Страницы: Пред. 1 2 3 След.
RSS
[ Закрыто ] Сравнительный анализ решений по внешнему сканированию PCI DSS 2009г. PCI DSS VULNERABILITY SCANNING., ЗАО «Анализ защищенности» публикует результаты сравнения решений по внешнему сканированию PCI DSS на правах соавторства
 
потому что для проведения такого вида исследования необходимо согласие владельца....или надо быть пользователем полноценным.
 
Цитата
Acid пишет:
данные PCI DSS не обрабатываются в системах использующих веб

???!:))) во-первых нет такого понятия, как "данные PCI DSS", есть данные держателей карт. А во-вторых, Вы это вообще откуда взяли, что web не учавствует в обработке данных держателей карт??! Уверяю Вас, что вы в этом заблуждаетесь.

Цитата
GlukMaster пишет:
Дело в том, что Qualys единственное решение среди сравниваемых решений показывало потенциальные уязвимости.

Да, что Вы говорите!!!:) видимо:

Цитата
GlukMaster пишет:
основано на личном опыте и знании многих решений по анализу защищенности



Цитата
GlukMaster пишет:
Цитата
Acid пишет:
А каким это образом определили количество ненайденных, точнее чем.

Acid. Уязвимости обнаруживаются каждый день, а создаются в момент написания самих систем.

Вот Вы бы и дали нам возможность убедиться в точности Вашего тестирования путем полного предоставления информационных систем на основе которых проводилось сравнение. Например, в виде образов виртуальных машин.

Цитата
BlondeSecurity пишет:
Acid. По моему вынести ВЕБ можно не всегда. Я пользуюсь интернет банкингом для оплаты мобильника с денег которые присылают родители. На сайте интернет банкинга есть параметры моей карты. Как Вы думаете, относится ли к PCI DSS интернет банкинг? Думаю да ;(.

вот вот. а в вебе кволис.... как бы так помягче.... в общем у кволиса с вебом очень плохо:)
 
Цитата
Dmitry Evteev пишет:
Цитата
Acid пишет:
данные PCI DSS не обрабатываются в системах использующих веб


???!)) во-первых нет такого понятия, как "данные PCI DSS", есть данные держателей карт. А во-вторых, Вы это вообще откуда взяли, что web не учавствует в обработке данных держателей карт??! Уверяю Вас, что вы в этом заблуждаетесь.

Пожалуй, тут Dmitry Evteev абсолютно прав. На ВЕБ очень часто обрабатывают данные владельцев платежных карт. В модуле, предназначенном специально для анализа ВЕБ-приложений  (QualysGuard WAS – WEB Application Scanner) есть даже специальная опция включающая поиск в контенте номеров платежных карт (PAN) и социальные номера (для США).

Цитата
Dmitry Evteev пишет:
Цитата
GlukMaster пишет:
Дело в том, что Qualys единственное решение среди сравниваемых решений показывало потенциальные уязвимости.

Да, что Вы говорите!!!

Дмитрий, а с чем вы не согласны?  В данном сравнении участвовало 3 решения: OUTSCAN PCI, QualysGuard PCI Compliance,  Информзащита PCI ASV Scanning Solution. В отчетах среди конкурсантов потенциальные уязвимости показывал только Qualys! О чем я собственно и говорил (с этим невозможно не согласится т.к. вы видите итоговый отчет, а я работал с отчетом каждого решения).
Интересно узнать, где вы трудитесь, и какое решение пытаетесь защитить. Просто хочется больше конкретики.

Цитата
Dmitry Evteev пишет:
Вот Вы бы и дали нам возможность убедиться в точности Вашего тестирования путем полного предоставления информационных систем на основе которых проводилось сравнение. Например, в виде образов виртуальных машин.

Dmitry Evteev. Вам случайно не надоели лабораторные сравнения «в белых халатах, с микроскопами на столах и лаборантках»? ;-)

А если серьезно, то в первом сообщении я писал что благодарю 2 Компании, предоставившие свои периметры для тестирования. И как Вы себе представляете предоставление образов реальных серверов доступных из Интернет. Этого не будет. К тому же это ничего Вам не даст.
Dmitry Evteev принимайте участие в следующем сравнении решений и тогда у Вас не будет причин сомневаться. Тогда Вы будете иметь доступ к «ТЕЛУ».

