我们由服务提供商管理的 Web 服务器之一(完全由他们控制,我们没有登录访问权限)刚刚发生 PCI-DSS 漏洞。由 TrustKeeper 扫描。vuln 扫描检测到该盒子是 Windows Server 2003 SP1 操作系统(非常过时)。
我将报告提交给我们的服务提供商(连同一封愤怒的电子邮件)。他们回应了一个简单的 sysinfo 屏幕截图,显示了一些 windows 2k3 sp2 框。我无法知道该屏幕截图是否来自我们的盒子,并且根据与提供商的历史,我倾向于认为他们只是从另一个盒子中抓取它来遮盖他们的屁股。
由于没有 AD 或登录权限,我无法确定此框的 SP 级别。
问题:
一个简单的 sysinfo 页面截图是否足以作为 PCI-DSS 合规性证据?我无法想象它是因为如上所述,它可能来自任何系统。但是,如何从这个盒子中获得证明它确实是我们的盒子并且真的是 SP2 的证据呢?
如何远程验证盒子的SP等级。我对nmap没有运气..还有另一种方法可以证明它没有更新吗?
请参阅我的 OP 的此服务器故障问题。
为了接受此类证据,需要将图像中显示 Service Pack 级别的信息与 Trustkeeper 正在扫描的系统(IP 地址/URL)联系起来。打开不同窗口的屏幕截图显示您正在为正确的系统提供适当的证据应该可以解决问题。
您是否知道服务提供商是否正在对这些系统执行内部漏洞扫描?也许您可以访问这些结果。
您可以尝试运行诸如http://www.yellowpipe.com/yis/tools/craftnet/之类的在线工具,尽管您不太可能得到与 nmap 不同的结果。
由于您将每 3 个月运行一次外部漏洞扫描,该系统以前是否曾出现过故障?
老实说,根据评论中讨论的内容,这听起来不像是您完全信任的托管服务提供商。如果情况确实如此,那么 PCI 审计员在这方面让您失望是正确的。您为什么要信任他们的 PCI 数据?
您需要将这些资产转移到内部或将它们转移到您信任的其他提供商。
此外,与其在您无法控制的共享环境中运行,不如获得一个专用的盒子,或者至少是一个具有 root 访问权限的 VPS。您仍然可以付钱给某人来管理它(托管服务或其他),但您也可以检查托管服务提供商是否正在不时地完成他们的工作,而不是做一些狡猾的事情。
是的,根据您的评论,听起来他们试图掩盖他们的屁股,并在此过程中让您头疼。最好的长期解决方案是搬家,因为如果他们确实这样做,他们会降低您和您的客户数据的安全性。
如果您必须与服务提供商进行这种类型的交互,那么您将面临比 Windows Server 2003 SP1 更大的安全风险……更大的安全风险是安全提供商。
尽快解雇他们,然后找到另一个。