Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 След.
RSS
[ Закрыто ] Сравнительный анализ решений по внешнему сканированию PCI DSS 2009г. PCI DSS VULNERABILITY SCANNING., ЗАО «Анализ защищенности» публикует результаты сравнения решений по внешнему сканированию PCI DSS на правах соавторства
 
Сравнительный анализ решений по внешнему сканированию PCI DSS 2009г. PCI DSS VULNERABILITY SCANNING.
ЗАО «Анализ защищенности» публикует результаты сравнения решений по внешнему сканированию PCI DSS на правах соавторства в разделе публикации на сайте www.penetrationtest.ru. В сравнении, проводимом УЦ «Информзащита», принимал участие наш Генеральный директор Никитенко Алексей как независимый эксперт в области информационной безопасности. Работа по сравнению началась еще в апреле 2009года и наконец-то закончилась в конце ноября 2009г.
В процессе сравнения решений пришлось вручную проверить все обнаруженные уязвимости, чтобы подтвердить их наличие или отсутствие на тестируемых системах. Это было самой сложной и, пожалуй, самой интересной частью тестирования. Сотрудники ЗАО «Анализ защищенности» имеют компетенцию по всем решениям принимающим участие в сравнении.
Благодарим 2 Компании, которые предоставили свои периметры для участия в сравнении. По известным причинам названия Компаний не приводятся.

Вы можете скачать отчет с нашего сайта или с сайта УЦ «Информзащита». Также вы можете почитать новость на cnews о данном событии.
Отчет необходимо читать, используя весь спектр знаний, делая выводы самостоятельно, так как в отчете не даны итоговые и промежуточные выводы, указывающие какое решение является лучшим.
Хочется отметить, что участие в сравнении позволило компании ЗАО «Анализ защищенности» в мае 2009года определиться с выбором лучшей системы. В мае 2009года мы окончательно утвердились с выбором системы управления уязвимостями. Это - система Компании Qualys. Мы выбрали Qualys потому что они лучшие! После того, как мы выбрали систему управления уязвимостями Qualys, мы включили использование данной системы во все свои услуги, которые касаются работ по анализу защищенности!
Приглашаем всех, кого заинтересовало решение Qualys к сотрудничеству. Зайдите в раздел «услуги» и ознакомьтесь с перечнем услуг. Вас может заинтересовать «Внешнее сканирование PCI DSS». Вы найдете много интересного и полезного для себя. Звоните и пишите нам. Мы обязательно поможем Вам.
В ближайшее время мы подготовим статью с выводами и пояснениями, так как в отчете отсутствует некоторая важная информация, и разместим ее на сайте ЗАО «Анализ защищенности».
P.S. В начале 2010 года начнется сравнение решений по анализу защищенности внутри Компаний. В рамках сравнения будут рассматриваться различные решения по анализу защищенности, включая сканеры, системы управления уязвимостями и контроля политик. ЗАО «Анализ защищенности» будет принимать участие в сравнении, но в этот раз мы будем представлять в тестировании Компанию Qualys. Это связано с тем,  что в процессе сравнении решений по внешнему сканированию PCI DSS мы работали с решением Qualys и это влюбило нас в систему управления уязвимостями Qualys. ;-)


Если модератор перенесет данное сообщение в новости, то я буду ему бесконечно благодарен.
 
Цитата
GlukMaster пишет:
Мы выбрали Qualys потому что они лучшие!

ха-ха))) смешные вы:))))
 
Цитата
Dmitry Evteev пишет:
ха-ха))) смешные вы:))))

Это мое мнение, которое основано на личном опыте и знании многих решений по анализу защищенности.

Информация публикуется на форуме как есть для тех, кому это интересно.

Думаю, будет законно, если я буду отвечать только на вопросы, которые относятся к самому сравнению решений по внешнему сканированию PCI DSS.
Все остальные вопросы могут остаться без ответов, приношу заранее свои извинения.
 
Дим, не кипятись. Qualys вылез исключительно из-за nmap'овского фигерпринта Cisco и потому что в сравниваемой системе не было Web (точнее был один с последним Bitrix). И по ложным срабатываниям Qualys тоже "победил". Набрал больше всех :) Потому что он "лучший".
 
Вообще Pci DSS мало интересный стандарт основанный на дебильном тестировании.  :D
Шутка.

