5 вещей, которые вы должны знать о тестировании проникновения PCI DSS

  1. Проверка на уязвимость в сравнении с тестом на проникновение
  2. Объем теста на проникновение
  3. Понимание результатов
  4. Используйте совместный подход
  5. PCI DSS - это только начало

Стандарт безопасности данных индустрии платежных карт ( PCI DSS) был введен для обеспечения минимальной степени безопасности при обработке информации о клиентских картах. Хотя стандарт существует уже более десяти лет, Проверка на проницаемость только недавно был официально включен в процесс. В сражении PCI DSS есть много чего, и в результате некоторые аспекты могут оказаться незаметными, особенно с учетом объема доступной информации и различных типов тестирования на проникновение.

Проверка на уязвимость в сравнении с тестом на проникновение

В документе PCI DSS 3.2 проводится различие между сканированием на уязвимости (требование 11.2) и тестом на проникновение (11.3), оба из которых требуются для соответствия PCI DSS.

Разница между ними проста: сканирование уязвимостей обычно полностью автоматизировано и обеспечивает минимальную проверку обнаруженных уязвимостей, в то время как тест на проникновение идет еще дальше и пытается использовать уязвимости с помощью ручных методов. Это не только удаляет ложные срабатывания на этапе автоматического сканирования теста, но также демонстрирует реальный риск для бизнеса и то, что хакер может достичь при нацеливании на системы компании. Убедитесь, что поставщик тестирования на проникновение включает в себя ручное тестирование и проверку, а не просто автоматическое сканирование.

Объем теста на проникновение

Тест должен включать периметр среды данных держателя карты (CDE) и любых систем, которые в случае компрометации могут повлиять на безопасность CDE. Чтобы система не попала в область тестирования на проникновение, она должна быть полностью отделена от CDE, чтобы в случае нарушения системы целостность CDE не пострадала.

Можно сократить объем теста, разделив вашу сеть, например, с помощью строгих правил брандмауэра. Хотя это не является обязательным, это снижает стоимость теста (так как тестов меньше) и имеет дополнительный бонус, который делает вашу сеть более безопасной в случае компрометации.

Следует отметить, что проверки должны выполняться (требование 11.3.4), чтобы подтвердить, что средства контроля сегментации эффективны, по крайней мере, раз в год (или шесть месяцев, если вы являетесь поставщиком услуг) и должны проводиться лицом, которое полностью отделен от реализации или управления CDE.

Понимание результатов

Результаты теста могут отличаться; однако, все уязвимости высокого риска (и выше) должны быть устранены как минимум, прежде чем систему можно будет считать соответствующей, либо путем полного смягчения, либо с помощью компенсирующих мер контроля. Рейтинги риска зависят от множества факторов, включая влияние, вероятность, простоту использования и отраслевой рейтинг (такой как CVSS).

Кроме того, существующие компенсирующие средства управления окажет влияние на снижение уровня риска. Некоторые проблемы, хотя в отчете о тестах на проникновение они обозначены как низкий риск, могут повлиять на отдельное требование PCI DSS и, следовательно, потребуют исправления, прежде чем может быть достигнуто соответствие.

Протокол испытаний должен рассматриваться как свидетельство так же, как и вся остальная документация, представляемая квалифицированному оценщику безопасности (QSA). Дополнительные доказательства, представленные вместе с отчетом, могут в некоторых случаях быть достаточными для смягчения обнаруженной уязвимости без необходимости внесения дополнительных изменений в инфраструктуру или код. В конечном счете, окончательное решение остается за QSA относительно того, должна ли компания быть сертифицирована или нет, и их задача - определить, имеется ли достаточная защита для смягчения уязвимости.

Используйте совместный подход

Сделайте провайдера тестирования на проникновение расширением вашей собственной команды, а не стороннего поставщика. Чем больше деталей может быть предоставлено тестеру на проникновение, тем больше значения можно получить из теста. Мало того, что тест будет лучше определен, что может привести к снижению затрат, но результаты будут еще более точными.

Предоставление документации по системам или потоку данных о держателях карт или список ожидаемых услуг, которые должны быть доступны, позволяет группе тестирования контекстуализировать уязвимости и сосредоточиться на областях, где могут существовать серьезные проблемы. Этот подход чаще называют «тестированием белого ящика» и заменяет традиционную концепцию «черного ящика», когда злоумышленник не знает, какие системы должны быть нацелены. Этот метод также гарантирует, что ключевые области проверены полностью, и ничего важного не пропущено в ограниченном по времени окне тестирования.