Цитата
Dmitry Evteev пишет:
вот вот. а в вебе кволис.... как бы так помягче.... в общем у кволиса с вебом очень плохо:)

Dmitry Evteev ваши сведения относительно Qualys и WEB очень устарели. QualysGuard Vulnerability Management умел определять уязвимости, а теперь в Qualys имеется отдельный заточенный специально под WEB модуль QualysGuard WAS.
Обновите информацию о Qualys.
К сведению я с Qualys WAS обнаруживал критичные рабочие уязвимости сразу после анализа приложений с использованием некоторых признанных в России решений по WEB. Признанные в России решения по WEB давали чистые отчеты.  

Исчерпывающая информация по модулю анализа ВЕБ-приложений доступна по ссылке http://www.qualys.com/products/qg_suite/was/
 
Цитата
Acid пишет:
ЗАО «Анализ защищенности» нормальная контора которая представила некий анализ. Он сделан достаточно грамотно.

Acid, Вы нас быстро раскусили.

Спасибо.

Выражаю Вам благодарность в виде 1 балла.
 
Цитата
Acid пишет:
В связи с трудностью размещения новостей.Статьей тут не пахнет. Это новость она должна очень оперативно появляться на информационном ресурсе.

И в этом Вы тоже абсолютно правы.
Одно из двух. или новости не будет или админы пишут разгромную статью, которая прольет весь свет на все ;?) и мы сразу поймем, что в МИРЕ лучшее решение  ;?)
;)
 
Цитата
Alexey Sintsov пишет:
Да, я опечатался по смыслу... этот материал в разделе "новость" надо публиковать. Просто в форуме это смотрится как pr., даже если это и не так

Да, Алексей. Нужно в новости. Я об этом в самом низу первого сообщения просил.

Хотя знаете, мне нравится форум. Свобода слова и т.п.

P.S. Спасибо за то, что дают писать на форуме.
 
Цитата
GlukMaster пишет:
Дмитрий, а с чем вы не согласны? В данном сравнении участвовало 3 решения: OUTSCAN PCI, QualysGuard PCI Compliance, Информзащита PCI ASV Scanning Solution.

А теперь спустимся с небес на землю и раскроем содержимое "решений", например, Информзащиты. Компания использует сканеры конкретных вендоров (без имен). Ну, а сами сканеры при поиске уязвимостей в результатах сканирования помечает уязвимости, как "потенциальные"! Большинство сканеров уязвимостей поступают именно так.

Цитата
GlukMaster пишет:
В отчетах среди конкурсантов потенциальные уязвимости показывал только Qualys!

т.е. сравнивались только отчеты?

Цитата
GlukMaster пишет:
Интересно узнать, где вы трудитесь, и какое решение пытаетесь защитить. Просто хочется больше конкретики.

Positive Technologies

Цитата
GlukMaster пишет:
И как Вы себе представляете предоставление образов реальных серверов доступных из Интернет.

Вы считаете, что нельзя развернуть инфраструктуру, подобную сети, сканируемую по PCI DSS, в виртуальной среде?

Цитата
GlukMaster пишет:
К тому же это ничего Вам не даст.

Это много чего даст. Во-первых, объективное сравнение. Во-вторых, возможность проверить достоверность результатов. И конечно-же, для вендора, возможность улучшить свое сканирующее ядро. Кроме того, когда информационная система предоставлена в полном объеме и со всеми правами, можно говорить о всех опубликованных на данный промежуток времени уязвимостях в ней. Это возможно, например, выполнив аудит систем (инвентаризацию уязвимостей) прежде, чем будет проведено сканирование.

Цитата
GlukMaster пишет:
Dmitry Evteev принимайте участие в следующем сравнении решений и тогда у Вас не будет причин сомневаться. Тогда Вы будете иметь доступ к «ТЕЛУ».

Я уже давно об этом думал. Пологаю, что действительно стоит провести независимое и повторяемое сравнение.

Цитата
GlukMaster пишет:
Dmitry Evteev ваши сведения относительно Qualys и WEB очень устарели.

Да неужели??:) буквально пару месяцев назад была возможность оценить в полном объеме их движку по сравнению с другими решениями. Два месяца назад web-движка кволиса не смогла выявить и половину того, что было найдено другими решениями. Они за два месяца сделали, что-то нереальное, что другие писали и отлаживали несколько лет?:)

Цитата
GlukMaster пишет:
Исчерпывающая информация по модулю анализа ВЕБ-приложений доступна по ссылке

Написать можно много чего. А на деле и по факту....
 