Вот и новость
http://cnews.ru/news/top/index.shtml?2009/11/20/370510


А каким это образом определили количество ненайденных, точнее чем.
То есть первоначально было 29 уязвимостей.

вот это количество откуда взяли ?

далее
сравнение сканеров весьма приблизительно. При этом название мало известные на рынке.

можно конечно назвать график как "Причмокивание оппосума №___" ( 2 offtopic).
Думаю по Pci DSS лучше использовать.
IBM ISS ( тезка привет)
Maxpatrol ( offtopic привет)

Списо можно продолжить но сравнение трех сканеров, это не интересно.
 
Цитата
Dmitry Evteev пишет:
ха-ха))) смешные вы:))))

Цитата
offtopic пишет:
Дим, не кипятись. Qualys вылез исключительно из-за nmap'овского фигерпринта Cisco и потому что в сравниваемой системе не было Web (точнее был один с последним Bitrix). И по ложным срабатываниям Qualys тоже "победил". Набрал больше всех  Потому что он "лучший".

Мальчики, я кончено мало, что понимаю в разных там сравнениях.
Но у меня возникли вопросы.

Какие ваши решения участвовали в этом сравнении?

Если не участвовали, то почему?

Просто хочется, понять, почему вы кипятитесь. Я еще раз перечитаю отчет после ваших ответов. Вдруг они все кардинально поменяют.
Изменено: BlondeSecurity - 23.11.2009 10:38:12
 
по мне всегда явной дырой будут люди, и как не крути даже 6 из 30 = 20% ничто по сравнению с пользователями которые нашли на автостоянке флешку и сразу впихнули себе в рабочую машину с правами (абсолют, 100%  :o )
Да сканировать это хорошо, да находить уязвимости это хорошо, но нафига платить дважды деньги за одно и тоже действие (в любом случаи нужна обновляться, пройдёшь ты скан или нет). Почему считаю за это платить деньги вредно? Потому что это нафиг не нуна мелкой/средней конторе (в принципе иногда этим занимается админ ради забавы или когда нечего делать). А в крупной (>10.000 компов) - я админом не работал.
 
Ну PCI DSS это стандарт не для контор в различным количеством человек.
Это для банков выпускающих пластиковые карты. и по требованиям Visa и MasterCard они должны соответсвовать требованиям, которые названы PCI DSS.

2 offtopic
как любой кто хочет пройти тестирование в первую очередь вынесет web сервера из зоны отвественности Pci DSS. то есть данные PCI DSS не обрабатываются в системах использующих веб. поэтому Веб и тю тю в этих данных.  :D
 
Коллеги, хочется еще раз сообщить.
Компания ЗАО «Анализ защищенности» предлагает лучшие решения своим Клиентам. При выборе решений мы руководствуемся своими компетенциями и отзывами Клиентов. Наши эксперты имеют компетенции для работы со всеми решениями по анализу защищенности представленные на Российском рынке. Мы выбрали Qualys потому что они лучшие!  
Без обид. Как только Ваше решение будет лучшим, так сразу мы начнем его предлагать своим Клиентам.

Цитата
offtopic пишет:
Дим, не кипятись. Qualys вылез исключительно из-за nmap'овского фигерпринта Cisco и потому что в сравниваемой системе не было Web (точнее был один с последним Bitrix). И по ложным срабатываниям Qualys тоже "победил". Набрал больше всех  Потому что он "лучший".

Offtopic выше я обещал, что

Цитата
GlukMaster пишет:
В ближайшее время мы подготовим статью с выводами и пояснениями, так как в отчете отсутствует некоторая важная информация, и разместим ее на сайте ЗАО «Анализ защищенности».

В сравнении принимало участие 3 решения. Напоминаю, что решения сравнивались их эффективности в области внешнего сканирования PCI DSS. Поэтому в рамках этих условий необходимо руководствоваться диаграммой приведенной в первом сообщении. Эта диаграмма учитывает все параметры в отношении уязвимостей влияющих на Compliance PCI DSS.

