学习成为一名ASV，需要一些指导。

Question

我已经完成了在线培训/考试，成为我的公司的ASV (核准扫描供应商)。

我们目前有Nessus作为我们的平台，我不觉得它的能力太好。一位同事告诉我，Nessus将以PCI批准的格式为用户打印最终报告。我一直在打我的实验室，报告看上去离它很远，这很好，只是意味着大量的打字。

是否有更好的工具可供ASV使用？如果是的话，您使用的是什么工具？是否有一个模板可以用来为客户创建报告(甚至一个word文档也会有帮助)？我有附录从ASV手册，但这是一个PDF从PCI网站，所以它没有可编辑的领域。

我还希望看到一个有多个IP地址的报告示例，因为来自在线培训的示例只有两个系统(这非常适合于附录B中的一页，但如果有大量IP呢？)

Answer 1

你错过了ASV的概念。这不是关于工具，而是关于结果。ASV的目标不是执行全面的广泛渗透测试，而是寻找常见的问题(已知的CVEs)。11.2.2 (PCI)的核心是：(复制自Qualys)

Your documented PCI scope (cardholder dataenvironment)
Your documented risk ranking process
Your scanning tools
Your scan reports

当涉及到扫描工具时，它们或多或少都在寻找并实现相同的目标：“分析一个系统，确定它是什么(操作系统)，确定正在运行的服务(版本号)，然后确定这些版本是否属于已知的漏洞(通过CVE编号)。大多数这些工具的目的是得到一个即时的评估。这将与您记录的风险过程/策略相结合/关联。例如，在我接受的许多环境中，心脏出血/贵宾犬仍然很普遍。有些无法修复，因此设置了补偿控件。这些控制记录，解释，测试，并可以通过任何审计。

工具是工具，工具是工具。在满足要求方面，没有人比其他人更好。因此，虽然你可能对一个工具的真实结果感到不安，但这并不是你对一个工具的感觉/想法。这一切归结为获得PCI的批准来进行扫描的工具。至于站点的安全性(真实世界的安全)，这是PCI的一个完全不同的部分(11.3)。