5 вещей, которые вы должны знать о тестировании проникновения PCI DSS

  1. Проверка на уязвимость в сравнении с тестом на проникновение
  2. Объем теста на проникновение
  3. Понимание результатов
  4. Используйте совместный подход
  5. PCI DSS - это только начало

Стандарт безопасности данных индустрии платежных карт ( PCI DSS) был введен для обеспечения минимальной степени безопасности при обработке информации о клиентских картах. Хотя стандарт существует уже более десяти лет, Проверка на проницаемость только недавно был официально включен в процесс. В сражении PCI DSS есть много чего, и в результате некоторые аспекты могут оказаться незаметными, особенно с учетом объема доступной информации и различных типов тестирования на проникновение.

Проверка на уязвимость в сравнении с тестом на проникновение

В документе PCI DSS 3.2 проводится различие между сканированием на уязвимости (требование 11.2) и тестом на проникновение (11.3), оба из которых требуются для соответствия PCI DSS.

Разница между ними проста: сканирование уязвимостей обычно полностью автоматизировано и обеспечивает минимальную проверку обнаруженных уязвимостей, в то время как тест на проникновение идет еще дальше и пытается использовать уязвимости с помощью ручных методов. Это не только удаляет ложные срабатывания на этапе автоматического сканирования теста, но также демонстрирует реальный риск для бизнеса и то, что хакер может достичь при нацеливании на системы компании. Убедитесь, что поставщик тестирования на проникновение включает в себя ручное тестирование и проверку, а не просто автоматическое сканирование.

Объем теста на проникновение

Тест должен включать периметр среды данных держателя карты (CDE) и любых систем, которые в случае компрометации могут повлиять на безопасность CDE. Чтобы система не попала в область тестирования на проникновение, она должна быть полностью отделена от CDE, чтобы в случае нарушения системы целостность CDE не пострадала.

Можно сократить объем теста, разделив вашу сеть, например, с помощью строгих правил брандмауэра. Хотя это не является обязательным, это снижает стоимость теста (так как тестов меньше) и имеет дополнительный бонус, который делает вашу сеть более безопасной в случае компрометации.

Следует отметить, что проверки должны выполняться (требование 11.3.4), чтобы подтвердить, что средства контроля сегментации эффективны, по крайней мере, раз в год (или шесть месяцев, если вы являетесь поставщиком услуг) и должны проводиться лицом, которое полностью отделен от реализации или управления CDE.

Понимание результатов

Результаты теста могут отличаться; однако, все уязвимости высокого риска (и выше) должны быть устранены как минимум, прежде чем систему можно будет считать соответствующей, либо путем полного смягчения, либо с помощью компенсирующих мер контроля. Рейтинги риска зависят от множества факторов, включая влияние, вероятность, простоту использования и отраслевой рейтинг (такой как CVSS).

Кроме того, существующие компенсирующие средства управления окажет влияние на снижение уровня риска. Некоторые проблемы, хотя в отчете о тестах на проникновение они обозначены как низкий риск, могут повлиять на отдельное требование PCI DSS и, следовательно, потребуют исправления, прежде чем может быть достигнуто соответствие.

Протокол испытаний должен рассматриваться как свидетельство так же, как и вся остальная документация, представляемая квалифицированному оценщику безопасности (QSA). Дополнительные доказательства, представленные вместе с отчетом, могут в некоторых случаях быть достаточными для смягчения обнаруженной уязвимости без необходимости внесения дополнительных изменений в инфраструктуру или код. В конечном счете, окончательное решение остается за QSA относительно того, должна ли компания быть сертифицирована или нет, и их задача - определить, имеется ли достаточная защита для смягчения уязвимости.

Используйте совместный подход

Сделайте провайдера тестирования на проникновение расширением вашей собственной команды, а не стороннего поставщика. Чем больше деталей может быть предоставлено тестеру на проникновение, тем больше значения можно получить из теста. Мало того, что тест будет лучше определен, что может привести к снижению затрат, но результаты будут еще более точными.

