Tenable Nessus 認証情報を使用したチェック
Tenable Nessus では、リモートスキャンに加えて、ローカルエクスポージャーをスキャンすることもできます。認証情報を使用したチェックの設定方法については、Windows での認証チェックおよび Linux での認証チェックを参照してください。
目的
外部ネットワークの脆弱性スキャンは、提供されているネットワークサービスとそれらのサービスに潜在する脆弱性の一定時点のスナップショットを取得するには有用です。しかし、これは外部ネットワークのスキャンに過ぎません。実行されているローカルサービスを判別し、ローカル攻撃によるセキュリティエクスポージャーや、外部スキャンで検出できない外部攻撃にシステムをさらす恐れのある設定を特定することが重要です。
一般的なネットワーク脆弱性評価では、外部の接続点に対してリモートスキャンが実行され、オンサイトスキャンはネットワーク内部で実行されます。こうしたスキャンでは、ターゲットシステムのローカルエクスポージャーは特定できません。取得される情報の一部はバナー情報に依存しており、不確定または不正確である場合があります。セキュアな認証情報を使用すると、ターゲットシステムをスキャンするためのローカルアクセス権を Nessus スキャナーに付与できるので、エージェントは不要になります。これにより、大規模なネットワークをスキャンしてローカルのエクスポージャーまたはコンプライアンス違反を検出する作業が簡単になります。
企業内で最も一般的なセキュリティ上の問題は、セキィリティパッチが適時に適用されていないことです。Nessus の認証情報を用いたスキャンでは、パッチのインストール日付が古いシステムを迅速に判断できます。これは、新たな脆弱性が公開され、その企業への影響について経営陣から早急な回答を求められる場合、特に重要です。
企業が懸念するもう 1 つの重要事項は、サイトポリシー、業界基準 (Center for Internet Security (CIS) ベンチマークなど)、または法律 (サーベンス・オクスリー法、グラム・リーチ・ブライリー法、HIPAA など) の順守を判断することです。クレジットカード情報を受け入れる企業は、クレジットカード業界 (PCI) 基準の順守を証明する必要がありますが、こうした顧客情報が数百万規模で漏洩した多数の事例が大きく報道されています。こうした事例では、支払いの補填、高額の罰金、または漏洩したカードの取扱店や決済業者のクレジットカードが受入不能となったことに対する補填責任を負う銀行に多額の金銭的損失が生じます。
アクセスレベル
認証情報を使用したスキャンでは、ローカルユーザーが実行できる任意の操作を実行できます。スキャンのレベルは、Tenable Nessus で使用するように設定したユーザーアカウントに付与する権限によって決まります。
Linux システムにローカルからアクセスする権限のないユーザーは、パッチレベルや /etc/passwd ファイルの入力内容といった基本的なセキュリティ問題のみを特定できます。システム全体のシステム設定データやファイルへのアクセス許可などのより包括的な情報には、「root」権限を持つアカウントが必要です。
Windows システムで認証スキャンを実行するには、Tenable Nessus でローカル管理者アカウントを使用する必要があります。Microsoft の一部の公開情報やソフトウェア更新プログラムでは、ソフトウェアをパッチレベルで判断するためにレジストリを読み取る作業について、管理者権限を信頼性維持の条件としています。ファイルシステムを直接読み取るために、Tenable Nessus にはローカル管理者権限が必要です。これにより、Nessus はコンピューターに接続し、ファイル分析を直接実行して、Tenable Nessus の評価対象システムの実際のパッチレベルを特定することができます。
認証情報エラーを検出する
Nessus を使用して Linux または Windows システムの認証情報監査を実行する場合、結果を分析して適切なパスワードと SSH キーを保有していたかどうかを判断するのは難しい可能性があります。プラグイン 21745 を使用すると、認証情報が機能していないかどうかを見極めることができます。
このプラグインは、SSH または Windows の認証情報によってスキャンがリモートホストにログインできなかった場合を検出します。ログインに成功した場合、結果を生成しません。