Какое лучшее решение для соответствия PCI-DSS?

Каждый раз, когда я вижу брошенный термин "CMDB", мой детектор bs активируется.

Согласно видео с примером использования RSA, решение enVision будет:

1. Волшебным образом «откройте» свою ИТ-среду, опираясь на свою CMDB. Конечно.
2. Волшебным образом получайте сообщения от вашего сканера уязвимостей, что эксплуатирует ваш сервер уязвим для
3. Обработайте журналы IDS и волшебным образом сопоставьте атаки с уязвимостями, указанными на шагах 1 и 2.

Не зная ничего о enVision, кроме того, что было представлено в этом видео, я прихожу к выводу, что это поддельное корпоративное программное обеспечение, которое обычно продается ИТ-директорам, которые находятся в середине проектов ITIL, и остается на полке в 90% случаев. Зачем?

• CMDB - великий белый кит первосвященников ITIL. Какую бы базу данных вы ни использовали, я уверен, что это не CMDB.
• После того, как вы потратили несколько лет на выяснение того, что RSA определяет как CMDB, как этот инструмент на самом деле что-нибудь найдет? (A: Вы собираетесь написать много скриптов и много работать. Или нанять много консультантов RSA)
• Как вы соотносите то, что сообщает ваш сканер уязвимостей, с дерьмом от вашей CMDB? (A: Вы собираетесь написать много скриптов и много работать. Или нанять много консультантов RSA)
• Как вы затем автоматически коррелируете атаки с уязвимостями, которые, в свою очередь, были связаны с хламом из вашей CMDB? (A: Вы сдаетесь до этого этапа.)

Слишком много движущихся частей ... если предположить, что продукт может работать, ресурсы, необходимые для этого, вероятно, превышают затраты на то, чтобы кто-то сидел за столом и смотрел на вывод системного журнала 24 часа в сутки.

К сожалению, лучшее решение для соответствия PCI-DSS - просто не обрабатывать данные карты самостоятельно.