Psi prasības. Pentest noteikumi: PCI DSS audits. PCI DSS prasības

17.11.2021

Pēdējā laikā Visa un MasterCard arvien vairāk pieprasa PCI DSS atbilstību no maksājumu vārtejām, ar tiem saistītajiem tirgotājiem un pakalpojumu sniedzējiem, kas var ietekmēt karšu datu drošību. Šajā sakarā jautājums par atbilstību PCI DSS standartam kļūst aktuāls ne tikai lielajiem maksājumu karšu nozares spēlētājiem, bet arī mazajiem komersantiem. Šajā rakstā mēs atbildēsim uz galvenajiem jautājumiem, kas attiecas uz organizācijām, kuras saskaras ar sertifikācijas uzdevumu saskaņā ar PCI DSS standartu.

PCI DSS FAQ tiem, kurus interesē sertifikācija

# Kas ir saderīgi ar PCI DSS?

Pirmkārt, standarts nosaka prasības organizācijām, kuru informācijas infrastruktūrā tiek glabāti, apstrādāti vai pārsūtīti maksājumu karšu dati, kā arī organizācijām, kuras var ietekmēt šo datu drošību. Standarta mērķis ir diezgan acīmredzams – nodrošināt maksājumu karšu aprites drošību. Kopš 2012. gada vidus visām organizācijām, kas iesaistītas WPC uzglabāšanā, apstrādē un pārsūtīšanā, ir jāievēro PCI DSS prasības, un Krievijas Federācijas uzņēmumi nav izņēmums.

Lai saprastu, vai uz jūsu organizāciju attiecas obligāta PCI DSS atbilstība, iesakām izmantot vienkāršu blokshēmu.

1. attēls. PCI DSS atbilstības nepieciešamības noteikšana

Pirmais solis ir atbildēt uz diviem jautājumiem:

Vai jūsu organizācijā tiek glabāti, apstrādāti vai pārsūtīti maksājumu karšu dati?
Vai jūsu organizācijas biznesa procesi var tieši ietekmēt maksājumu karšu datu drošību?

Ja atbildes uz abiem šiem jautājumiem ir negatīvas, PCI DSS sertifikācija nav nepieciešama. Vismaz vienas pozitīvas atbildes gadījumā, kā redzams 1. attēlā, atbilstība standartam ir nepieciešama.

# Kādas ir PCI DSS prasības?

Lai nodrošinātu atbilstību standartam, ir jāizpilda prasības, kuras plaši atspoguļo tālāk esošajā tabulā redzamās divpadsmit sadaļas.

1. tabula. PCI DSS augsta līmeņa prasības

Ja mēs iedziļināmies nedaudz dziļāk, standarts prasa veikt aptuveni 440 pārbaudes procedūras, kurām vajadzētu dot pozitīvu rezultātu, pārbaudot atbilstību prasībām.

# Kā var pārbaudīt PCI DSS atbilstību?

Ir dažādi veidi, kā apstiprināt atbilstību PCI DSS prasībām, tostarp vadīšana organizācijas ārējais audits (QSA), iekšējais audits (ISA) vai pašnovērtējums (SAQ). Katra no tām iezīmes ir ilustrētas tabulā.

2. tabula. PCI DSS standarta atbilstības apstiprināšanas metodes

Ārējā audita QSA (kvalificēts drošības novērtētājs)	Iekšējais ISA audits (Iekšējās drošības vērtētājs)	Pašnovērtējums SAQ (Pašnovērtējuma anketa)
Izpildīts ārējā audita organizācija QSA sertificējusi PCI SSС padome.	Izpildīts iekšējais apmācīts un sertificēts saskaņā ar PCI SSC programmu auditors.Var veikt tikai tad, ja primārā atbilstība ir apstiprināta ar QSA auditu.	Izpildīts paša spēkiem aizpildot pašnovērtējuma lapu.
Pārbaudes rezultātā QSA auditori savākt izpildes pierādījums	Pārbaudes rezultātā ISA auditori, tāpat kā ar ārējo auditu, savāc izpildes pierādījums standarta prasībām un glabā tās trīs gadus.	Pierādījumu vākšana atbilst standarta prasībām nav nepieciešams.
Pamatojoties uz audita rezultātiem tiek gatavots atbilstības ziņojums- ROC(Ziņojums par atbilstību).	Pašaizpildīts SAQ pašnovērtējuma lapa.

