin embargo, si la empresa ASV es también una empresa QSA (QSA Company – QSAC), se deben establecer controles para garantizar la separación de responsabilidades entre funciones, asegurando la independencia para prevenir conflictos de interés.

¿Cuántos escaneos ASV se requieren para cumplir con el requerimiento 11.2.2?

Para una entidad que reporte por primera vez su cumplimiento con PCI DSS se requiere un (1) único reporte de escaneos ASV clasificado como PASS.

Para entidades que ya hayan reportado su cumplimiento con PCI DSS en ciclos anteriores (anualmente) se requiere de cuatro (4) reportes catalogados como PASS (uno por trimestre) como mínimo.

Si tenéis alguna pregunta adicional, podéis dejarla en los foros o en los comentarios de este artículo.

Avatar

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS y TSP.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.