Siamo conformi PCI come fornitore di servizi, tuttavia la nostra porta di servizio inoltra parte del traffico web a livello di TCP.
I clienti utilizzano il nostro servizio conforme PCI e possono scegliere di caricare un certificato TLS / SSL se desiderano che il loro traffico HTTPS venga analizzato. Quindi i flussi sul nostro server sarebbero i seguenti.
Senza certificato TLS / SSL caricato dal cliente
HTTP Port 80 --> Our service analyses the HTTP header data -->
Customer system port 80 as new HTTP request
HTTPS Port 443 --> Our service simply retransmits the TCP packets -->
Customer system port 443
Con certificato TLS / SSL caricato dal cliente
HTTP Port 80 --> Our service analyses the HTTP header data -->
Customer system port 80 as new HTTP request
HTTPS Port 443 --> Our service decrypts and analyses the HTTP header data -->
Re-encrypted using SSL/TLS to Customer system port 443 as new HTTP request
Si noti che non vi è multitenancy e ogni cliente avrà il proprio set di server con noi per l'analisi dell'intestazione.
Ora c'è un problema nel secondo scenario (senza cert e senza decrittografia HTTPS) che stiamo fallendo le scansioni ASV perché il traffico di scansione colpisce il nostro sistema cliente e riporta elementi come le vecchie versioni di SSL utilizzate o suite di crittografia non protette . Come puoi vedere, stiamo semplicemente inoltrando il traffico a livello di TCP, quindi tutte le vulnerabilità come quelle che vengono segnalate sono davvero problemi sull'endpoint del cliente piuttosto che sul nostro sistema come fornitore di servizi. La porta 443 e 443 funzionano da proxy inverso a livello TCP, quindi il traffico di scansione colpisce un server esterno all'ambito PCI.
HackerGuardian non accetterà queste vulnerabilità come falsi positivi perché stanno fallendo la scansione ASV e non sono realmente falsi positivi - sono segnalazioni di vulnerabilità dal nostro sistema in-scope, ma sta analizzando il traffico che è fuori dal campo di applicazione per noi, ma in ambito per un cliente.
Come possiamo ottenere una scansione passiva senza costringere i clienti a risolvere problemi che non ci riguardano veramente? Potrebbe esserci un margine di manovra da un ASV o dovremmo implementare un controllo compensativo per coprire le vulnerabilità scoperte quando il nostro sistema viene scansionato.