Neskatoties uz piedāvāto metožu šķietamo vienkāršību, klienti nereti saskaras ar pārpratumiem un grūtībām, izvēloties piemērotu metodi. Piemērs tam ir tālāk norādītās jaunās problēmas.

# Kādā situācijā ir nepieciešams veikt ārējo auditu un kādā- interjers? Vai arī pietiek tikai aprobežoties ar organizācijas pašvērtējumu?

Atbildes uz šiem jautājumiem ir atkarīgas no organizācijas veida un gadā apstrādāto darījumu skaita. Nav iespējams vadīties pēc nejaušības principa, jo ir dokumentēti noteikumi, kas nosaka, kādu veidu organizācija izmantos, lai apstiprinātu atbilstību standartam. Visas šīs prasības nosaka starptautiskās maksājumu sistēmas, no kurām populārākās Krievijā ir Visa un MasterCard. Pastāv pat klasifikācija, pēc kuras izšķir divu veidu organizācijas: tirdzniecības un pakalpojumu uzņēmumi (komersanti) un pakalpojumu sniedzēji.

Atkarībā no gadā apstrādāto darījumu skaita tirgotājus un pakalpojumu sniedzējus var iedalīt dažādos līmeņos.

Pieņemsim, ka tirgotājs, izmantojot e-komerciju, apstrādā līdz 1 miljonam darījumu gadā. Saskaņā ar Visa un MasterCard klasifikāciju (2. att.) organizācija piederēs 3. līmenim. Tāpēc, lai apstiprinātu atbilstību PCI DSS, ir nepieciešams reizi ceturksnī veikt ārēju informācijas infrastruktūras komponentu ASV (Approved Scanning Vendor) ievainojamību skenēšanu. ) un ikgadēju SAQ pašnovērtējumu. Šajā gadījumā organizācijai nav jāvāc atbilstības pierādījumi, jo pašreizējam līmenim tas nav nepieciešams. Aizpildītā SAQ pašnovērtējuma lapa kalpos kā atskaites dokuments.

Vai arī apsveriet piemēru ar mākoņpakalpojumu sniedzēju, kas apstrādā vairāk nekā 300 000 darījumu gadā. Saskaņā ar izveidoto Visa vai MasterCard klasifikāciju pakalpojumu sniedzējs piederēs 1. līmenim. Tātad, kā norādīts 2. attēlā, ir nepieciešams reizi ceturksnī veikt ASV informācijas infrastruktūras komponentu ievainojamību ārējo skenēšanu, kā arī ārējais ikgadējais QSA audits.

2.attēls Līmeņu klasifikācija un prasības atbilstības PCI DSS standartam apstiprināšanai

# Vai vienreizējs ASV skenēšanas laika skalas pārkāpums rada nopietnu PCI DSS atbilstības risku?

Organizācijai, kas sertificēta kā PCI DSS, regulāri jāatbilst vairākām prasībām, piemēram, reizi ceturksnī jāveic ASV skenēšana. Sākotnējā audita laikā pietiek ar dokumentētu ASV skenēšanas procedūru un vismaz vienas veiksmīgas tās izpildes rezultātiem pēdējo trīs mēnešu laikā. Visas turpmākās skenēšanas jāveic reizi ceturksnī, laika posms nedrīkst pārsniegt trīs mēnešus.
Ārējās ievainojamības skenēšanas grafika pārkāpšana nozīmē papildu prasību uzlikšanu informācijas drošības pārvaldības sistēmai organizācijā. Pirmkārt, joprojām būs jāveic ASV ievainojamību skenēšana, lai iegūtu "zaļo" ziņojumu. Un, otrkārt, būs jāizstrādā papildu kārtība, kas turpmāk nepieļaus šādus grafika pārkāpumus.