Цитата
offtopic пишет:
И по ложным срабатываниям Qualys тоже "победил". Набрал больше всех  Потому что он "лучший".

offtopic.
Для того чтобы разобраться в этом вопросе необходимо влезть в дебри сравнения и рассказать об одной особенности Qualys. Дело в том, что Qualys единственное решение среди сравниваемых решений показывало потенциальные уязвимости. «Потенциальные уязвимости» это уязвимости, наличие которых устанавливается по косвенным признакам. То есть если система показывает потенциальные уязвимости, то она говорит этим что я по косвенным признакам считаю, что есть такие-то потенциальные уязвимости, проверьте их наличие или отсутствие самостоятельно вручную. Проверка вручную выполняется очень просто при наличии доступа к анализируемой системе по информации указанной в описании самой потенциальной уязвимости.

Еще раз. Другие решения не показывали потенциальные уязвимости! Я считаю очень плохо, что не показывали.

Qualys показал ряд потенциальных уязвимостей.  Это позволило выявить наличие критичных уязвимостей 5-го уровня (которые действительно были на тестируемых системах). Уязвимости 5-го уровня позволяют легко получить удаленно административный доступ на уязвимой системе.

Среди потенциальных уязвимостей обнаруженных Qualys часть не подтвердилась. Qualys и не обещал, что они там будут на 100%.

Мое личное мнение. То, что Qualys обнаруживает потенциальные уязвимости, это только идет ему в ПЛЮС.
Потенциальные уязвимости не учитывались в сравнении отдельно т.к. при создании методики Владимир и я не учли, что часть решений может обнаруживать их, а часть нет. В процессе сравнения мы не меняли методику сравнения (Коней на переправе не меняют).


P.S. К сожалению, многие Компании отказались принимать участие в сравнении со своими решениями.
Изменено: GlukMaster - 23.11.2009 12:58:59
 
Цитата
Acid пишет:
А каким это образом определили количество ненайденных, точнее чем.

Acid. Уязвимости обнаруживаются каждый день, а создаются в момент написания самих систем.

То есть в системах всегда присутствуют все уязвимости, которые там присутствуют (те которые уже обнаружили, обнаружат позже и которые никогда никто не обнаружит).  

Это демонстрируется на рисунке с сайта www.penetrationtes.ru


Возможно, Вам будет интересно прочитать статью «Превентивные меры снижения рисков считаются самыми эффективными».  

Сколько всего уязвимостей на тестируемых системах никто не знает.

В нашем случае количество уязвимостей определено с помощью 3 решений, которые участвовали в сравнении. После ручной проверки наличия или отсутствия каждой уязвимости мы получили 3 множества уязвимостей присутствующих на тестируемых системах. Объединение всех 3-х множеств дает нам все уязвимости, которые есть на системах.
Таким образом ненайденные конкретным решением Р1 уязвимости это те уязвимости которые не нашло решение Р1, но нашли решения Р2 и Р3. Надеюсь, что написал понятно.

Цитата
Acid пишет:
А каким это образом определили количество ненайденных, точнее чем.
То есть первоначально было 29 уязвимостей.

вот это количество откуда взяли ?

Acid на тестируемых системах всего было обнаружено 46 уязвимостей.

Из них на Compliance влияют только 29 уязвимостей.

Приведу фрагмент текста из отчета
Цитата

Чтобы соответствовать требованиям стандарта, компонент (например, один узел) не должен содержать уязвимостей степени критичности 3-5.
Вообще для оценки степени критичности следует использовать шкалу CVSS (при этом берется показатель Base Score). Там, где это невозможно, следует пользоваться классификацией, приведенной в табл. 2.
Компонент признается несоответствующим стандарту в случае, если:

1. имеются уязвимости, чья степень критичности по шкале CVSS (показатель Base Score) больше либо равна 4;

2. используется SSL версии 2.0 и ниже;

3. имеются уязвимости, приводящие к атаке «SQL-инъекция»;

4. имеются уязвимости, приводящие к атаке «Межсайтовое выполнение сценариев (XSS)».

Следует также добавить, что уязвимости, делающие возможным создание ситуации отказа в обслуживании, не берутся в расчет при принятии решения о соответствии.

Цитата
Acid пишет:
далее
сравнение сканеров весьма приблизительно. При этом название мало известные на рынке.

Весьма приблизительно, к чему?  ;-)
Названия достаточно известны на рынке. Некоторые решения очень известны за рубежом. Продолжение ответа ниже.

Цитата
Acid пишет:
Списо можно продолжить но сравнение трех сканеров, это не интересно.

