потому что для проведения такого вида исследования необходимо согласие владельца....или надо быть пользователем полноценным.
23.11.2009 18:00:53
потому что для проведения такого вида исследования необходимо согласие владельца....или надо быть пользователем полноценным.
|
|
|
|
23.11.2009 21:52:05
Пожалуй, тут Dmitry Evteev абсолютно прав. На ВЕБ очень часто обрабатывают данные владельцев платежных карт. В модуле, предназначенном специально для анализа ВЕБ-приложений (QualysGuard WAS – WEB Application Scanner) есть даже специальная опция включающая поиск в контенте номеров платежных карт (PAN) и социальные номера (для США).
Дмитрий, а с чем вы не согласны? В данном сравнении участвовало 3 решения: OUTSCAN PCI, QualysGuard PCI Compliance, Информзащита PCI ASV Scanning Solution. В отчетах среди конкурсантов потенциальные уязвимости показывал только Qualys! О чем я собственно и говорил (с этим невозможно не согласится т.к. вы видите итоговый отчет, а я работал с отчетом каждого решения). Интересно узнать, где вы трудитесь, и какое решение пытаетесь защитить. Просто хочется больше конкретики.
Dmitry Evteev. Вам случайно не надоели лабораторные сравнения «в белых халатах, с микроскопами на столах и лаборантках»? А если серьезно, то в первом сообщении я писал что благодарю 2 Компании, предоставившие свои периметры для тестирования. И как Вы себе представляете предоставление образов реальных серверов доступных из Интернет. Этого не будет. К тому же это ничего Вам не даст. Dmitry Evteev принимайте участие в следующем сравнении решений и тогда у Вас не будет причин сомневаться. Тогда Вы будете иметь доступ к «ТЕЛУ».
Dmitry Evteev ваши сведения относительно Qualys и WEB очень устарели. QualysGuard Vulnerability Management умел определять уязвимости, а теперь в Qualys имеется отдельный заточенный специально под WEB модуль QualysGuard WAS. Обновите информацию о Qualys. К сведению я с Qualys WAS обнаруживал критичные рабочие уязвимости сразу после анализа приложений с использованием некоторых признанных в России решений по WEB. Признанные в России решения по WEB давали чистые отчеты. Исчерпывающая информация по модулю анализа ВЕБ-приложений доступна по ссылке |
|||||||||
|
|
23.11.2009 21:56:05
Acid, Вы нас быстро раскусили. Спасибо. Выражаю Вам благодарность в виде 1 балла. |
|||
|
|
23.11.2009 22:00:03
И в этом Вы тоже абсолютно правы. Одно из двух. или новости не будет или админы пишут разгромную статью, которая прольет весь свет на все ;?) и мы сразу поймем, что в МИРЕ лучшее решение ;?) |
|||
|
|
23.11.2009 22:04:44
Да, Алексей. Нужно в новости. Я об этом в самом низу первого сообщения просил. Хотя знаете, мне нравится форум. Свобода слова и т.п. P.S. Спасибо за то, что дают писать на форуме. |
|||
|
|
23.11.2009 22:31:23
А теперь спустимся с небес на землю и раскроем содержимое "решений", например, Информзащиты. Компания использует сканеры конкретных вендоров (без имен). Ну, а сами сканеры при поиске уязвимостей в результатах сканирования помечает уязвимости, как "потенциальные"! Большинство сканеров уязвимостей поступают именно так.
т.е. сравнивались только отчеты?
Positive Technologies
Вы считаете, что нельзя развернуть инфраструктуру, подобную сети, сканируемую по PCI DSS, в виртуальной среде?
Это много чего даст. Во-первых, объективное сравнение. Во-вторых, возможность проверить достоверность результатов. И конечно-же, для вендора, возможность улучшить свое сканирующее ядро. Кроме того, когда информационная система предоставлена в полном объеме и со всеми правами, можно говорить о всех опубликованных на данный промежуток времени уязвимостях в ней. Это возможно, например, выполнив аудит систем (инвентаризацию уязвимостей) прежде, чем будет проведено сканирование.
Я уже давно об этом думал. Пологаю, что действительно стоит провести независимое и повторяемое сравнение.