Beidzot

Galvenos secinājumus var izteikt citātā no Pētera Šapovalova, Deuteriy LLC informācijas drošības inženiera:

“Neskatoties uz to, ka Krievijas Federācijas teritorijā jau ir sākusi darboties sava Nacionālā maksājumu karšu sistēma (NSPK), starptautisko maksājumu sistēmu prasības nav atceltas. Tieši otrādi, pēdējā laikā no Visa un MasterCard arvien vairāk vēstuļu pieņēmējbankām, ka pēdējās pieprasa PCI DSS standarta ievērošanu no maksājumu vārtejām, ar tiem pieslēgtajiem tirgotājiem, kā arī no pakalpojumu sniedzējiem, kas var ietekmēt karšu datu drošību. ... Šajā sakarā jautājums par atbilstību PCI DSS standartam kļūst aktuāls ne tikai lielajiem maksājumu karšu nozares spēlētājiem, bet arī mazajiem komersantiem.
Pārvaldīto pakalpojumu pakalpojums šobrīd ir aktuāls Krievijas tirgum. Tas sastāv no tā, ka pakalpojumu sniedzējs klientiem nodrošina ne tikai aprīkojuma vai virtuālās informācijas infrastruktūras nomu, bet arī savus administrēšanas pakalpojumus atbilstoši PCI DSS standarta prasībām. Tas ir īpaši noderīgi maziem tirdzniecības un pakalpojumu uzņēmumiem, kuriem nav savu informācijas tehnoloģiju un informācijas drošības nodaļu. Sazināšanās ar sertificētiem pakalpojumu sniedzējiem palīdz ievērojami vienkāršot PCI DSS sertifikācijas procesu tirgotājiem un nodrošināt maksājumu karšu datu aizsardzību atbilstošā līmenī.

Kā piemēru var minēt uzņēmumu, kas sniedz pakalpojumus pārvaldītiem PCI DSS pakalpojumiem (ne tikai iznomā PCI DSS infrastruktūru, bet arī administrē to atbilstoši standarta prasībām).

PCI DSS standarts izstrādāja Maksājumu karšu nozares drošības standartu padome (PCI SSC), kuru izveidoja starptautiskās maksājumu sistēmas Visa, MasterCard, American Express, JCB, Discover. Standarts regulē iepriekš noteiktu prasību sarakstu gan no tehniskās, gan organizatoriskās puses, paredzot integrētu pieeju ar augstu precizitātes pakāpi maksājumu karšu datu (WPC) drošības nodrošināšanai.

# Kas ir saderīgi ar PCI DSS?

Lai saprastu, vai uz jūsu organizāciju attiecas obligāta PCI DSS atbilstība, iesakām izmantot vienkāršu blokshēmu.

1. attēls. PCI DSS atbilstības nepieciešamības noteikšana

Pirmais solis ir atbildēt uz diviem jautājumiem:

Vai jūsu organizācijā tiek glabāti, apstrādāti vai pārsūtīti maksājumu karšu dati?
Vai jūsu organizācijas biznesa procesi var tieši ietekmēt maksājumu karšu datu drošību?

# Kādas ir PCI DSS prasības?

Lai nodrošinātu atbilstību standartam, ir jāizpilda prasības, kuras plaši atspoguļo tālāk esošajā tabulā redzamās divpadsmit sadaļas.

1. tabula. PCI DSS augsta līmeņa prasības

Ja mēs iedziļināmies nedaudz dziļāk, standarts prasa veikt aptuveni 440 pārbaudes procedūras, kurām vajadzētu dot pozitīvu rezultātu, pārbaudot atbilstību prasībām.

# Kā var pārbaudīt PCI DSS atbilstību?

Ir dažādi veidi, kā apstiprināt atbilstību PCI DSS prasībām, tostarp vadīšana ārējais audits (QSA), organizācijas iekšējais audits (ISA) vai pašnovērtējums (SAQ). Katra no tām iezīmes ir ilustrētas tabulā.

