Nessus HTML5 versione 5.0.3 - Scansione PCI

4

Ho cercato un paio di giorni, anche contattando il supporto, per scoprire se Nessus ha un pacchetto che analizza la conformità PCI. Seleziona tutte le 44 categorie e indipendentemente dal tipo di scansione che creo (sotto policy) questa è la selezione predefinita. Poiché questa è la versione HTML5, sembra che ci siano pochissime documentazione / risorse online.

Qualcuno conosce i requisiti minimi? Ho fatto una ricerca di filtri per qualsiasi plugin che abbia il nome "PCI" e questo lo riduce a una manciata, ma non sono sicuro che questo escluda anche un sacco di cose.

    
posta lbakerit 14.05.2013 - 22:03
fonte

1 risposta

7

Esiste una politica fornita come parte del servizio di distribuzione denominato "Preparazione per i controlli PCI-DSS (sezione 11.2.2)". Questo è un criterio che ha tutti i plugin abilitati, scansione TCP di tutte le porte, controlli di sicurezza abilitati, test web abilitati, l'impostazione PCI-DSS abilitata e molte altre cose che sono meno importanti. Consiglierei di copiare questo criterio su qualcos'altro e di modificarlo.

Molti dei controlli utilizzati sono locali, quindi sarà sicuramente necessario aggiungere credenziali per un account con privilegi di amministratore o di livello root. Per Windows l'utente deve essere un amministratore di dominio o essere nel gruppo degli amministratori locali. Per Linux / UNIX l'utente dovrebbe avere i diritti di escalation, questo dovrebbe essere sudo, su, abilitare o qualsiasi altra cosa usi la distribuzione.

Devi anche prendere in considerazione quale tipo di servizi è in esecuzione l'host di destinazione. Quel server ospita un'applicazione web? Il test Web è abilitato, ma probabilmente richiederà l'autenticazione. Se il tuo sito web utilizza un'autenticazione basata su modulo, puoi andare alla scheda "Preferenze", dal menu a discesa selezionare "Pagina di accesso HTTP" e configurarlo da lì. Se sta eseguendo l'autenticazione di base, seleziona il menu a discesa "Configurazioni di accesso". Il tuo server ospita un database? Vai alla pagina "Impostazioni database" e inserisci i valori corretti.

Dovresti anche esaminare le varie e varie politiche di controllo. Se si accede al Centro assistenza e si accede alla pagina Download, verrà visualizzato un collegamento per "Criteri di controllo PCI". Questo contiene politiche di controllo per molti diversi sistemi operativi. Scarica quello appropriato e aggiungilo alla tua scansione. Tutti i controlli sono aggiunti e configurati nella scheda "Preferenze". Basta selezionare la voce appropriata dalla casella a discesa per qualsiasi politica che si sta utilizzando. Mentre ci sei, guarda anche alle altre politiche di controllo. Si baseranno principalmente su STIG DISA, documenti CIS o FSMA. Tuttavia, alcuni sono scritti contro i documenti delle migliori pratiche pubblicati dai venditori, come gli audit di PostgreSQL. Alcuni audit possono richiedere personalizzazioni locali, quindi fai attenzione a prendere i segni PASS / FAIL come Verità. Tieni presente che gli audit sono disponibili solo per i clienti di ProfessionalFeed (sei un cliente di ProfessionalFeed giusto?).

Il vero take away è che mentre la politica di scansione spedita ti fa iniziare non è affatto completa. Dovrai personalizzarlo per lavorare nel tuo ambiente. Dopotutto,

Inalternativa,sesiutilizzailservizioperimetrale,questoègiàconfiguratoeprontoperl'uso.QuestoservizioèsanzionatocomeASVdalConsiglioPCI.Unresocontocompletosull'utilizzoèdisponibilesu Blog sostenibile .

Le informazioni fornite in precedenza non sono in alcun modo intese come consigli ufficiali e vengono fornite senza mandato, garanzia o buona fede. Le dichiarazioni fornite non rappresentano le opinioni del consiglio PCI, di alcun QSA / ASV, del mio datore di lavoro, del vostro datore di lavoro, dell'insieme di Rorys, di questo sito, di qualsiasi altro sito, né dell'ISP sul quale state visualizzando questo messaggio.

    
risposta data 14.05.2013 - 22:58
fonte

Leggi altre domande sui tag