Сканирование на соответствие PCI
Я надеюсь найти часть программного обеспечения, которая поможет мне в обнаружении сбоев соответствия PCI перед фактическим сканированием ASV. Я бы предпочел провести сканирование против себя перед тем, как попросить другую компанию сделать это. Есть ли какое-либо программное обеспечение, написанное для такого рода вещей?
4 ответа
Вы можете посмотреть на запуск Nessus или OpenVAS вне вашей сети. Это о том, что делают сканирования ASV. Из предупреждений, поданных в моих системах мониторинга, мало различий между сканированиями OpenVAS и сканированиями, выполненными нашим поставщиком.
Вы можете выполнить сканирование PCI с помощью нескольких инструментов. Даже если они не будут "официальными", поскольку официальное сканирование PCI должно выполняться ASV (утвержденным поставщиком сканирования). Некоторые из наиболее популярных инструментов, о которых вы, вероятно, слышали и с которыми очень легко работать, - это Святой и Нессус. Они оба имеют специфичные для PCI сканирования и покажут вам, пройдет ли уязвимость или потерпит неудачу. Поскольку не каждая уязвимость достаточно значительна, чтобы вас подвести.
Управляемые двигатели Security Manager Plus могут сделать это. Однако, как и большинство вещей в жизни, это не бесплатно
К сожалению, это немного больше, чем один тест. Для сканирования PCI вы должны комбинировать множество различных инструментов, тестов и сценариев. Даже если вы можете использовать для каждого теста инструмент с открытым исходным кодом, я уверен, что после завершения теста вы не отдадите его бесплатно.
В любом случае вы можете просмотреть этот список различных поставщиков, предоставляющих инструменты или услуги, касающиеся сертификации PCI.
Я глубоко доволен Qualys. Они также предоставляют некоторые бесплатные или пробные чеки.