2. tabula. PCI DSS standarta atbilstības apstiprināšanas metodes

Ārējā audita QSA (kvalificēts drošības novērtētājs)	Iekšējais ISA audits (Iekšējās drošības vērtētājs)	Pašnovērtējums SAQ (Pašnovērtējuma anketa)
Izpildīts ārējā audita organizācijaQSA sertificējusi PCI SSС padome.	Izpildīts iekšējais apmācīts un sertificēts saskaņā ar PCI SSC programmu auditors.Var veikt tikai tad, ja primārā atbilstība ir apstiprināta ar QSA auditu.	Izpildīts paša spēkiem aizpildot pašnovērtējuma lapu.
Pārbaudes rezultātā QSA- auditori savākt izpildes pierādījums	Pārbaudes rezultātā IR- auditori, tāpat kā ar ārējo auditu, savāc izpildes pierādījums standarta prasībām un glabā tās trīs gadus.	Pierādījumu vākšana atbilst standarta prasībām nav nepieciešams.
Pamatojoties uz audita rezultātiem tiek gatavots atbilstības ziņojums— ROC(Ziņojums par atbilstību).		Pašaizpildīts pašnovērtējuma lapaSAQ.

# Kādā situācijā ir jāveic ārējais audits, un kādā - iekšējais? Vai arī pietiek tikai aprobežoties ar organizācijas pašvērtējumu?

komercija- apkalpošanauzņēmums Ir organizācija, kas pieņem maksājumu kartes norēķiniem par precēm un pakalpojumiem (veikali, restorāni, interneta veikali, degvielas uzpildes stacijas utt.).

Operators- organizācija, kas sniedz pakalpojumus maksājumu karšu nozarē, kas saistīti ar maksājumu darījumu apstrādi (datu centri, hostinga pakalpojumu sniedzēji, maksājumu vārtejas, starptautiskās maksājumu sistēmas utt.).

Atkarībā no gadā apstrādāto darījumu skaita tirgotājus un pakalpojumu sniedzējus var iedalīt dažādos līmeņos.

ASV Scan (apstiprināts skenēšanas piegādātājs)- visu informācijas infrastruktūras pieslēguma internetam punktu automatizēta pārbaude, lai identificētu ievainojamības. PCI DSS pieprasa, lai tas būtu jādara reizi ceturksnī.

Jāpiebilst, ka banka, kas piedalās maksājumu karšu pieņemšanas procesā norēķiniem par precēm vai pakalpojumiem, t.s. iegūstošā banka, kā arī starptautiskās maksājumu sistēmas (MPS) var ignorēt līmeni pieslēgtais tirgotājs vai pakalpojumu sniedzējs izmantoja saskaņā ar savu riska novērtējumu. Piešķirtais līmenis būs prioritārs pār 2. attēlā parādīto starptautisko maksājumu sistēmas klasifikāciju.

2.attēls Līmeņu klasifikācija un prasības atbilstības PCI DSS standartam apstiprināšanai

# Vai vienreizējs ASV skenēšanas laika skalas pārkāpums rada nopietnu PCI DSS atbilstības risku?

Organizācijai, kas sertificēta kā PCI DSS, regulāri jāatbilst vairākām prasībām, piemēram, reizi ceturksnī jāveic ASV skenēšana. Sākotnējā audita laikā pietiek ar dokumentētu ASV skenēšanas procedūru un vismaz vienas veiksmīgas tās izpildes rezultātiem pēdējo trīs mēnešu laikā. Visas turpmākās skenēšanas jāveic reizi ceturksnī, laika posms nedrīkst pārsniegt trīs mēnešus.

Ārējās ievainojamības skenēšanas grafika pārkāpšana nozīmē papildu prasību uzlikšanu informācijas drošības pārvaldības sistēmai organizācijā. Pirmkārt, joprojām būs jāveic ASV ievainojamību skenēšana, lai iegūtu "zaļo" ziņojumu. Un, otrkārt, būs jāizstrādā papildu kārtība, kas turpmāk nepieļaus šādus grafika pārkāpumus.

Beidzot

Galvenos secinājumus var izteikt citātā no Pētera Šapovalova, Deuteriy LLC informācijas drošības inženiera:

“Neskatoties uz to, ka Krievijas Federācijas teritorijā jau ir sākusi darboties sava Nacionālā maksājumu karšu sistēma (NSPK), starptautisko maksājumu sistēmu prasības nav atceltas. Tieši otrādi, pēdējā laikā no Visa un MasterCard arvien vairāk vēstuļu pieņēmējbankām, ka pēdējās pieprasa PCI DSS standarta ievērošanu no maksājumu vārtejām, ar tiem pieslēgtajiem tirgotājiem, kā arī no pakalpojumu sniedzējiem, kas var ietekmēt karšu datu drošību. ... Šajā sakarā jautājums par atbilstību PCI DSS standartam kļūst aktuāls ne tikai lielajiem maksājumu karšu nozares spēlētājiem, bet arī mazajiem komersantiem.