Цитата
Dmitry Evteev пишет:
Positive Technologies

Дмитрий спросите Сергея, почему Ваше решение не принимало участие в сравнении. Вам он думают, даст ответ.

Все дальнейшие "выяснения" считаю бесполезными и бессмысленными. Рекомендую еще раз прочитать мой предыдущий ответ Вам. Там даны все ответы на вопросы, которые были заданы в Вашем последнем сообщении.

P.S. Дмитрий, я лично обучался вашему решению. Получается что я сертифицированный специалист № 13. Вы будете очень удивлены, когда узнаете возможности системы управления уязвимостями Qualys.
 
Цитата
GlukMaster пишет:
Вы будете очень удивлены, когда узнаете возможности системы управления уязвимостями Qualys.

Вы будете очень удивлены, но я УЖЕ знаю возможности системы управления уязвимостями кволис.

Цитата
GlukMaster пишет:
Все дальнейшие "выяснения" считаю бесполезными и бессмысленными

Полностью согласен.
 
Цитата
Dmitry Evteev пишет:
Вы будете очень удивлены, но я УЖЕ знаю возможности системы управления уязвимостями кволис.

Всегда приятно встретить сертифицированного специалиста Qualys. ;)
 
Цитата
GlukMaster пишет:
Получается что я сертифицированный специалист № 13.

посмотрел сертификаты... у них даже сертификат НЛП тренера есть.... нам промывают мозг  :o   :D

Цитата
GlukMaster пишет:
Дмитрий спросите Сергея, почему Ваше решение не принимало участие в сравнении. Вам он думают, даст ответ.

я конечно понимаю, что это может быть окутано какими то большими тайнами, но этот вопрос появился сразу после появления поста. Интересно узнать, почему продукт PT не принимал участия в тестировании? Очень интересно было бы узнать результаты сравнения итоговых отчётов....
 
Цитата
IgAl пишет:
посмотрел сертификаты... у них даже сертификат НЛП тренера есть.... нам промывают мозг  

IgAl. ;-) Если серьезно то у нас есть в штате профессиональный психолог. Он работает по линейке услуг "Выявление и устранение уязвимостей в сотрудниках или минимизация отрицательного влияния на бизнес человеческого фактора". В рамках данных услуг наш Эксперт выявит уязвимости Ваших сотрудников и предложит план устранения данных уязвимостей. Также в рамках данной линейки услуг мы организуем процесс повышения осведомленности Ваших сотрудников в вопросах информационной безопасности. ЗАО "Анализ защищенности" специализируется на превентивных (или как их еще называют "проактивных") мерах снижения рисков информационной безопасности.

Это особенно должно понравится:
Цитата
[mad]Mega пишет:
по мне всегда явной дырой будут люди, и как не крути даже 6 из 30 = 20% ничто по сравнению с пользователями которые нашли на автостоянке флешку и сразу впихнули себе в рабочую машину с правами (абсолют, 100%  )
Да сканировать это хорошо, да находить уязвимости это хорошо, но нафига платить дважды деньги за одно и тоже действие (в любом случаи нужна обновляться, пройдёшь ты скан или нет). Почему считаю за это платить деньги вредно? Потому что это нафиг не нуна мелкой/средней конторе (в принципе иногда этим занимается админ ради забавы или когда нечего делать). А в крупной (>10.000 компов) - я админом не работал.



Цитата
IgAl пишет:
я конечно понимаю, что это может быть окутано какими то большими тайнами, но этот вопрос появился сразу после появления поста. Интересно узнать, почему продукт PT не принимал участия в тестировании? Очень интересно было бы узнать результаты сравнения итоговых отчётов....

Это к представителю PT Dmitry Evteev.
 
ладно попытаюсь обьяснить......

когда происходит любая сертификация, то необходимо определить некую границу ( она может называтся по разному к примеру граница контролируемого периметра). далее в рамках сертификации PCI DSS необходимо также обозначит эти границы. если я использую некий клиетн серверное приложение для интернет банка, то не факт что данные будудут доступны через веб.

Технологически
клиент подключается к серверу приложение ( не веб) по 443 порту что создает SSL туннель. и никакого отношения к веб серверу это иметь не будет.

Вот соответственно я вынес границу.

документально.
вот тут самое интересно.
Я создаю некий пул клиентов в уникальные идентификаторами например отличных от индетификаторов платежных систем.
Я раздаю свои идентификаторы клиентам банка и привязываю счет ( счет в банке не является тайной) . Так вот все проводки в рамках своей уникальной ситемы я провожу сам. и она не имеет отношения к банковской системе. сертификации по PCI DSS такого сервиса идет лесом. а банк позиционирует наличие банк клиента.
 
