Если вы только входите в мир соответствия требованиям PCI DSS, вы узнаете, что ASV очень важны. Даже для самых низких уровней продавцов и поставщиков услуг кроме заполнения ежегодной анкеты самооценки (SAQ) требуется только ежеквартальное сканирование ASV.
Так что же такое ASV?
ASV является утвержденным поставщиком сканирования. Это компании, одобренные Советом по стандартам безопасности PCI для проведения сканирования уязвимостей ваших компьютеров, подключенных к Интернету. Эти сканирования уязвимостей необходимы для выполнения требования 11.2.2 PCI DSS.
Что такое сканирование уязвимостей?
Хакеры и исследователи постоянно находят проблемы безопасности в старых версиях компьютерного программного обеспечения. Об этом сообщается компаниям, написавшим программное обеспечение, например Microsoft, которые затем выпускают исправления для этого программного обеспечения. Отчасти поэтому Microsoft регулярно проводит «вторник исправлений», когда для вашего компьютера выпускаются исправления безопасности. Но этим занимается не только Microsoft; все основные игроки регулярно выпускают исправления безопасности.
Если вы не используете самые последние версии программного обеспечения на своих компьютерах, вы значительно упростите злоумышленникам возможность взломать и украсть ценные вещи. Для целей стандарта PCI DSS это включает номера платежных карт, с которыми вы работаете. Поэтому очень важно оставаться в курсе этих обновлений, чтобы обеспечить безопасность информации. К сожалению, даже самые крупные компании изо всех сил стараются своевременно обновлять все. В некотором смысле крупным компаниям сложнее делать это регулярно, потому что у них обычно есть внутренние процессы контроля изменений, которые требуют большого количества тестов перед применением каких-либо обновлений.
Сканирование уязвимостей или сканирование с оценкой уязвимостей пытается подключиться ко всем возможным службам, которые могут быть запущены на ваших компьютерах, чтобы увидеть, не устарели ли они или неправильно настроено программное обеспечение. В результате сканирования уязвимостей создается отчет, в котором перечислены все найденные службы. Для каждого из них он либо не показывает никаких проблем, либо показывает, что уязвимости были обнаружены. При обнаружении уязвимостей каждой из них обычно присваивается низкий / средний / высокий рейтинг, который поможет вам определить, какие уязвимости следует решать в первую очередь.
Помимо поиска старых версий программного обеспечения, сканирование уязвимостей также ищет распространенные неправильные конфигурации, такие как использование просроченных сертификатов веб-сервера (сертификатов SSL / TLS) или служб управления, таких как Microsoft Remote Desktop или SSH, открытых для Интернета.
Что мне делать с отчетом о сканировании уязвимостей?
Соответствие стандарту PCI DSS означает, что вам необходимо ежеквартально получать чистый отчет о сканировании уязвимостей от ASV. И это означает? Каждый квартал вам необходимо получать отчет о сканировании, который не показывает обнаруженных уязвимостей. Для некоторых компаний это может быть довольно просто, для других это сложнее, потому что у них большой объем Интернета с журналами различных систем.
К сожалению, проблемы, поднятые в отчете о сканировании уязвимостей, не всегда актуальны. Отчасти это связано с тем, что для производственных конфигураций рекомендуется не выдавать ненужную информацию о том, какая версия программного обеспечения работает. Я могу знать, что у вас есть веб-сервер Apache, но я не могу легко сказать, какая это версия.
Поскольку точная информация о версии обычно недоступна, программное обеспечение для сканирования уязвимостей, используемое ASV, должно использовать правила, чтобы решить, что делать. Как правило, эти правила утверждают , что если часть программного обеспечения может быть уязвима, но мы не можем знать наверняка, относиться к ней , как будто она уязвима. Это может привести к ложным срабатываниям, когда о проблеме сообщается, когда ее на самом деле не существует.
Типы нахождения
Когда вы впервые получаете неудачный отчет ASV, вам необходимо определить, какие проблемы являются реальными, а какие - ложными. И то, и другое необходимо решать, но по-разному. Этот процесс обработки результатов, содержащихся в отчете ASV, известен как исправление.