Да неужели?? буквально пару месяцев назад была возможность оценить в полном объеме их движку по сравнению с другими решениями. Два месяца назад web-движка кволиса не смогла выявить и половину того, что было найдено другими решениями. Они за два месяца сделали, что-то нереальное, что другие писали и отлаживали несколько лет?
Написать можно много чего. А на деле и по факту.... |
|||||||||||||||||
|
|
23.11.2009 23:15:42
Дмитрий спросите Сергея, почему Ваше решение не принимало участие в сравнении. Вам он думают, даст ответ. Все дальнейшие "выяснения" считаю бесполезными и бессмысленными. Рекомендую еще раз прочитать мой предыдущий ответ Вам. Там даны все ответы на вопросы, которые были заданы в Вашем последнем сообщении. P.S. Дмитрий, я лично обучался вашему решению. |
|||
|
|
23.11.2009 23:22:59
Вы будете очень удивлены, но я УЖЕ знаю возможности системы управления уязвимостями кволис.
Полностью согласен. |
|||||
|
|
23.11.2009 23:53:38
Всегда приятно встретить сертифицированного специалиста Qualys. |
|||
|
|
24.11.2009 08:58:28
посмотрел сертификаты... у них даже сертификат НЛП тренера есть.... нам промывают мозг
я конечно понимаю, что это может быть окутано какими то большими тайнами, но этот вопрос появился сразу после появления поста. Интересно узнать, почему продукт PT не принимал участия в тестировании? Очень интересно было бы узнать результаты сравнения итоговых отчётов.... |
|||||
|
|
24.11.2009 09:19:36
IgAl. Если серьезно то у нас есть в штате профессиональный психолог. Он работает по линейке Это особенно должно понравится:
Это к представителю PT Dmitry Evteev. |
|||||||
|
|
24.11.2009 10:09:28
ладно попытаюсь обьяснить......
когда происходит любая сертификация, то необходимо определить некую границу ( она может называтся по разному к примеру граница контролируемого периметра). далее в рамках сертификации PCI DSS необходимо также обозначит эти границы. если я использую некий клиетн серверное приложение для интернет банка, то не факт что данные будудут доступны через веб. Технологически клиент подключается к серверу приложение ( не веб) по 443 порту что создает SSL туннель. и никакого отношения к веб серверу это иметь не будет. Вот соответственно я вынес границу. документально. вот тут самое интересно. Я создаю некий пул клиентов в уникальные идентификаторами например отличных от индетификаторов платежных систем. Я раздаю свои идентификаторы клиентам банка и привязываю счет ( счет в банке не является тайной) . Так вот все проводки в рамках своей уникальной ситемы я провожу сам. и она не имеет отношения к банковской системе. сертификации по PCI DSS такого сервиса идет лесом. а банк позиционирует наличие банк клиента. |
|
|
|
24.11.2009 10:18:53
Acid. Если в приложении доступном из Интернет обрабатываются номера платежных карт (PAN) тогда данное приложение входит в скоуп внешнего сканирования PCI DSS. Приложение может быть как ВЕБ так и не ВЕБ.
Если в приложении доступном из Интернет отсутствуют данные держателя платежных карт, а вся работа ведется с номером счета, то да, это приложение может быть вынесено за скоуп внешнего сканирования PCI DSS. К сожалению очень мало банков используют такие банк-клиенты.
Изменено: GlukMaster - 24.11.2009 10:19:55
|
|||||
|
|
24.11.2009 10:35:36
Не так уж много...но есть.....очень часто в банк клиентах не отображается номера карт.
|
|
|
|
24.11.2009 21:11:25
Мальчики, я кончено мало, что понимаю в разных там сравнениях.
