我正在比较符合 PCI-DSS 要求的不同解决方案,阅读了大量有关 RSA enVision、Splunk、LogRhythm、SenSage、ArcSight 和 OSSEC 的白皮书和手册。
不幸的是,由于公司/组织提供的细节不足,因此很难进行比较。那么,您使用这些系统的经验是什么?有什么建议吗?有什么批评吗?
一些细节:
- 我的 PCI 系统将是一个包含 5 个主机的小型分段网络,受防火墙保护
- 所有机器都将运行Linux
- 读完这篇文章后,我决定写这个问题令人吃惊的批评家。你同意那些家伙的说法吗?!?
答案1
每当我看到术语“CMDB”时,我的 bs 检测器就会激活。
根据 RSA 用例视频,enVision 解决方案将:
- 利用 CMDB 神奇地“发现”您的 IT 环境。当然可以。
- 神奇地从漏洞扫描器中获取消息,了解您的服务器容易受到哪些漏洞攻击
- 处理你的 IDS 日志,并神奇地将攻击与步骤 1 和 2 中映射的漏洞关联起来
除了视频中介绍的内容之外,我对 enVision 一无所知,因此我得出的结论是,它是一款伪造的企业软件,通常会卖给正在进行 ITIL 项目的 CIO,而且 90% 的时间里它都处于搁置状态。这是为什么呢?
- CMDB 是 ITIL 高级教士的巨鲸。无论你使用什么数据库来跟踪事物,我敢肯定它不是 CMDB。
- 在你花了几年时间弄清楚 RSA 对 CMDB 的定义之后,这个工具实际上如何找到任何东西?(答:你将编写大量脚本并做大量工作。或者聘请大量 RSA 顾问)
- 如何将漏洞扫描器报告的内容与 CMDB 中的垃圾信息关联起来?(答:您将编写大量脚本并做大量工作。或者聘请大量 RSA 顾问)
- 那么,您如何自动将攻击与漏洞关联起来,而这些漏洞又与您的 CMDB 中的垃圾有关?(答:您在此阶段之前放弃。)
有太多活动部件......假设产品可以工作,实现这一点所需的资源可能超过让某人坐在办公桌前全天候盯着系统日志输出的成本。
答案2
不幸的是,PCI-DSS 合规性的最佳解决方案就是不要自己处理卡数据。