Реальные проблемы более важны, поскольку они представляют собой потенциальные уязвимости в вашей системе, которые могут быть использованы злоумышленниками. Их можно решить либо путем обновления до фиксированной версии программного обеспечения, которое решает проблему, либо с помощью какой-либо другой конфигурации, которая предотвращает использование уязвимости любой атакой.
В общем, всегда лучше запускать более новые исправленные версии программного обеспечения. Если это невозможно, вы можете настроить свое программное обеспечение для предотвращения атаки. Если для атаки требуется определенная конфигурация, которую вы не используете, уязвимость не может быть использована. Например, служба поддерживает два разных типа хранилища паролей: слабый и надежный. Если обнаружение ASV связано с тем, что вы могли использовать настройку слабого пароля, но вы можете показать, что настроены на использование только надежного пароля, этого может быть достаточно для ASV, чтобы считать это ложным срабатыванием.
Независимо от того, устраняете ли вы обнаружение в отчете ASV путем обновления программного обеспечения или конфигураций, очень важно одно. Проверьте изменение! В идеале вы должны сначала протестировать изменение в специальной лаборатории; этот вариант не всегда доступен мелким торговцам. Но что бы ни случилось, убедитесь, что вы проверили изменение, даже если оно произошло постфактум.
Что такое ложные срабатывания?
Ложные срабатывания могут быть либо неправильной идентификацией исправленного программного обеспечения как более старой версии с ошибками. Или они могут быть там, где развернутое вами программное обеспечение содержит уязвимость, но ее нельзя использовать в используемой вами конфигурации.
При обнаружении ложных срабатываний вам необходимо объяснить компании ASV, почему вы считаете, что результаты их отчета неверны. Они могут запросить некоторые доказательства, такие как журнал или снимок экрана, показывающие, что вы исправили этот сервер, даже если он выглядит как старая версия. Как только ASV примет ваши доказательства, они создадут исключение, которое укажет их программному обеспечению сканирования игнорировать этот конкретный результат. Эти исключения обычно ограничены по времени, поэтому вы периодически будете проходить процедуру обоснования одних и тех же проблем.
Что мне делать после устранения всех проблем?
Вы устранили все реальные обнаруженные проблемы и достигли соглашения с ASV по всем ложноположительным результатам. Что теперь? ASV повторно просканирует вашу сеть (сети) снова. Предполагая, что в новом отчете не обнаружено новых проблем и ваши исправления сработали, ASV выдаст сертификат, подтверждающий, что никаких проблем не обнаружено. Сохраните этот сертификат; вам может потребоваться предоставить его брендам карт, вашему эквайеру или другим заинтересованным сторонам.
Что касается сканирования ASV, это ваша работа до конца квартала. Но на этом патчинг не закончился! Плохие парни не отдыхают, и вы тоже.
Для всех, кто имеет дело с карточными платежами, управление уязвимостями должно быть процессом BAU. Даже у самых маленьких продавцов вам необходимо устанавливать обновления безопасности поставщика, как только вы сможете безопасно загрузить их в свои системы.
Как мне найти ASV?
Работа с ASV в основном обязательна для соответствия стандарту PCI DSS. Плохая новость заключается в том, что вы не можете просто использовать любого старого консультанта по безопасности, который утверждает, что знает, как использовать OpenVAS для этой цели. Вы должны использовать поставщика, одобренного Советом по стандартам безопасности PCI, поэтому они называются утвержденными поставщиками сканирования.
Хорошей новостью является то, что теперь есть широкий выбор ASV. По сравнению со многими услугами, связанными с ИТ-безопасностью, цены на базовую услугу сканирования обычно вполне разумны. Многие из этих компаний ASV также предоставляют другие услуги безопасности, а некоторые также являются QSAC. Так что, если вы найдете тот, с которым вам приятно работать, для начального сканирования ASV, это может быть хорошим способом взять у них интервью для большей части вашего ИТ-мира.
Поскольку от вас требуется использовать утвержденного поставщика сканирования, Совет по стандартам безопасности PCI поддерживает каталог утвержденных поставщиков с возможностью поиска. Когда вы посмотрите на список, вы заметите, что многие из них являются глобальными, но некоторые обслуживают только определенные регионы. Для каждого региона существуют требования к регистрации, поэтому убедитесь, что вы найдете тот, который действительно соответствует вашим потребностям.