PCI DSS - это только начало

PCI DSS следует рассматривать как минимальный уровень безопасности, который не охватывает все аспекты кибербезопасности.

Основное внимание уделяется защите данных держателей карт, и, следовательно, оно не охватывает несвязанные векторы атак, которые могут быть использованы для нанесения ущерба репутации и финансам или для взлома вашей компании. Например, тестирование PCI DSS не требует проверки каждого сервера, которым вы владеете, только те, которые связаны с данными о держателях карт. Если остальные серверы не протестированы, это может привести к уязвимости в вашей сети.

Поэтому вам следует сменить подход с простой попытки получить аккредитацию PCI DSS, обеспечить максимально возможную защиту систем и затем добиться соответствия в качестве побочного продукта.

Об авторе:   Алек Ауэр   уже несколько лет является тестером проникновения в First Base Technologies и проводит различные виды тестирования на проникновение и соответствие, в том числе веб-приложения и внутреннюю инфраструктуру, фишинг электронной почты и Cyber ​​Essentials Об авторе: Алек Ауэр уже несколько лет является тестером проникновения в First Base Technologies и проводит различные виды тестирования на проникновение и соответствие, в том числе веб-приложения и внутреннюю инфраструктуру, фишинг электронной почты и Cyber ​​Essentials. Он также получил квалификацию сертифицированного специалиста Offensive Security (OSCP) и является зарегистрированным тестером CREST.

Примечание редактора . Мнения, высказанные в этой статье гостя-автора, принадлежат исключительно авторам и не обязательно отражают точку зрения Tripwire, Inc.

Новости

Лучшие костюмы для охоты, рыбалки и туризма — 100450 просмотров
Отдых на свежем воздухе особенно хорош тогда, когда проводишь его комфортно. Поэтому и начинающему, и опытному охотнику, рыболову, туристу нужен качественный, надежный и удобный костюм. При выборе

Балансиры на судака
Зимняя рыбалка на судака – увлекательное занятие. Раньше клыкастого ловили вертикальным блеснением на специальные судачьи блесны. С недавнего времени стали использовать балансиры для судака . Эти новые

Балансиры на Щуку и Окуня: Как выбрать, как ловить на балансир и основные ошибки при ловле на балансир
Балансир – это одна из самых популярных приманок, применяемых для ловли щуки зимой. Как известно, щука охотится в одиночку (в отличие от стаи окуней), поэтому методы, которые позволят нам определить

Зимняя обувь для рыбалки
Мы уже писали о зимней обуви о рыбалке на нашем сайте. Теперь предлагаем вам продолжение обзора обуви.  Начало статьи вы можете прочитать здесь " Обувь для зимней рыбалки ". Очень будем рады. если наш

Выбор зимней палатки для рыбалки
   Палатка для зимней рыбалки – вещь крайне необходимая. Она защищает от непогоды, а в морозы сохраняет тепло, что особенно важно для тех, кто живет в местности с суровой погодой, в любом случае палатка

10 лучших эхолотов
Как вовремя обнаружить косяк Автор: Василий Зуев, Сергей Щетько С появлением рыболовецких эхолотов процесс сидения на берегу или в лодке с удочкой значительно упростился. Теперь вы точно

На что, как ловить окуня зимой: зимние приманки, тонкости ловли
Окунь – рыба, которая в зимний период  наиболее активна, чем несказанно радует любителей подледного лова, «спасая» их даже в самую не клевую погоду. Часто рыболовы называют окуня «палочкой-выручалочкой»-

Выбор палатки для зимней рыбалки
Выбор палатки для зимней рыбалки Водяной Дата: Суббота, 23.01.2010, 21:27 | Сообщение # 1 Сергей Группа: Совет Клуба Сообщений: 3120 Награды: 44 Статус: На рыбалке

Уловистые мормышки и секреты ловли зимой
Рыболовство не только вид хозяйственной деятельности, но и хорошая возможность отдохнуть на природе. Активный отдых, не имеющий временных ограничений, может проводиться не только летом, но и зимой, однако,

Обувь для зимней рыбалки и охоты выбор,описание,модели,отзывы
Нежданов М.   Столкнувшись в зимы 2009-10 и 2010-11 годов с очень неприятными с начала ледостава ледово-снежными условиями, мягко выражаясь - нестандартными, а по большому счету - просто чрезвычайными,

Карта