Pārvaldīto pakalpojumu pakalpojums šobrīd ir aktuāls Krievijas tirgum. Tas sastāv no tā, ka pakalpojumu sniedzējs klientiem nodrošina ne tikai aprīkojuma vai virtuālās informācijas infrastruktūras nomu, bet arī savus administrēšanas pakalpojumus atbilstoši PCI DSS standarta prasībām. Tas ir īpaši noderīgi maziem tirdzniecības un pakalpojumu uzņēmumiem, kuriem nav savu informācijas tehnoloģiju un informācijas drošības nodaļu. Sazināšanās ar sertificētiem pakalpojumu sniedzējiem palīdz ievērojami vienkāršot PCI DSS sertifikācijas procesu tirgotājiem un nodrošināt maksājumu karšu datu aizsardzību atbilstošā līmenī.

Kā piemēru var minēt uzņēmumu, kas sniedz pakalpojumus pārvaldītiem PCI DSS pakalpojumiem (ne tikai iznomā PCI DSS infrastruktūru, bet arī administrē to atbilstoši standarta prasībām).

PCI DSS maksājumu karšu nozares datu drošības standarts apraksta informācijas drošības prasības un ir attiecināms uz visām organizācijām, kas apstrādā, glabā un pārsūta datus par Visa, MasterCard, JCB, Discover, American Express maksājumu karšu īpašniekiem. Šīs organizācijas ir bankas, mazumtirdzniecības veikali, e-komercijas sistēmas, maksājumu risinājumu nodrošinātāji, datu centri un citi.

PCI DSS sertifikācijas shēma organizācijai ir atkarīga no tās lomas maksājumu procesā un apstrādāto kartes turētāja datu apjoma. Piemēram, apsveriet pakalpojumu sniedzēju, tostarp banku, maksājumu vārtejas un datu centru, sertifikāciju. Ja apstrādāto karšu datu apjoms pārsniedz 300 000 darījumu gadā, šādām organizācijām ir jāveic ikgadējs QSA sertifikācijas audits un jāveic automatizēta ASV tīkla ievainojamību pārbaude. Lai veiktu mazāk darījumu, pietiek ar pašnovērtējuma lapas (SAQ) aizpildīšanu un ASV skenēšanas veikšanu.

Tomēr neatkarīgi no atbilstības apstiprināšanas metodes maksājumu infrastruktūrai atvēlētajā tīkla segmentā standarta prasības ir jāizpilda pilnībā. Lai atrisinātu šo problēmu, mēs piedāvājam specializētu konsultāciju pakalpojumu komplektu, ko vieno mērķis ieviest PCI DSS organizācijā un tai sekojošu sertifikācija atbilstoši šim standartam.

Maksājumu karšu nozares datu drošības standarts (PCI DSS) ir maksājumu karšu nozares datu drošības standarts, ko izstrādājusi Maksājumu karšu nozares drošības standartu padome (PCI SSC), ko izveidojušas starptautiskās maksājumu sistēmas Visa, MasterCard, American Express, JCB un Discover.

PCI DSS prasības ir obligātas visiem uzņēmumiem, kas strādā ar lielākajām maksājumu sistēmām. Tie garantē aizsardzību pret klientu informācijas zādzībām un citām krāpnieciskām darbībām darījumos. Sertifikācijas ietvaros veiktā infrastruktūras analīze atspoguļo sistēmas procesu aizsardzības pakāpi, kurā tiek glabāta, apstrādāta un pārraidīta informācija par maksājumu karšu īpašniekiem.

