Estudiando para convertirse en un ASV, necesito una guía

Navega tus respuestas
-1

He completado el entrenamiento / examen en línea para convertirme en un ASV ( Proveedor de escaneo aprobado ) para mi empresa.

Actualmente tenemos a Nessus como nuestra plataforma, y no me siento muy bien con sus capacidades. Lo que me dijo un compañero de trabajo es que Nessus imprimirá el informe final para el usuario en el formato aprobado por PCI. He estado golpeando mi laboratorio y el informe parece estar lejos de eso, lo cual está bien, solo significa un montón de mecanografía.

¿Hay mejores herramientas para que usen los ASV? Si es así, ¿qué herramienta utilizas? ¿Hay alguna plantilla para usar para crear informes para clientes (incluso un documento de Word ayudará)? Tengo el apéndice del manual de ASV, pero es un PDF del sitio web de PCI, por lo que no tiene campos editables.

También me gustaría ver un ejemplo de informe que tiene varias direcciones IP, ya que el ejemplo de la capacitación en línea tiene solo dos sistemas (que encaja perfectamente en una página del ejemplo del Apéndice B, pero ¿qué pasa si hay un montón de IPs?) .

    
pregunta POSH Geek 21.04.2016 - 17:35
fuente

1 respuesta

0

Te estás perdiendo el concepto de ASV. No se trata de la herramienta, se trata de los resultados. El objetivo de los ASV no es realizar pruebas exhaustivas de penetración, sino buscar problemas comunes (CVE conocidos). El núcleo de 11.2.2 (PCI) es: (copiado de Qualys) 

Your documented PCI scope (cardholder dataenvironment)
Your documented risk ranking process
Your scanning tools
Your scan reports

Cuando se trata de herramientas de escaneo, todos buscan más o menos los mismos objetivos: "Analizar un sistema, determinar qué es (sistema operativo), determinar qué servicios se están ejecutando (números de versión) y luego determinar si esas versiones se encuentran en vulnerabilidades conocidas (a través de los números CVE). El propósito de la mayoría de esas herramientas es obtener una evaluación inmediata. Esto se combina / correlaciona con sus políticas / procedimientos de riesgo documentados. Por ejemplo, HEARTBLEED / POODLE todavía prevalecen en muchas Los entornos a los que estoy sometido a prueba. Algunos no se pueden arreglar, por lo que se implementan controles de compensación. Estos controles se documentan, explican, prueban y pueden pasar cualquier auditoría.

Una herramienta es una herramienta es una herramienta. Ninguno es mejor que el otro cuando se trata de cumplir con los requisitos. Entonces, si bien puede sentirse nervioso por los verdaderos resultados de una herramienta, no se trata de sus sentimientos / pensamientos en una herramienta. Todo se reduce a que la herramienta obtenga la aprobación de PCI para realizar el escaneo. En cuanto a la seguridad del sitio (seguridad del mundo real), esto se trata en una sección completamente diferente de PCI (11.3)

    
respondido por el munkeyoto 21.04.2016 - 18:16
fuente

Lea otras preguntas en las etiquetas

¿Qué debo aprender para la seguridad cibernética [cerrado] Descifrando un texto cifrado con un algoritmo de cifrado aes128 [cerrado]