Studiare per diventare un ASV, ha bisogno di guida

-1

Ho completato la formazione / esame online per diventare un ASV ( Fornitore di scansione approvato ) per la mia azienda.

Al momento abbiamo Nessus come nostra piattaforma e non mi sento troppo a mio agio con le sue capacità. Quello che un collega mi ha detto è che Nessus stamperà il rapporto finale per l'utente nel formato approvato dal PCI. Ho colpito il mio laboratorio e la relazione sembra lontana, il che va bene, significa solo un sacco di digitazione.

Esistono strumenti migliori per gli ASV da utilizzare? Se sì, quale strumento usi? Esiste un modello là fuori da utilizzare per la creazione di report per i clienti (anche una parola doc aiuterà)? Ho l'appendice del manuale ASV ma questo è un PDF dal sito web PCI quindi non ha campi modificabili.

Mi piacerebbe anche vedere un esempio di rapporto che ha più indirizzi IP come l'esempio della formazione online ha solo due sistemi (che si adatta perfettamente su una pagina di esempio Appendice B, ma cosa succede se ci sono tonnellate di IP?) .

    
posta POSH Geek 21.04.2016 - 17:35
fonte

1 risposta

0

Ti manca il concetto di ASV. Non si tratta dello strumento, si tratta dei risultati. L'obiettivo per gli ASV non è quello di eseguire test completi di penetrazione completa, ma di cercare problemi comuni (CVE noti). Il nucleo di 11.2.2 (PCI) è: (copiato da Qualys)

Your documented PCI scope (cardholder dataenvironment)
Your documented risk ranking process
Your scanning tools
Your scan reports

Quando si tratta di strumenti di scansione, tutti cercano più o meno e raggiungono gli stessi obiettivi: "Analizzare un sistema, determinare di cosa si tratta (sistema operativo), determinare quali servizi sono in esecuzione (numeri di versione) e quindi determinare se quelle versioni ricadono in vulnerabilità note (tramite numeri CVE) Lo scopo della maggior parte di questi strumenti è ottenere una valutazione immediata che viene combinata / correlata con le procedure / politiche di rischio documentate.Ad esempio, HEARTBLEED / POODLE sono ancora prevalenti in molti ambienti I pentest, alcuni non possono essere riparati, quindi i controlli di compensazione sono messi in atto.Questi controlli sono documentati, spiegati, testati e possono superare qualsiasi controllo.

Uno strumento è uno strumento è uno strumento. Nessuno è migliore dell'altro quando si tratta di soddisfare i requisiti. Quindi, mentre potresti sentirti nervoso riguardo ai veri risultati di uno strumento, non si tratta dei tuoi sentimenti / pensieri su uno strumento. Tutto si riduce allo strumento che ottiene l'approvazione di PCI per eseguire la scansione. Per quanto riguarda la sicurezza del sito (sicurezza del mondo reale), questo è trattato in una sezione completamente diversa di PCI (11.3)

    
risposta data 21.04.2016 - 18:16
fonte

Leggi altre domande sui tag