Цитата
Acid пишет:
Технологически
клиент подключается к серверу приложение ( не веб) по 443 порту что создает SSL туннель. и никакого отношения к веб серверу это иметь не будет.

Acid. Если в приложении доступном из Интернет обрабатываются номера платежных карт (PAN) тогда данное приложение входит в скоуп внешнего сканирования PCI DSS. Приложение может быть как ВЕБ так и не ВЕБ.

Цитата
Acid пишет:
Вот соответственно я вынес границу.

Если в приложении доступном из Интернет отсутствуют данные держателя платежных карт, а вся работа ведется с номером счета, то да, это приложение может быть вынесено за скоуп внешнего сканирования PCI DSS.

К сожалению очень мало банков используют такие банк-клиенты.
Изменено: GlukMaster - 24.11.2009 10:19:55
 
Не так уж много...но есть.....очень часто в банк клиентах не отображается номера карт.
 
Мальчики, я кончено мало, что понимаю в разных там сравнениях.

Это очень плохо, когда вы сами понимая свою некомпетентность пытаетесь обсуждать то, в чем не компетентны.
Я как-то наоборот, разбираюсь в этом вопросе и участвовал в разработке методики, используемой Владимиром.

Какие ваши решения участвовали в этом сравнении?

Мы собственно производитель систем, но наши решения использует российские ASV. Просто некоторые об этом пишут, а некоторые нет.
Кстати, не нашел ЗАО «Анализ защищенности» в списке ASV https://www.pcisecuritystandards.org/pdfs/asv_report.html. Опять некомпетентность?


Дело в том, что Qualys единственное решение среди сравниваемых решений показывало потенциальные уязвимости. «Потенциальные уязвимости» это уязвимости, наличие которых устанавливается по косвенным признакам.

Коллега, сравнивались не решения а сервис ASV. "Решения" не сертифицируются по PCI DSS. Так вот, если говорить о сервисе, то Qualys показал себя плохо, более того, он провалил бы "зачет" по PCI DSS ASV, поскольку не выполнил одну из задач ASV, а именованно "False Positives Management". Т.е. в итоговом отчете не должно быть ложных срабатываний вне зависимости от того, что там выдал сканер. Таким образом, как сервис ASV задача обработки ложных срабатываний была переложена на заказчика, что крайне и крайне плохо...

Еще немного о единственное решение показывало потенциальные уязвимости. Боюсь, вы лишний раз продемонстрировали свою осведомленность в обсуждаемом вопросе. Угадайте, что "значит вопросик" в приведенном скриншоте MaxPatrol?




к. при создании методики Владимир и я не учли, что

Мы общались в Владимиром по этому вопросу, и я высказывал свое мнение (см. выше) которое совпадет с мнение любого практикующего аудитора :)
 
Цитата
offtopic пишет:
Мальчики, я кончено мало, что понимаю в разных там сравнениях.

Это очень плохо, когда вы сами понимая свою некомпетентность пытаетесь обсуждать то, в чем не компетентны.
Я как-то наоборот, разбираюсь в этом вопросе и участвовал в разработке методики, используемой Владимиром.

Это Вы о чем!

Цитата
offtopic пишет:
Мы собственно производитель систем, но наши решения использует российские ASV. Просто некоторые об этом пишут, а некоторые нет.
Кстати, не нашел ЗАО «Анализ защищенности» в списке ASV https://www.pcisecuritystandards.org/p...eport.html. Опять некомпетентность?

Мыслите шире.

В списке ASV ищите нашего партнера Qualys он предоставляет сервис, а мы его представители в России.

Цитата
offtopic пишет:
решения а сервис ASV

Вопрос формулировки.

В сравниваемых решениях/сервисах потенциальные уязвимости показал только Qualys. О чем я выше неоднократно писал.


Цитата
offtopic пишет:
Т.е. в итоговом отчете не должно быть ложных срабатываний вне зависимости от того, что там выдал сканер. Таким образом, как сервис ASV задача обработки ложных срабатываний была переложена на заказчика, что крайне и крайне плохо...

"не должно быть ложных срабатываний " голословно заявил offtopic.

