Guillermo
9 febrero, 2022

Quién no quedó impactado la primer vez que vio Blade Runner y la trama de los replicantes Nexus-6, yo soy no de ellos a los que esa película le marco su memoria.

Después del repaso cinematográfico de Nexus-6 voy a hablar de una herramienta homófona al modelo de replicantes tan famoso, Nessus.

Pues con nuestro “Nessus” también podemos decir eso de “Yo he visto cosas que vosotros no creeríais. Atacar naves en llamas más allá de Orion,. He visto rayos C brillar en la oscuridad cerca de la puerta de Tannhäuser. Todos esos momentos… se perderán como lagrimas en la lluvia…..”.

Pues sí, Nessus es una herramienta asombrosa que vosotros (sino lo habéis usado antes) “no creerías lo que veis”. Esta herramienta, sin embargo, esta algo subestimada, no se si por su bajo precio (alrededor de 3000 euros/año, lo cual en este mundo no es mucho) o por su simple interfaz o facilidad de ejecución.

En mi caso, he aprendido a apreciar esta herramienta y valorarla como lo que es, una gran ayuda para ver las vulnerabilidades que presenta un sistema. Aun así, con Nessus, me quedo corto si solo la considero como tal.

Nessus es uno de los productos estrella de Tenable, una reputada compañía de productos de seguridad. La verdad es que Tenable no solo ofrece unos grandes productos de ciberseguridad, sino que mantiene dichos productos con los mas actualizados datos de vulnerabilidades, exploits y tácticas y técnicas de ataque para poder ser prevenidos de nuestras vulnerabilidad y remediarlas. Yo, tengo que confesar, que una de las fuentes de alertas que uso sobre nuevas vulnerabilidades es, precisamente, Tenable.

Lo que hace que Nessus Professional -Pro- (Nessus Por o solo Nessus, a partir de ahora), sea una herramienta de la cual no puedo prescindir es por los siguiente (entre otras):

  • Funciona como aplicación instalada en un equipo como puede ser un portátil, un servidores, etc.
  • La puedo ejecutar como un servicio “on-premise”. Cosa importante sino quieres depender (o no puedes, por motivos de seguridad) de un servicio en la nube.
  • Es muy flexible en cuanto a su licencia (lo comentare mas adelante).
  • Puedes crear tu propios escaneos ajustados a los tipos de sistemas y dispositivos que manejes y, obviamente, a la lógica de tu negocio.
  • No solo comprueba vulnerabilidades, sino también
  • Su actualización de plugins es brutal.
  • Su interfaz y su facilidad de uso es extremadamente sencilla pero, además, sus opciones de escaneo son increíbles, pudiendo (por ejemplo) integrar reglas especificas (lo comentare mas adelante).
  • Prioriza las vulnerabilidades, haciendo que pongamos el foco en aquello mas urgente.
  • Sus plantillas (Templates) son una gran ayuda para aquellas vulnerabilidades mas criticas y que mas impactan en los sistemas por el mundo.
  • Sus informes son muy configurables y detallados.
  • Podéis probarla gratuitamente.

Vaya, parece que quiero “venderos” esta herramienta. Pues no es así, también os diré alguna cosa “mejorable”:

  • Por defecto mantiene la sencillez, lo cual es bueno, pero puede hacer que nuestros escaneos se “eternicen”. Daros cuenta que por defecto podría usar todos los plugins, mas de 150.000 actualmente!!!
  • Sino tienes los plugins actualizados la herramienta funciona igual, pero los resultados serán sí o sí engañosos. Lo ideal es tener una licencia activa y actualizar SIEMPRE los plugins antes de empezar a hacer un escaneo. Una cosa interesante de la licencia, es que se puede cambiar de un dispositivo a otro muy fácilmente, posibilitando (con un sola licencia) ejecutar escaneos de manera interna o externa sin pagar dos licencias.
  • Te detecta mucho, muchísimo, a veces se pasa. Es tan buena esta herramienta que quizás una de sus mayores debilidades es la cantidad de positivos que te puede mostrar y que debes de analizar por que son “falsos positivos” (ejemplo con archivos Log4j). De todas formas ten en cuenta que siempre es mejor un falso positivo que un falso negativo.
  • La carencia de una actualización en un sistema puede mostramos decenas de vulnerabilidad diferentes para un mismo escaneo de Nessus, y con un simple parche desaparecerían todas las vulnerabilidades mostradas (esto, a veces, es algo confuso).
  • Por lo anterior, demanda un análisis  o verificación de las vulnerabilidades encontradas antes de pasar la “patata caliente” a otro colega de tú equipo de IT.

Teniendo todo esto en cuenta, para mi Nessus Professional NO solo es un escáner de vulnerabilidades per se, sino una herramienta con la que vigilar y coordinar el “estado de salud” de mis sistemas (mi red ICT), lo cual hace que la use de una manera profusa y continua.

Ahora viene la pregunta de examen….. Nessus pro o Tenable.sc? (aquí solo considero productos 100% on premise).

Bueno, pues depende……. Nessus Pro es muy bueno y relativamente económico. Tenable.sc es muy bueno también (un poquito mejor, con mas funcionalidades) pero con dos pequeñas “pegas”. Tenable.sc se paga por numero de elementos escaneados en bloques de 512 elementos y, además, requiere (para sacar su máximo potencial) el uso de agentes.

Si vuestros equipos ya andan un poco “sobrecargados de agentes” (antivirus, agentes de logs, de gestión de elementos y software, etc) quizás no sea la mejor solución añadir otro agente “al lote”. Lo que si es cierto es que Tenable.sc es una solución mas completa y con mas funcionalidades que Nessus Pro , pero “basada” en Nessus Pro. Por otro lado, Tenable.io es una solución de gestión on-cloud (y la ultima y mas avanzada).

Lo ideal es empezar a “currar” con Nessus Pro y luego decidir que es lo que te conviene en tu entorno mirando temas como el coste, escalabilidad, el uso que le vais a dar a a la herramienta y las necesidades de esas “avanzadas” características.

Continua en la Parte II de los replicantes.

geropa!!!!

Deja un comentario EnUncategorized