Предоставление документации по системам или потоку данных о держателях карт или список ожидаемых услуг, которые должны быть доступны, позволяет группе тестирования контекстуализировать уязвимости и сосредоточиться на областях, где могут существовать серьезные проблемы. Этот подход чаще называют «тестированием белого ящика» и заменяет традиционную концепцию «черного ящика», когда злоумышленник не знает, какие системы должны быть нацелены. Этот метод также гарантирует, что ключевые области проверены полностью, и ничего важного не пропущено в ограниченном по времени окне тестирования.

PCI DSS - это только начало

PCI DSS следует рассматривать как минимальный уровень безопасности, который не охватывает все аспекты кибербезопасности.

Основное внимание уделяется защите данных держателей карт, и, следовательно, оно не охватывает несвязанные векторы атак, которые могут быть использованы для нанесения ущерба репутации и финансам или для взлома вашей компании. Например, тестирование PCI DSS не требует проверки каждого сервера, которым вы владеете, только те, которые связаны с данными о держателях карт. Если остальные серверы не протестированы, это может привести к уязвимости в вашей сети.

Поэтому вам следует сменить подход с простой попытки получить аккредитацию PCI DSS, обеспечить максимально возможную защиту систем и затем добиться соответствия в качестве побочного продукта.

Об авторе:   Алек Ауэр   уже несколько лет является тестером проникновения в First Base Technologies и проводит различные виды тестирования на проникновение и соответствие, в том числе веб-приложения и внутреннюю инфраструктуру, фишинг электронной почты и Cyber ​​Essentials Об авторе: Алек Ауэр уже несколько лет является тестером проникновения в First Base Technologies и проводит различные виды тестирования на проникновение и соответствие, в том числе веб-приложения и внутреннюю инфраструктуру, фишинг электронной почты и Cyber ​​Essentials. Он также получил квалификацию сертифицированного специалиста Offensive Security (OSCP) и является зарегистрированным тестером CREST.

Примечание редактора . Мнения, высказанные в этой статье гостя-автора, принадлежат исключительно авторам и не обязательно отражают точку зрения Tripwire, Inc.

