Progettazione concettuale del programma di scansione delle vulnerabilità nella rete di vendita globale (PCI DSS)

4

Sto provando a progettare un programma annuale per cercare vulnerabilità su una rete molto grande di terminali di pagamento.

La società ha migliaia di punti vendita in tutto il mondo che devono essere sottoposti a scansione per rilevare eventuali vulnerabilità. Più in particolare, è necessario analizzare i sistemi di pagamento con carta di credito in base allo standard PCI DSS. Mentre la tecnologia dei terminali è in qualche modo standardizzata, ci sono dei firewall in mezzo, forti politiche di sicurezza e i sistemi potrebbero differire da paese a paese. I siti sono collegati ai server principalmente via ADSL, ma alcuni usano il telefono e il satellite.

La sfida è identificare alternative economicamente efficienti per la scansione di questa massiccia rete regolarmente. Qualche idea? Gradirei l'input, specialmente pronto all'uso. Si prega di tenerlo a livello concettuale.

Grazie!

    
posta Arthur 30.10.2012 - 15:55
fonte

1 risposta

8

Nel senso più stretto la cosa più sicura da fare è, ovviamente,

Comehaisenzadubbiotrovatoquestopuòesseredifficileinunambientedistribuito.Lospecificostrumentodiscansionedellevulnerabilitàcheusipuòancheaggiungerealcuniproblemi.PrendiNessusperesempio.Quandosicreaunprofilodiscansione,èdisponibileun'opzionedenominata"Verifica conformità PCI-DSS". Ciò apporta un sacco di modifiche interne al profilo di scansione per soddisfare i requisiti che hanno definito. Tuttavia, ciò richiede anche che non vi siano protezioni di rete tra lo scanner e il dispositivo. Quindi nessun firewall, nessun IDP, l'inferno non vogliono nemmeno coinvolgere alcun router.

Tornando al livello concettuale, tieni a mente questi tipi di problemi mentre sviluppi la tua infrastruttura. Ecco le caratteristiche di progettazione con cui vorrei iniziare, presentate come un elenco puntato senza un ordine particolare.

  • Scanner remoto ospitato in ciascun sito
  • Sistema centralizzato per estrarre report da tutti gli scanner remoti per l'elaborazione
  • Processo di gestione delle vulnerabilità a
    • Rivedi i rapporti
    • Analizza i risultati per i falsi / veri positivi
    • Definisci elementi utilizzabili
    • Assegna la priorità agli elementi
    • Determina i percorsi di bonifica / attenuazione per ciascun elemento

Quindi sì, questo tipo di programma comprende sia aspetti tecnici che procedurali che devono funzionare in tandem. Inoltre, il processo di revisione e gestione dei rapporti deve includere rappresentanti di tutte le unità coinvolte. Principalmente chiunque sia coinvolto nella gestione degli endpoint, dei terminali, dei server, ecc. Può anche includere i gruppi responsabili della gestione della rete, i clienti interni al di fuori dell'IT che effettivamente utilizzano il sistema o altri come idonei nel proprio ambiente.

    
risposta data 30.10.2012 - 16:37
fonte