Começamos a fazer com que a Trustwave faça verificações mensais de vulnerabilidade de rede PCI. Passamos os últimos dois meses, mas este mês falhou para "Scan Interference Detected". Esta é a recomendação deles:
Durante a verificação, o TrustKeeper detectou uma alteração em sua capacidade de se comunicar com alguns serviços no host remoto. Em alguns casos, isso pode ser causado por dispositivos de segurança de rede bloqueando ativamente a varredura de vulnerabilidade, que pode ser percebida como uma ameaça. Em outros casos, um dispositivo de rede intermediário ou o próprio host pode não conseguir lidar com a verificação de vulnerabilidade.
Muitas vezes é muito difícil dizer a diferença entre esses dois cenários, mas em ambos os casos, esse comportamento afeta significativamente a capacidade desse serviço de varredura de vulnerabilidades para detectar vulnerabilidades no host remoto, resultando em uma avaliação de vulnerabilidade inconclusiva. O PCI ASV Program Guide 1.0 requer que os clientes de varredura PCI ASV tenham uma varredura executada em todos os hosts dentro do escopo sem interferência de IDS/IPS; se tal interferência for detectada, o ASV é necessário para falhar na varredura. Exemplos de produtos e dispositivos que fornecem medidas ativas que podem interferir na verificação são firewall e sistemas de detecção de intrusão (IDS) com contramedidas ativas, sistemas de prevenção de intrusão (IPS), firewalls de aplicativos da Web (WAF) e negação de serviço distribuída ( DDoS) produtos de mitigação.
Para obter uma avaliação de vulnerabilidade conclusiva do host remoto, os produtos e dispositivos responsáveis por interferir nessa verificação podem precisar ser temporariamente configurados para permitir a verificação sem interferência. Isso normalmente ocorre na forma de adicionar os endereços IP desse serviço de verificação à "lista branca" do produto ou dispositivo. Certifique-se de que os seguintes blocos de rede tenham acesso total e desobstruído para executar uma verificação de vulnerabilidade com mais precisão: 204.13.201.0/24, 64.37.231.0/24.
Não tenho certeza de como colocá-los na lista de permissões. Configurei alguns objetos de endereço na zona WAN, mas não tenho certeza de como aplicá-los. Tentei desligar o "Modo Stealth" (devido a uma reclamação associada de mais de 60.000 portas abertas, o que é impossível) e cheguei a desligar o IPS (desativei a proteção, mas deixei na detecção porque não quero para nos deixar totalmente expostos). No entanto, as varreduras ainda estão falhando.
Parece um pouco ridículo desligar a segurança para testar a segurança, mas aparentemente isso agora é uma coisa normalmente aceita para varreduras de PCI.
Abri um tíquete de suporte com eles, mas o primeiro cara com quem falei não tinha ideia do que fazer além de ler as mesmas informações que eu já tinha e estou esperando uma ligação de sua "equipe de varredura". Espero que alguém aqui já tenha descoberto isso em um Sonicwall e possa me ajudar melhor.
Inclua os intervalos fornecidos nas várias listas de exclusão. Mais precisamente, você teve que excluir os intervalos fornecidos de:
Acabei resolvendo esse problema mudando para outra empresa. A SecurityMetrics não teve problemas com nossa rede. (E nunca recebi resposta da Trustwave com nada útil.)