Похожие

Эти проблемы должны решить Homebell, чтобы убедить Индекс
... на достичь платформа для рисования Homebell в своей бизнес-модели? от приобретающего Top-Investor Index быть профинансированным? Цифровой компакт решается заглянуть в пороги бизнес-модели. С одной стороны, существует проблема противного отбора (мастера перебивают друг друга), которой уже является MyHammer.
Как исправить ПК, застрявший на «Не выключать» во время обновлений Windows
Сообщение «Готовимся к Windows, не выключайте компьютер» появляется во время установки обновлений Windows. Обычно Windows завершит процесс установки, если вы дадите ей время, но, если прошло несколько часов, вам может потребоваться просто перезагрузить компьютер.
Плеер наушников с ЦАПом и усилителем - вы услышите каждого оппонента!
Добавлено: 1 год назад оценка: (3) (0) На польском рынке появились новые наушники от всемирно известного производителя. Дизайн предназначен для игроков, но продукт также может понравиться любителям высококачественного звука. Сегодня была представлена ​​новая гарнитура для игроков от ASUS
Как использовать видео фон на вашем сайте
Интересно, на что ты смотришь? Источник: 11coffee.co.uk Бьюсь об заклад, ваше внимание автоматически настраивается на видео фон, верно? Почти невозможно игнорировать это, поскольку это движется . С тобой все в порядке - это просто человеческая природа и то, как мы подсознательно решаем, на что обратить наше внимание. Мы легко отвлекаемся на
Как найти выгодную нишу продуктов Amazon за 4 шага
Знаешь ты? Вы находите, казалось бы, хороший партнерский продукт Amazon и создаете одну нишу за страницей, но в конце месяца все эти сайты действительно не зарабатывают много денег вместе? Что такое $
... на этой странице. Условия эксплуатации , Почти единодушный Верховный суд заявил Lexmark, что не может испол...
... на этой странице. Условия эксплуатации , Почти единодушный Верховный суд заявил Lexmark, что не может использовать патентный закон, чтобы запретить покупателям картриджей делать то, что они хотят с картриджами, включая заправку или даже продажу их производителям картриджей. По мнению шефа Джона Робертса, «Lexmark исчерпала свои патентные права» после продажи картриджа. За этим делом пристально следили не
IBM Watson Cognitive Computing
IBM Watson - это платформа, которая представляет новую эру вычислений, основанную на ее способности взаимодействовать на естественном языке, обрабатывать огромное количество разнородных форм больших данных и извлекать уроки из каждого взаимодействия. Он способен анализировать и понимать огромные объемы больших данных с беспрецедентной скоростью, чтобы помочь профессионалам быстро и легко понять данные, увеличивая при этом знания и увеличивая ценность с течением времени. IBM Watson - это не
Навигация по Google Maps теперь будет полезна не только днем, но и ночью
Карты Google уже давно успешно используются водителями. Однако до сих пор было невозможно рассматривать это приложение как полноценную GPS-навигацию. Речь идет не о необходимости постоянного подключения к интернету, чтобы использовать все функции программы. Карты Google - один из лучших сервисов цифрового картографирования, которые вы можете найти. Американская компания развивает свой сервис в течение многих лет. Мало того, что у нас
Лучший бесплатный видео конвертер без водяных знаков
"Я пытался много бесплатный видео конвертер, и все они баннера в водяной знак, или какие-либо бесплатный видео конвертер вне там не имеющих водяной знак баннер ?!" -Кристин от Yahoo ответы Это природа, что большой много бесплатный видео конвертер на рынке есть водяной знак или время ограничения. Однако, Wondershare бесплатный конвертер видео (
Полный список команд Alexa на данный момент
Динамики Amazon (L to R) Tap, Echo и Echo Dot делают так много с помощником Alexa. Тайлер Лизенби / CNET Амазонки голосовой помощник Алекса проникает в ваш дом, на пляжные поездки и даже ваша поездка на работу , Теперь, когда есть много способов взаимодействия с Alexa -
Windows XP: что ожидать, когда Microsoft отключит поддержку
... надцать с половиной лет после того, как Windows XP впервые поступила в продажу, Microsoft отключила поддержку операционной системы. С 8 апреля больше не будет бесплатных обновлений или исправлений безопасности. Нет ничего нового в том, что программное обеспечение подходит к концу своей коммерческой жизни. Но проблема с Windows XP состоит в том, что он все еще рассчитан на запуск между