Так что же такое ASV?
ASV является утвержденным поставщиком сканирования. Это компании, одобренные Советом по стандартам безопасности PCI для проведения сканирования уязвимостей ваших компьютеров, подключенных к Интернету. Эти сканирования уязвимостей необходимы для выполнения требования 11.2.2 PCI DSS.
Что такое сканирование уязвимостей?
Хакеры и исследователи постоянно находят проблемы безопасности в старых версиях компьютерного программного обеспечения. Об этом сообщается компаниям, написавшим программное обеспечение, например Microsoft, которые затем выпускают исправления для этого программного обеспечения. Отчасти поэтому Microsoft регулярно проводит «вторник исправлений», когда для вашего компьютера выпускаются исправления безопасности. Но этим занимается не только Microsoft; все основные игроки регулярно выпускают исправления безопасности.
Если вы не используете самые последние версии программного обеспечения на своих компьютерах, вы значительно упростите злоумышленникам возможность взломать и украсть ценные вещи. Для целей стандарта PCI DSS это включает номера платежных карт, с которыми вы работаете. Поэтому очень важно оставаться в курсе этих обновлений, чтобы обеспечить безопасность информации. К сожалению, даже самые крупные компании изо всех сил стараются своевременно обновлять все. В некотором смысле крупным компаниям сложнее делать это регулярно, потому что у них обычно есть внутренние процессы контроля изменений, которые требуют большого количества тестов перед применением каких-либо обновлений.
Сканирование уязвимостей или сканирование с оценкой уязвимостей пытается подключиться ко всем возможным службам, которые могут быть запущены на ваших компьютерах, чтобы увидеть, не устарели ли они или неправильно настроено программное обеспечение. В результате сканирования уязвимостей создается отчет, в котором перечислены все найденные службы. Для каждого из них он либо не показывает никаких проблем, либо показывает, что уязвимости были обнаружены. При обнаружении уязвимостей каждой из них обычно присваивается низкий / средний / высокий рейтинг, который поможет вам определить, какие уязвимости следует решать в первую очередь.
Помимо поиска старых версий программного обеспечения, сканирование уязвимостей также ищет распространенные неправильные конфигурации, такие как использование просроченных сертификатов веб-сервера (сертификатов SSL / TLS) или служб управления, таких как Microsoft Remote Desktop или SSH, открытых для Интернета.
Что мне делать с отчетом о сканировании уязвимостей?
Соответствие стандарту PCI DSS означает, что вам необходимо ежеквартально получать чистый отчет о сканировании уязвимостей от ASV. И это означает? Каждый квартал вам необходимо получать отчет о сканировании, который не показывает обнаруженных уязвимостей. Для некоторых компаний это может быть довольно просто, для других это сложнее, потому что у них большой объем Интернета с журналами различных систем.
К сожалению, проблемы, поднятые в отчете о сканировании уязвимостей, не всегда актуальны. Отчасти это связано с тем, что для производственных конфигураций рекомендуется не выдавать ненужную информацию о том, какая версия программного обеспечения работает. Я могу знать, что у вас есть веб-сервер Apache, но я не могу легко сказать, какая это версия.
Поскольку точная информация о версии обычно недоступна, программное обеспечение для сканирования уязвимостей, используемое ASV, должно использовать правила, чтобы решить, что делать. Как правило, эти правила утверждают , что если часть программного обеспечения может быть уязвима, но мы не можем знать наверняка, относиться к ней , как будто она уязвима. Это может привести к ложным срабатываниям, когда о проблеме сообщается, когда ее на самом деле не существует.
Типы нахождения
Когда вы впервые получаете неудачный отчет ASV, вам необходимо определить, какие проблемы являются реальными, а какие - ложными. И то, и другое необходимо решать, но по-разному. Этот процесс обработки результатов, содержащихся в отчете ASV, известен как исправление.
Реальные проблемы более важны, поскольку они представляют собой потенциальные уязвимости в вашей системе, которые могут быть использованы злоумышленниками. Их можно решить либо путем обновления до фиксированной версии программного обеспечения, которое решает проблему, либо с помощью какой-либо другой конфигурации, которая предотвращает использование уязвимости любой атакой.
