Сканеры безопасности сравнили по эффективности

23/11/2009 11:18

Обнародованы результаты сравнения сканеров безопасности, проверяющих системы интернет-банкинга и электронной коммерции на отсутствие уязвимостей. Использование подобных решений в России пока не предписано законодательством, но, в то же время, крупнейшие платежные системы настоятельно рекомендуют это делать. Эксперты Лаборатории сетевой безопасности Учебного центра «Информзащита» провели сравнение сканеров безопасности, используемых для планового сканирования интернет-ресурсов компаний (в первую очередь, банков и торговых предприятий), желающих соответствовать требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт). Напомним, что этот стандарт был разработан платежными системами Visa, Mastercard, American Express, JCB и Discover. Согласно PCI DSS, его условия должны соблюдать все организации, так или иначе имеющие дело с информацией о номерах платежных карт. В то же время, для российских компаний соблюдение этого стандарта не является обязательным с точки зрения законодательства. Тем не менее, все крупные российские банки и процессинговые центры движутся в направлении его сертификации, подчеркивают эксперты. В исследовании (которое, как утверждают его авторы, является независимым, несмотря на то, что в нем участвовал продукт «Информзащиты») приняли участие три сканера: Outscan PCI от Outpost24, QualysGuard от Qualys и PCI ASV Scanning Solution от «Информзащиты». Решения оценивались по следующим показателям: количество идентифицированных сервисов и приложений, а также общее количество найденных уязвимостей и ложных срабатываний. Приводится также стоимость все трех решений (при ежеквартальном сканировании 10 IP-адресов в год): Outscan PCI стоит €1000 без НДС, QualysGuard - €790 без НДС, PCI ASV Scanning Solution – 120 тыс. руб. с НДС. При этом количество повторных сканирований, которые входят в указанную стоимость, у первых двух сканеров не ограничено, а у последнего предусмотрено лишь одно. Решения западных вендоров могут использоваться во всем мире, а «Информзащиты» - только в России, СНГ и в Европе. Самый высокий балл за идентификацию сервисов и приложений (31) в итоге получил сканер от Qualys. На втором месте – решение «Информзащиты» (28 баллов). Outscan PCI получил 24 балла. Наибольшее количество уязвимостей также было найдено сканером QualysGuard, но при этом часть из них оказалась ложными срабатываниями (12 из 44). Outscan PCI и PCI ASV Scanning Solution обнаружили, соответственно, 23 и 26 уязвимости, все из которых впоследствии подтвердились. В итоге суммарная точность работы для проверок, влияющих на статус соответствия стандарту PCI DSS, была оценена для QualysGuard и Outscan PCI в 66%, а для PCI ASV Scanning Solution – в 63%.
Источник