Rambler's Top100
Все новости Новости компаний

Учебный центр "Информзащита" опубликовал результаты нового исследования сканеров безопасности

23 ноября 2009

Учебный центр "Информзащита" выпустил отчет "Сравнение сканеров безопасности. Часть 2. PCI DSS Vulnerability Scanning".


Сканер безопасности – основной инструмент анализа защищённости компьютерных сетей, позволяющий вовремя обнаружить уязвимость и подобрать варианты её устранения, что существенно снижает вероятность успешных атак на объекты защиты. Эффективность сканера и соответствие его работы поставленным задачам – залог успешного контроля безопасности сети, поэтому зная реальные возможности сканеров, предлагаемых различными производителями, специалисты могут грамотно создавать инфраструктуру обеспечения безопасности компьютерных систем.

Ряд требований стандарта Payment Card Industry Data Security Standard (PCI DSS) напрямую указывает на контроль состояния защищенности и устранение уязвимостей. Соответствие стандарту PCI DSS, разработанному с целью повышения уровня защищенности платежных и электронных торговых систем, является необходимым условием успешного ведения бизнеса организациями, ответственными за передачу, обработку и хранение данных держателей карт.

Эксперты Лаборатории сетевой безопасности Учебного центра "Информзащита" подготовили новый уникальный отчет "Сравнение сканеров безопасности.

Часть 2. PCI DSS Vulnerability Scanning", в котором представлены результаты сравнения решений, предлагаемых сертифицированными PCI Security Council поставщиками услуг по сканированию уязвимостей (Approved Scanning Vendors, ASV) для планового сканирования Интернет-ресурсов клиентов, желающих соответствовать требованиям стандарта PCI DSS. Данный отчет является продолжением независимого исследования, анонсированного Учебным центром в конце 2008 года, в котором были приведены результаты сравнения эффективности различных систем  контроля защищённости, полученные в ходе проведения тестов на проникновение. Ряд исследований, посвященных анализу функциональных возможностей сканеров безопасности и особенностей их использования в процессе тестирования сети на устойчивость к взлому, были проведены специалистами центра в предыдущие годы.

В исследовании приняли участие три вендора ASV: OUTSCAN PCI, QualysGuard, PCI ASV Scanning Solution. Цель данного исследования, проведенного методом испытаний в реальных условиях – сравнение результатов работы сканеров представленных вендоров и инструментов, на которых могут быть основаны предлагаемые ASV решения. Решения ASV оценивались по следующим показателям: количество идентифицированных сервисов и приложений, общее количество найденных уязвимостей, число ложных срабатываний (False Positives), число уязвимостей, найденных правильно (True Positives), число пропусков (False Negatives), число «правильных» пропусков (True Negatives). Пользуясь перечисленными критериями, можно оценить качество предлагаемых решений, их применимость для решения задачи анализа защищенности сети конкретной организации.

Данный отчет подготовлен в рамках просветительской деятельности Учебного центра и размещен в свободном доступе для  многочисленных выпускников центра и специалистов по информационной безопасности, заинтересованных в постоянном повышении своего профессионального уровня. 

Результаты данного исследования использованы в авторских курсах Учебного центра КП46 "Подготовка к аудиту по требованиям стандарта PCI DSS и КП20. 

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.