Это очень плохо, когда вы сами понимая свою некомпетентность пытаетесь обсуждать то, в чем не компетентны. Я как-то наоборот, разбираюсь в этом вопросе и участвовал в разработке методики, используемой Владимиром. Какие ваши решения участвовали в этом сравнении? Мы собственно производитель систем, но наши решения использует российские ASV. Просто некоторые об этом пишут, а некоторые нет. Кстати, не нашел ЗАО «Анализ защищенности» в списке ASV Дело в том, что Qualys единственное решение среди сравниваемых решений показывало потенциальные уязвимости. «Потенциальные уязвимости» это уязвимости, наличие которых устанавливается по косвенным признакам. Коллега, сравнивались не решения а сервис ASV. "Решения" не сертифицируются по PCI DSS. Так вот, если говорить о сервисе, то Qualys показал себя плохо, более того, он провалил бы "зачет" по PCI DSS ASV, поскольку не выполнил одну из задач ASV, а именованно "False Positives Management". Т.е. в итоговом отчете не должно быть ложных срабатываний вне зависимости от того, что там выдал сканер. Таким образом, как сервис ASV задача обработки ложных срабатываний была переложена на заказчика, что крайне и крайне плохо... Еще немного о единственное решение показывало потенциальные уязвимости. Боюсь, вы лишний раз продемонстрировали свою осведомленность в обсуждаемом вопросе. Угадайте, что "значит вопросик" в приведенном скриншоте MaxPatrol? к. при создании методики Владимир и я не учли, что Мы общались в Владимиром по этому вопросу, и я высказывал свое мнение (см. выше) которое совпадет с мнение любого практикующего аудитора |
|
|
|
24.11.2009 22:25:34
Это Вы о чем!
Мыслите шире. В списке ASV ищите нашего партнера Qualys он предоставляет сервис, а мы его представители в России.
Вопрос формулировки. В сравниваемых решениях/сервисах потенциальные уязвимости показал только Qualys. О чем я выше неоднократно писал.
"не должно быть ложных срабатываний " голословно заявил offtopic. Около 65% всех внешних сканирований PCI DSS на планете земля выполняется с помощью услуги QualysGuard PCI Compliance. Если бы за меня столько проголосовало, то я был бы президентом offtopic, раз вы не унимаетесь, то сообщите, почему ваше решение не принимало участие в сравнении. offtopic, Вы тоже PT? Вас не Сергей Г зовут случайно?
Заказчик всегда участвует в обработке, сообщая доп. информацию голосом по телефону, e-mail, а в случае Qualys нажимает "кнопку" после чего информация обрабатывается экспертами (во всех 3-х случаях).
Угадывать не будем MaxPatrol не участвовал в сравнении. offtopic, Вы тоже сертифицированный специалист Qualys? Так смело заявляете о системе управления уязвимостями Qualys. Это Ваша личная позиция или позиция сотрудника Positive Technologies? Я пытаюсь быть предельно корректным к Вам и Вашему решению, которое, к сожалению, не приняло участие в сравнении. Милости просим к участи в следующем сравнении. Всегда считал Приходите ко мне на сайт
Картинку вставьте, а то не работает!
Опять голословно заявляете любого. Уверяю не любого. Я так не думаю, а значит любого-1 поищем еще тех, кто так не думает. offtopic, создавая эту тему моей целью было сообщить интересующимся Колегам о том, что такая новость есть. В первом сообщении просил модераторов, сообщите в новостях. Полный игнор. Про надписи выложенные трупами в игрушках публикуете очень оперативно В общем, предлагаю перевести обсуждение в сферу сравнения. У меня очень много полезных сведений по тестированию. Задавайте вопросы, интересуйтесь, учитесь, наконец. С радостью Вам помогу. С любовью, GlukMaster.
Изменено: GlukMaster - 24.11.2009 22:27:23
|
|||||||||||||||||
|
|
24.11.2009 23:07:16
Новость перешла в более благоприятное место с точки зрения атмосферы на
За данной темой тоже буду приглядывать, буду отвечать на вопросы. |
|
|
|
25.11.2009 01:08:05
=))) так это, случаем не после такого PCI DSS COMPLIANT появляются новости
Ну Вам то конечно виднее...
=))))))) ну да, ну да. |
|||||||
|
|
25.11.2009 01:36:15
О каком послушном PCI DSS (PCI DSS COMPLIANT) идет речь? Может быть, Вы имели ввиду PCI DSS Compliance? На самом деле PCI DSS Compliance не дает 100% гарантии, что данные держателей платежных карт не будут компрометированы! 100% гарантию не дает ничего!
Уже 2-я страница обсуждений/обвинений. Почитайте отчет наконец-то, там четко указан список решений, которые участвовали в сравнении. Про скрытое участие не хочу ничего даже слышать. Или участвуешь или не участвуешь. Поймите, чуть-чуть беременна не бывает
Не стесняйтесь Если скромны от природы, то в приват пишите. |
|||||||||
|
|
||||||||