Антон Чувакин - директор направления PCI Compliance компании Qualys, Ph. D.
Проверка соответствия ASV-сканированием
Требование 11.2 стандарта PCI DSS предусматривает проведение ежеквартального внешнего сканирования сертифицированным поставщиком услуг сканирования (ASV). Такое сканирование должно показать, что в периметре инфраструктуры отсутствуют PCI-уязвимости. Приведем пример уязвимостей, которые считаются причинами неудачного ASV-сканирования:
Уязвимости с оценкой в 4.0 баллов и выше по метрике CVSS v2.0 приведут к несоответствию сканируемых IP-адресов требованиям PCI.
Уязвимости, которые могут привести к реализации атак типа «SQL-иньекция» и «межсайтовое выполнение сценариев», приведут к несоответствию сканируемых IP-адресов требованиям PCI.
Являясь простейшим методом проверки соответствия PCI, ASV-сканирование позволяет организациям узнать о возможных уязвимостях периметра среды данных о держателях карт.
Любой специалист в области безопасности понимает, что новые уязвимости находят в программных приложениях и платформах каждый день, и частое сканирование уязвимостей позволяет организациям обнаруживать их, а потом устранять, повышая, тем самым, уровень безопасности. Это наглядный пример мышления в стиле «Безопасность на первом месте!»
Что с другой стороны ожидает организацию, которая руководствуется принципом «Соответствие на первом месте!»? Что именно происходит, когда такого рода организация проводит повторное сканирование прямо перед отправкой Отчета о Соответствии (RoC) в банк-эквайер и обнаруживает, что недавно были найдены уязвимости в используемом ПО?
К сожалению, многие организации зачастую считают, что столкнулись с ситуацией, при которой «кто-то нарушил их соответствие PCI» (!).
Возможно, раздражение проявится в вопросах вроде: «Ну почему это сканирование обнаружило уязвимости, когда мы как раз хотели сообщить об успешном завершении проекта по достижению соответствия PCI? Почему мы лишаемся соответствия, полученного с таким трудом? А может просто заменить механизм сканирования на другой, который покажет, что наша система соответствует требованиям PCI?»
В итоге, не так уж важно сколько раз эксперты в сфере безопасности вещали: «Безопасность на первом месте!» Если некоторые организации не принимают безопасности во всей ее сложности, пренебрегая ею годами, то девиз «Соответствие на первом месте!» становится для них определяющим. Ну, по крайней мере, это они понять в состоянии! Потом слоган «Соответствие на первом месте!» превращается в «ТОЛЬКО соответствие!», формальное следование перечням требований заменяет анализ рисков, блок-схемы заменяют осмысление угроз и уязвимостей.
Что происходит дальше? Разумеется, в их систему проникают злоумышленники и крадут карточные данные. А СМИ пишут о них вдохновенную историю! Ну и наконец, Совет PCI SSC штрафует их за то, что у них не было даже соответствия требованиям...
В этот момент на них неожиданно нисходит прозрение - безопасность это действительно важно!
В результате, не так уж трудно выбрать между двумя принципами: «Безопасность на первом месте!» или «Соответствие на первом месте!». Тем не менее, если после прочтения написанного вы всё равно взволнованно скажете: «Соответствие на первом месте!», пожалуйста, убедитесь хотя бы в том, что после этого вы скажете: «А безопасность на втором!».
На этом этапе полезно будет вспомнить о Титанике (который, как мы все знаем, затонул в 1912 году, столкнувшись с айсбергом). Было установлено, что корабль действительно соответствовал всем требованиям безопасности того времени. А основная проблема была в том, что эти требования были написаны в 1894 году, когда размеры и конструкция судов такого типа быстро менялись. В требованиях указывалось, что на все суда водоизмещением более 10 000 тонн требуется установка 16 спасательных шлюпок, и именно столько шлюпок было на Титанике. Другими словами, Титаник полностью соответствовал требованиям безопасности - идеальный пример последствий принципа «Соответствие на первом месте!»
| 
3 февраля 2012
Алина Оприско
"Имя сестра, имя!" (С) Конечно, чаще - лучше, но вот цена вопроса? Сколько стоит одно внешнее сканирование? Что-то около 10.000$ (плюс - минус), но порядок верен. Вот и прикидывайте - сколько раз в день/неделю/месяц/... Вы можете себе это позволить. И даже если все в Вашей организации обеими руками за безопасность (включая топов), то вопрос всё равно остаётся открытым: сколько можно позволить себе потратить на проведение сканирований (не забывая при этом про: кризис, зарплаты и премии сотрудникам, остальные статьи расхода).
- годовая подписка (до 10 сканирований каждого IP в квартал, до 5 IP) стоит $250;
- годовая подписка (до 100 сканирований каждого IP в квартал, до 20 IP) стоит $400.
Как видите, порядок цен совсем другой.
стоит наверно уточнить по цене. До 10 000$ цена услуги на проведение теста на проникновение, по требованию стандарта должен проводится не менее одного раза в год (внешний и внутренний), а также при каждом внесении изменеий в структуру вашей сети. Метод black box с элемнтами социальной инженерии самое лучшее решение. ASV сканирование зависит от количества IP адресов, количества повторных сканирований (от одного до бесконечности. Устраняете найденные уязвимости и сами себя перепроверяете.) и уровня сервиса (работа с результатами сканирования на портале ASV сканера, как с отчетом, так и его электронной версией, дающей возможность перейти на сайт с детальным описанием данной уязвимости, а также сделать необходимые заметки по каждому кейсу.) Цена варируется от 20 до 50$ за один адрес плюс скидки. При выборе обратите внимание на наличие услуги free ASV scan for 1 IP address. Позволяет оценить результаты работы ASV особенно сетевым администраторам. По опыту выбирать есть из чего.
И оно (между прочим) может просто "посадить" (проверено на собственном опыте) трафик в сети.
А его (внутреннее сканирование) необходимо делать "ПРИ КАЖДОМ ИЗМЕНЕНИИ ТОПОЛОГИИ СЕТИ" !
В крупном банке такие изменения - едва ли не каждый день.....
Во-вторых, я всё-таки сильно сомневаюсь, что "значительные изменения информационной инфраструктуры", о которых говорит стандарт, происходят в крупном банке каждый день.