Поделиться
Сканеры безопасности сравнили по эффективности
Обнародованы результаты сравнения сканеров безопасности, проверяющих системы интернет-банкинга и электронной коммерции на отсутствие уязвимостей. Использование подобных решений в России пока не предписано законодательством, но, в то же время, крупнейшие платежные системы настоятельно рекомендуют это делать.Эксперты Лаборатории сетевой безопасности Учебного центра «Информзащита» провели сравнение сканеров безопасности, используемых для планового сканирования интернет-ресурсов компаний (в первую очередь, банков и торговых предприятий), желающих соответствовать требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт).
Напомним, что этот стандарт был разработан платежными системами Visa, Mastercard, American Express, JCB и Discover. Согласно PCI DSS, его условия должны соблюдать все организации, так или иначе имеющие дело с информацией о номерах платежных карт. В то же время, для российских компаний соблюдение этого стандарта не является обязательным с точки зрения законодательства. Тем не менее, все крупные российские банки и процессинговые центры движутся в направлении его сертификации, подчеркивают эксперты.
В исследовании (которое, как утверждают его авторы, является независимым, несмотря на то, что в нем участвовал продукт «Информзащиты») приняли участие три сканера, имеющих статус PCI ASV Scanning Solution: Outscan PCI от Outpost24, QualysGuard от Qualys и решение от «Информзащиты». Сканеры оценивались по следующим показателям: количество идентифицированных сервисов и приложений, а также общее количество найденных уязвимостей и ложных срабатываний.
Приводится также стоимость все трех решений (при ежеквартальном сканировании 10 IP-адресов в год): Outscan PCI стоит €1000 без НДС, QualysGuard - €790 с НДС, сканер «Информзащиты» – 120 тыс. руб. с НДС. При этом количество повторных сканирований, которые входят в указанную стоимость, у первых двух сканеров не ограничено, а у последнего предусмотрено лишь одно. Решения западных вендоров могут использоваться во всем мире, а «Информзащиты» - только в России, СНГ и в Европе.
Суммарная точность работы трех сканеров
Самый высокий балл за идентификацию сервисов и приложений (31) в итоге получил сканер от Qualys. На втором месте – решение «Информзащиты» (28 баллов). Outscan PCI получил 24 балла. Наибольшее количество уязвимостей также было найдено сканером QualysGuard, но при этом часть из них оказалась ложными срабатываниями (12 из 44). Outscan PCI и сканер «Информзащиты» обнаружили, соответственно, 23 и 26 уязвимости, все из которых впоследствии подтвердились.
В итоге суммарная точность работы для проверок, влияющих на статус соответствия стандарту PCI DSS, была оценена для QualysGuard и Outscan PCI в 66%, а для продукта «Информзащиты» – в 63%.
Поделиться
Короткая ссылка