В общем, всегда лучше запускать более новые исправленные версии программного обеспечения. Если это невозможно, вы можете настроить свое программное обеспечение для предотвращения атаки. Если для атаки требуется определенная конфигурация, которую вы не используете, уязвимость не может быть использована. Например, служба поддерживает два разных типа хранилища паролей: слабый и надежный. Если обнаружение ASV связано с тем, что вы могли использовать настройку слабого пароля, но вы можете показать, что настроены на использование только надежного пароля, этого может быть достаточно для ASV, чтобы считать это ложным срабатыванием.
Независимо от того, устраняете ли вы обнаружение в отчете ASV путем обновления программного обеспечения или конфигураций, очень важно одно. Проверьте изменение! В идеале вы должны сначала протестировать изменение в специальной лаборатории; этот вариант не всегда доступен мелким торговцам. Но что бы ни случилось, убедитесь, что вы проверили изменение, даже если оно произошло постфактум.
Что такое ложные срабатывания?
Ложные срабатывания могут быть либо неправильной идентификацией исправленного программного обеспечения как более старой версии с ошибками. Или они могут быть там, где развернутое вами программное обеспечение содержит уязвимость, но ее нельзя использовать в используемой вами конфигурации.
При обнаружении ложных срабатываний вам необходимо объяснить компании ASV, почему вы считаете, что результаты их отчета неверны. Они могут запросить некоторые доказательства, такие как журнал или снимок экрана, показывающие, что вы исправили этот сервер, даже если он выглядит как старая версия. Как только ASV примет ваши доказательства, они создадут исключение, которое укажет их программному обеспечению сканирования игнорировать этот конкретный результат. Эти исключения обычно ограничены по времени, поэтому вы периодически будете проходить процедуру обоснования одних и тех же проблем.
Что мне делать после устранения всех проблем?
Вы устранили все реальные обнаруженные проблемы и достигли соглашения с ASV по всем ложноположительным результатам. Что теперь? ASV повторно просканирует вашу сеть (сети) снова. Предполагая, что в новом отчете не обнаружено новых проблем и ваши исправления сработали, ASV выдаст сертификат, подтверждающий, что никаких проблем не обнаружено. Сохраните этот сертификат; вам может потребоваться предоставить его брендам карт, вашему эквайеру или другим заинтересованным сторонам.
Что касается сканирования ASV, это ваша работа до конца квартала. Но на этом патчинг не закончился! Плохие парни не отдыхают, и вы тоже.
Для всех, кто имеет дело с карточными платежами, управление уязвимостями должно быть процессом BAU. Даже у самых маленьких продавцов вам необходимо устанавливать обновления безопасности поставщика, как только вы сможете безопасно загрузить их в свои системы.
Как мне найти ASV?
Работа с ASV в основном обязательна для соответствия стандарту PCI DSS. Плохая новость заключается в том, что вы не можете просто использовать любого старого консультанта по безопасности, который утверждает, что знает, как использовать OpenVAS для этой цели. Вы должны использовать поставщика, одобренного Советом по стандартам безопасности PCI, поэтому они называются утвержденными поставщиками сканирования.
Хорошей новостью является то, что теперь есть широкий выбор ASV. По сравнению со многими услугами, связанными с ИТ-безопасностью, цены на базовую услугу сканирования обычно вполне разумны. Многие из этих компаний ASV также предоставляют другие услуги безопасности, а некоторые также являются QSAC. Так что, если вы найдете тот, с которым вам приятно работать, для начального сканирования ASV, это может быть хорошим способом взять у них интервью для большей части вашего ИТ-мира.
Поскольку от вас требуется использовать утвержденного поставщика сканирования, Совет по стандартам безопасности PCI поддерживает каталог утвержденных поставщиков с возможностью поиска. Когда вы посмотрите на список, вы заметите, что многие из них являются глобальными, но некоторые обслуживают только определенные регионы. Для каждого региона существуют требования к регистрации, поэтому убедитесь, что вы найдете тот, который действительно соответствует вашим потребностям.