Около 65% всех внешних сканирований PCI DSS на планете земля выполняется с помощью услуги QualysGuard PCI Compliance. Если бы за меня столько проголосовало, то я был бы президентом ;-)

offtopic, раз вы не унимаетесь, то сообщите, почему ваше решение не принимало участие в сравнении.

offtopic, Вы тоже PT?
Вас не Сергей Г зовут случайно?

Цитата
offtopic пишет:
задача обработки ложных срабатываний была переложена на заказчика, что крайне и крайне плохо...

Заказчик всегда участвует в обработке, сообщая доп. информацию голосом по телефону, e-mail, а в случае Qualys нажимает "кнопку" после чего информация обрабатывается экспертами (во всех 3-х случаях).

Цитата
offtopic пишет:
Еще немного о единственное решение показывало потенциальные уязвимости. Боюсь, вы лишний раз продемонстрировали свою осведомленность в обсуждаемом вопросе. Угадайте, что "значит вопросик" в приведенном скриншоте MaxPatrol?

Угадывать не будем ;-)
MaxPatrol не участвовал в сравнении.

offtopic, Вы тоже сертифицированный специалист Qualys? Так смело заявляете о системе управления уязвимостями Qualys. Это Ваша личная позиция или позиция сотрудника Positive Technologies?

Я пытаюсь быть предельно корректным к Вам и Вашему решению, которое, к сожалению, не приняло участие в сравнении. Милости просим к участи в следующем сравнении.

Всегда считал www.securitylab.ru профессиональным порталом ИБ, а наблюдаю не обоснованный сплошной фанатичный ничем не прикрытый негатив от Вас offtopic и Dmitry Evteev. Уже люди спрашивают, чего они?

Приходите ко мне на сайт www.penetrationtest.ru. Там Вам будет рада каждая буква и запятая. Будете себя чувствовать прекрасно и никаких гонений ;-)

Цитата
offtopic пишет:
скриншоте MaxPatrol

Картинку вставьте, а то не работает!


Цитата
offtopic пишет:
любого практикующего аудитора

Опять голословно заявляете любого. Уверяю не любого. Я так не думаю, а значит любого-1 поищем еще тех, кто так не думает.

offtopic, создавая эту тему моей целью было сообщить интересующимся Колегам о том, что такая новость есть. В первом сообщении просил модераторов, сообщите в новостях. Полный игнор. Про надписи выложенные трупами в игрушках публикуете очень оперативно :-(

В общем, предлагаю перевести обсуждение в сферу сравнения. У меня очень много полезных сведений по тестированию. Задавайте вопросы, интересуйтесь, учитесь, наконец. С радостью Вам помогу.

С любовью,
GlukMaster.
Изменено: GlukMaster - 24.11.2009 22:27:23
 
Новость перешла в более благоприятное место с точки зрения атмосферы на www.bankir.ru

За данной темой тоже буду приглядывать, буду отвечать на вопросы.
 
Цитата
GlukMaster пишет:
Около 65% всех внешних сканирований PCI DSS на планете земля выполняется с помощью услуги QualysGuard PCI Compliance.

=))) так это, случаем не после такого PCI DSS COMPLIANT появляются новости подобного содержания?:)

Цитата
GlukMaster пишет:
MaxPatrol не участвовал в сравнении.

Ну Вам то конечно виднее...

Цитата
GlukMaster пишет:
Задавайте вопросы, интересуйтесь, учитесь, наконец. С радостью Вам помогу.

=))))))) ну да, ну да.
 
Цитата
Dmitry Evteev пишет:
PCI DSS COMPLIANT

О каком  послушном PCI DSS (PCI DSS COMPLIANT) идет речь?

Может быть, Вы имели ввиду PCI DSS Compliance?

На самом деле PCI DSS Compliance не дает 100% гарантии, что данные держателей платежных карт не будут компрометированы! 100% гарантию не дает ничего!

Цитата
Dmitry Evteev пишет:
Ну Вам то конечно виднее...

Уже 2-я страница обсуждений/обвинений. Почитайте отчет наконец-то, там четко указан список решений, которые участвовали в сравнении.

Про скрытое участие не хочу ничего даже слышать. Или участвуешь или не участвуешь. Поймите, чуть-чуть беременна не бывает ;-)

Цитата
Dmitry Evteev пишет:
Цитата
GlukMaster пишет:
Задавайте вопросы, интересуйтесь, учитесь, наконец. С радостью Вам помогу.

=))))))) ну да, ну да.

Не стесняйтесь ;-)
Если скромны от природы, то в приват пишите.
Страницы: Пред. 1 2 3 След.
Читают тему (гостей: 1)