Список из 3-х решений это не такой большой список как хотелось бы.
К сравнению приглашались все решения представленные на рынке в России.
К сожалению, участвовать согласились только 3 решения.

Моя оценка. Сравнение оказалось очень полезным. Компетенция экспертов ЗАО «Анализ защищенности» позволяет на основе проведенного сравнения судить не только о решениях принявших участие в сравнении, но и отказавшихся (своего рода экстраполяция).

Возможно, представители Компаний отказавшихся от участия в сравнении озвучат причины отказа.

Уважаемые администраторы сайта. Будьте так любезны. Сообщите в новостях о том, что тестирование завершилось. Мне кажется, что это интересно пользователям вашего сайта. Хоть немного разбавите новости типа «Юристы предлагают геймерам судиться с Microsoft»

P.S. Возможно, Владимир присоединится к обсуждению.
 
Цитата
Acid пишет:
Ну PCI DSS это стандарт не для контор в различным количеством человек.
Это для банков выпускающих пластиковые карты. и по требованиям Visa и MasterCard они должны соответсвовать требованиям, которые названы PCI DSS.

2 offtopic
как любой кто хочет пройти тестирование в первую очередь вынесет web сервера из зоны отвественности Pci DSS. то есть данные PCI DSS не обрабатываются в системах использующих веб. поэтому Веб и тю тю в этих данных.  

Acid. По моему вынести ВЕБ можно не всегда. Я пользуюсь интернет банкингом для оплаты мобильника с денег которые присылают родители. На сайте интернет банкинга есть параметры моей карты. Как Вы думаете, относится ли к PCI DSS интернет банкинг? Думаю да ;(.
 
методика после второго прочтения понятно.
Берется множество уязвимостей найденных тремя сканнерами. Их различных получили 29. Соответвественно смотрится те уязвимости, которые попадают в то или иной сканер ставится бал.....
вопрос по профессионализму компании ни кто не ставил. просто удивило малое количество решенй которые тестировались.

Интересно посмотреть решения которые были озвучены выше по сравнению с тремя перечисленными.
 
БК - QSA аудитором не проверяется(там только "родные" карты). Могу ошибаться конечно, но в scope БК не входит.
 
ИМХО. Блондинка и Глюк пиарят сайт ЗАО АЗ  ;)  Это уже не первое сообщение с этим сайтом.. подозрительно... :|
 
Цитата
Alexey Sintsov пишет:
ИМХО. Блондинка и Глюк пиарят сайт ЗАО АЗ   Это уже не первое сообщение с этим сайтом.. подозрительно...  

Меня опять в этом обвиняют  :cry:

Я же уже писала, что нашла сайт через поисковик когда искала информацию для курсовой. Наберите в гугле слова снижение рисков ИБ.

Тут я вообще просто любопытствую по девичьи.

Про Глюка я так поняла, что он работает там. Может и не так.
 
простите, я подозрительный.
Ага... Глюк - ген.дир. ЗАО.
Энивей, Алексей пиарит свою контору на форуме, это ж ясно... Лучше уж такую работу в виде статьи оформить, на форуме как то...не презентабельно, что-ли...
Изменено: Alexey Sintsov - 23.11.2009 14:00:36
 
2 Alexey Sintsov
Не совсем верно. Pr тут не пахнет.
ЗАО «Анализ защищенности» нормальная контора которая представила некий анализ. Он сделан достаточно грамотно. Но как уже и писалось выше - недостаточно сканеров.

В связи с трудностью размещения новостей.Статьей тут не пахнет. Это новость она должна очень оперативно появляться на информационном ресурсе.

2 all
Вот что такое грамотно проведенное тестирование для общедоступных порталов это прекрасно видно на примере thg.ru/
они на этих тестированиях собаку сьели, несмотря на все претензии к порталу thg.ru их очень трудно обвинить в превзятости.
 
Цитата
Alexey Sintsov пишет:
простите, я подозрительный.

Alexey Sintsov. Ничего бывает. Не вы первый.
 
Да, я опечатался по смыслу... этот материал в разделе "новость" надо публиковать. Просто в форуме это смотрится как pr., даже если это и не так  :D
 
По теме... ну есть же ещё куча асв сканеров, например, Saint очень милый товар... почему бы его не добавить в обзор?? Учитывая, что есть триал полноценный...
Страницы: 1 2 3 След.
Читают тему (гостей: 1)