我们的商户服务承包商聘请的 PCI DSS 合规扫描公司要求我们关闭反入侵软件,并允许特定 IP 地址不受限制地通过我们的防火墙进行访问。
这有意义吗?
答案1
作为贵公司的系统/网络管理员,请尝试直接与该 PCI DSS 合规性扫描公司的技术人员取得联系,因为这听起来可能存在很多沟通不畅,而且很多细节在翻译中丢失。
而不是打开你的入侵防御软件完全关闭你应该把这个特定的 IP 地址列入白名单,这样他们的扫描就不会被主动阻断 一旦你的入侵检测/预防系统检测到它们。
正如 ceejayoz 评论的那样,您可能希望他们能够完成扫描。
至于不受限制地访问您的防火墙,这似乎也不太可能。它们的访问应该类似于通常保护您系统的规则集,您不需要比平时开放更多,但您希望防止您的 IPS 将它们列入黑名单。
答案2
是的,这确实有道理。扫描的目的是测试暴露在互联网上的服务中的漏洞,而不是测试 IPS 功能。漏洞扫描器以非常快的速度测试这些服务,这种速度非常“嘈杂”,IPS 很难检测和阻止。真正的恶意攻击没有漏洞测试人员的时间限制,并且可以更隐蔽地运行,甚至可能低于 IPS 阈值水平。
运行一项开启 IPS 功能的测试和运行另一项将 IPS 将扫描仪 IP 地址列入白名单的测试,可以验证 IPS 控制是否正常运行。