ASV-сканирование:что это такое?

ASV-сканирование — это процедура ежеквартальнойпроверки всех точек подключения к сети интернет на наличие уязвимостей. РазработанаСоветом по стандартам безопасности данных индустрии платёжных карт (создан поинициативе American Express, Discover Financial Services, JCB International,MasterCard Worldwide и Visa, Inc.).

Кто обязан проходитьпроверку?

Процедура ASV-сканирования на предмет соответствиятребованиям международного стандарта безопасности PCI DSS распространяется на всеорганизации, которые хранят, обрабатывают или передают данные держателейплатёжных карт.

Такие компании классифицируются исходя из объёматранзакций, проводимых в течение года:

· 4 уровень — до 20 тысяч транзакций в год(ежеквартальное сканирование внешних адресов на наличие уязвимостей изаполнение листа самооценки);

· 3 уровень — от 20 тысяч до 1 миллиона транзакцийв год (аналогичные требования, что и для компаний 4-го уровня);

· 2 уровень — от 1 миллиона до 6 миллионовтранзакций в год (ежеквартальное сканирование с привлечением компании-аудитора);

· 1 уровень — более 6 миллионов транзакций в год(соответствие требованиям проводится только с привлечением независимогоаудитора).

Отдельная градация существует в отношении сервисныхкомпаний и процессинговых центров.

Какподтвердить соответствие требованиям стандарта PCI DSS?

Для прохождения ASV-сканирования необходимообратиться к специализированным поставщикам услуг, аккредитованным Советом постандартам безопасности данных индустрии платёжных карт.

Компании ARinteg статус ASV-провайдера впервые былприсвоен более трёх лет назад. Ежегодно системный интегратор успешноподтверждает свой экспертный уровень.

Опираясь на многолетний опыт аудита защищённостивнешнего периметра и внутренних сетей, ARinteg помогает организациямфинансового сектора и компаниям из других отраслей успешно проходитьнеобходимые процедуры проверки на предмет соответствия PCI DSS.

Как проходит процедурасканирования?

Сканирование проводится удалённо в форматевыделенного технологического окна в течение 24 часов. Дату и время сканированияможно согласовать индивидуально.

Необходимо лизаранее готовиться к проверке?

На время проведения проверки обязательнымтребованием стандарта PCI DSS является отключение (переключение в режиммониторинга) средств активной защиты, основанных на поведенческом анализе (IPS,WAF).

В случае использования балансировщиков трафикатребуется подтверждение синхронизации сетевых потоков.

Процедура ASV-сканирования абсолютно безопасна и невлияет на производительность сетевой инфраструктуры.

Чтопроисходит во время сканирования?

В рамках тестирования определяется наличие доступныхIP-адресов из списка, предоставленного заказчиком, проводится сканированиевсего диапазона TCP-портов и стандартных UDP-портов.

Осуществляется попытка точной идентификациииспользуемых версий операционных систем и запущенных сервисов вне зависимостиот используемых платформ.

Процедура проверки проводится на предмет:

· наличия уязвимостей (как известных CVE, так иуникальных);

· ошибок конфигурации серверов приложений;

· обнаружения стандартных веб-скриптов;

· использования встроенных учётных записей;

· применения средств удалённого доступа;

· ошибок конфигурации DNS-серверов;

· защищённости почтовых сервисов;

· подверженности типичным атакам на веб-приложения(SQL-injection, XSS, перемещение по директориям, разбитие HTTP-заголовков ит.д.);

· выявления избыточных стандартных сервисов;

· наличия бэкдоров, руткитов, иного вредоносногоПО;

· использования актуальных версий TLS-шифрования;

· обнаружения POS-терминалов.

Какойдокумент выдаётся по итогам проверки?

По результатам сканирования предоставляется отчёт, вкотором указываются как подтверждённые, так и потенциальные уязвимости.

В случае выявления недопустимых уязвимостей критичностьювыше 4 уровня (CVE), заказчик может оспорить их справедливость, предоставив подтвержденияложного срабатывания сканера.

При обнаружении средств удалённого доступа,POS-терминалов или иных механизмов приёма платежей, возможности листингадиректорий, потребуется обоснование необходимости и защищённости применяемыхрешений.