Комментарии

Как вы думаете, это отличная идея, но вы не знаете, как это сделать?
Как вы думаете, это отличная идея, но вы не знаете, как это сделать? Ну, но не волнуйтесь, я могу объяснить, как активировать Bluetooth для Windows 7 . Очень вероятно, что в этот момент вы будете встревожены, вы будете думать, что активировать Bluetooth Windows 7 слишком сложно для вас и что, возможно, было бы лучше отпустить его, но, поверьте мне, все совсем не так. Вопреки видимости, активировать Bluetooth в Windows 7 довольно просто, и не обязательно быть Биллом Гейтсом,
Это вызовет проблемы с вашим компьютером?
Это вызовет проблемы с вашим компьютером? Чтобы выяснить, что именно происходит, мы провели несколько тестов. Сначала мы сказали Windows установить стандартное обновление из Центра обновления Windows. Мы принудительно перезагружали наш ПК, пока «Готовилась Windows. Не выключайте компьютер », на экране появилось сообщение. ПК перезагрузился, и мы быстро увидели обычный экран входа. После того, как мы вошли в систему, Windows показала уведомление «Мы не смогли завершить
Это тот, который продает больше всего, или это тот, который предлагает больше шаблонов?
Это тот, который продает больше всего, или это тот, который предлагает больше шаблонов? Или может быть тот, который имеет отличную техническую поддержку? Или, может быть, вы просто субъективно выбираете тот, который предлагает шаблоны, которые нравятся вам? Ведь у каждого из нас могут быть разные вкусы! Поэтому я не смею четко указывать сайт, который предлагает лучшие шаблоны. Я могу только предложить вам несколько критериев, которыми я руководствуюсь
Вы готовы?
Что вы упускаете из Windows или Mac, когда используете Ubuntu? Поделитесь своими идеями в комментариях ниже!
Так почему вы должны заботиться об этом?
Так почему вы должны заботиться об этом? Что ж, похоже, он предлагает очень хорошую защиту, согласно последней информации от AV-Test и AV-Comparatives. Несмотря на то, что в последнем отчете AV-Test семь приложений вошли в «верхнюю группу», Kaspersky и F-Secure были идеальными. Еще одной важной особенностью является родительский контроль приложения. Вы можете черный список веб-сайтов или использовать предварительно определенные веб-фильтрации содержимого, которое блокирует сайты,
», Где мы будем указывать «Google Maps JavaScript API», а во-вторых, «Где вы будете называть API?
», Где мы будем указывать «Google Maps JavaScript API», а во-вторых, «Где вы будете называть API?». В нашем случае для отображения карты в Интернете будет выбрана опция «Веб-браузер (JavaScript)». ».
Для больше на восстановлении, проверьте что делать, если вы забыли свой пароль iPhone Забыли пароль iPhone или iPad?
Как узнать, каким почтовым клиентам для Mac вы можете доверять в личной и деловой переписке? Наш список 10 лучших почтовых клиентов для Mac здесь, чтобы помочь вам. Mac Email Recovery Прежде чем мы перейдем к нашему списку и расскажем вам, какое приложение электронной почты лучше для Mac, мы хотим сказать несколько слов о восстановлении электронной почты. Возможно, из-за огромного количества спама, который средний пользователь компьютера
Знаете ли вы?
Знаете ли вы? Бесплатные домены включены в планы хостинга сайтов Премиум и Бизнес более 12 месяцев! Попробуйте в течение 30 дней или верните свои деньги Если вы не удовлетворены хостингом на 100%, мы вернем вам деньги. Нет бюрократии, нет риска. Узнать больше Мы - и наши партнеры - используем файлы cookie,
Это безопасно?
Это безопасно? Это безопасно? Вы будете удивлены этими ответами. Прочитайте больше для шифрования вашей веб-активности. Расширения браузера - это еще одно разделение между вашим компьютером и вредоносными загрузками с компьютера.
Как узнать, каким почтовым клиентам для Mac вы можете доверять в личной и деловой переписке?
Как узнать, каким почтовым клиентам для Mac вы можете доверять в личной и деловой переписке? Наш список 10 лучших почтовых клиентов для Mac здесь, чтобы помочь вам. Mac Email Recovery Прежде чем мы перейдем к нашему списку и расскажем вам, какое приложение электронной почты лучше для Mac, мы хотим сказать несколько слов о восстановлении электронной почты. Возможно, из-за огромного количества спама, который средний пользователь компьютера
Нужна дополнительная помощь, чтобы решить, являетесь ли вы студентом ACT или SAT?
Нужна дополнительная помощь, чтобы решить, являетесь ли вы студентом ACT или SAT? Дайте нам знать об этом в комментариях! Эта статья была написана Кристин Фраккья, резидентом ACT / SAT в Magoosh , Показать больше

На достичь платформа для рисования Homebell в своей бизнес-модели?
От приобретающего Top-Investor Index быть профинансированным?
Uk Бьюсь об заклад, ваше внимание автоматически настраивается на видео фон, верно?
Вы находите, казалось бы, хороший партнерский продукт Amazon и создаете одну нишу за страницей, но в конце месяца все эти сайты действительно не зарабатывают много денег вместе?
Как вы думаете, это отличная идея, но вы не знаете, как это сделать?
Это вызовет проблемы с вашим компьютером?
Это тот, который продает больше всего, или это тот, который предлагает больше шаблонов?
Или может быть тот, который имеет отличную техническую поддержку?
Или, может быть, вы просто субъективно выбираете тот, который предлагает шаблоны, которые нравятся вам?
Что вы упускаете из Windows или Mac, когда используете Ubuntu?

Новости

Карта