Отчет о внутреннем сканировании уязвимостей

Как написать отчет о внутреннем сканировании уязвимостей для моего проекта?
Должен ли я использовать инструмент для создания этого отчета? Я искал в Интернете, связанный с этим, но я не смог понять это.


java pci-compliance pci-dss
person Sagar Deshmukh    schedule 17.07.2012    source источник
comment
Вы говорите о чем-то подобном? trustwave.com/internal-vulnerability-scanning.php Обычно это делается профессионал, а не инструмент.   -  person Peter Lawrey    schedule 17.07.2012
comment
Мы хотим сделать наш продукт совместимым с PCI. Для этого мне нужно создать этот отчет о сканировании внутренних уязвимостей.   -  person Sagar Deshmukh    schedule 17.07.2012
comment
Всякий раз, когда это делалось, это составлялся мой ротационный список внешних сторон, чтобы придать ему достоверность.   -  person Peter Lawrey    schedule 17.07.2012
comment
Привет, Питер, большое спасибо за вашу помощь, но не могли бы вы подробнее рассказать об этом ..   -  person Sagar Deshmukh    schedule 17.07.2012
comment
Мы нашли три компании, которые предоставляют эту услугу, и каждые N месяцев мы просили одну из них предоставить такой отчет. Эти отчеты постоянно меняются (по мере обнаружения новых уязвимостей), и разные провайдеры искали разные вещи (что является хорошей причиной для использования более чем одного).   -  person Peter Lawrey    schedule 17.07.2012

Ответы (1)


arrow_upward
1
arrow_downward

Внутреннее сканирование уязвимостей обычно выполняется автоматизированным инструментом. На рынке их много, включая как FOSS, так и коммерческое программное обеспечение. Если вы не знаете, с чего начать поиск, воспользуйтесь списком утвержденных поставщиков сканирования (ASV) на веб-сайте PCI — хорошее место для начала. Вам не обязательно использовать ASV для внутреннего сканирования, но у них наверняка есть продукты, которые могут вам помочь.

Внутреннее сканирование уязвимостей обычно запускается с консоли, имеющей доступ к внутренней среде. Он начнет с сетевых тестов и будет продвигаться вверх по стеку в зависимости от того, что он найдет. Учитывая, что это автоматическое сканирование, не ожидайте, что оно обеспечит такой же уровень детализации, как целевой тест на проникновение, но это хорошее начало, чтобы увидеть, где ваша безопасность.

Было бы довольно необычно писать собственный сканер уязвимостей, поскольку для этого требуются специальные знания о сетях, операционных системах и приложениях, а также об уязвимостях в системе безопасности. И его нужно поддерживать в актуальном состоянии по мере обнаружения новых уязвимостей в стеке. Если у вас есть все эти навыки, то, вероятно, для вас есть работа в одной из коммерческих компаний!

person dfbpdave    schedule 17.07.2012