PCI DSS VERSIJA 3.2, 2018. gads

Maksims Sapronovs, Avito tehniskais direktors: “Avito ir viens no lielākajiem IT uzņēmumiem, mūsu darbība ir saistīta ar liela apjoma datu uzglabāšanu un apstrādi. Mēs cenšamies saviem klientiem nodrošināt augsta līmeņa nepārtrauktu apkalpošanu, kam nepieciešama kvalitatīva IT infrastruktūra. Avito jau vairākus gadus izvieto savu aprīkojumu DataSpace datu centrā, esam pārliecināti par tā uzticamību, izcilu tehnisko aprīkojumu un, galvenais, drošību. Veiksmīga sertifikācija par atbilstību datu drošības standartam vēlreiz uzsver centra augsto kvalifikāciju un apliecina mūsu pareizo DataSpace kā uzticama partnera izvēli.

PCI DSS VERSIJA 3.1

Arsens Kondakhchans, BPC Banking Technologies IT nodaļas vadītājs, atzīmēja: "Mums kā apstrādes centram šī sertifikācija ir ļoti svarīga, jo tā vienkāršo mūsu pašu sertifikāciju, kā arī apliecina, ka DataSpace ir nopietns un atbildīgs partneris, kas domā par klientu vajadzībām."

Jebkura objektīva un pilnīga iespiešanās pārbaude ir jāveic
veikta, ņemot vērā ieteikumus un noteikumus. Vismaz būt
kompetents speciālists un neko nepalaid garām. Tāpēc, ja vēlaties piesiet savu
profesionālās darbības ar pentestu - noteikti iepazīstieties ar
standartiem. Un vispirms - ar manu rakstu.

Metodikās ir izklāstīti informācijas caurlaidības pārbaudes noteikumi un ietvars
OSSTMM un OWASP... Pēc tam iegūtos datus var viegli iegūt
pielāgoties atbilstības novērtēšanai jebkurai rūpniecībai
standarti un "labākā pasaules prakse", piemēram, Cobit,
sērijas standarti ISO/IEC 2700x, ieteikumi NVS/SANS/NIST/ utt
un - mūsu gadījumā - standarts PCI DSS.

Protams, uzkrātie dati, kas iegūti testēšanas laikā
iespiešanās, lai veiktu pilnīgu novērtējumu saskaņā ar nozares standartiem
nepietiks. Bet tāpēc viņš ir pentests, nevis audits. Turklāt par
šāda novērtējuma īstenošana pilnībā tikai tehnoloģisko datu par
ar to nepietiks nevienam. Lai veiktu pilnīgu novērtējumu, ir nepieciešama darbinieku intervēšana
dažādas vērtētā uzņēmuma nodaļas, administratīvās analīzes
dokumentācija, dažādi IT/informācijas drošības procesi un daudz kas cits.

Attiecībā uz iespiešanās pārbaudi pēc vajadzības
informācijas aizsardzības standarts maksājumu karšu nozarē - tas nav daudz
atšķiras no tradicionālajām pārbaudēm, kas veiktas, izmantojot metodes
OSSTMM un OWASP... Turklāt standarts PCI DSS ieteicams
Lai ievērotu noteikumus OWASP veicot gan pentestu (AsV), gan
audits (QSA).

Galvenās atšķirības starp programmatūras testēšanu PCI DSS no testēšanas
iekļūšana šī vārda plašākajā nozīmē ir šāda:

Standarts neregulē (un tāpēc neprasa) uzbrukumus ar
izmantojot sociālo inženieriju.
Visām veiktajām pārbaudēm līdz minimumam jāsamazina “atteikšanās
pakalpojums "(DoS). Tāpēc veiktajai pārbaudei vajadzētu
veikta ar "pelēkās kastes" metodi ar obligātu brīdinājumu
attiecīgo sistēmu administratori.
Šādas pārbaudes galvenais mērķis ir mēģināt īstenot
nesankcionēta piekļuve maksājumu karšu datiem (PAN, Kartes turētāja vārds un uzvārds
utt.).

Pelēkās kastes metode nozīmē veikt dažādus
veida pārbaudes ar iepriekšēju papildu informācijas saņemšanu par
pētāmā sistēma dažādos testēšanas posmos. Tas palīdz samazināt risku
pakalpojumu atteikums, veicot šādu darbu saistībā ar informāciju
resursi, kas darbojas 24/7.

Kopumā PCI iespiešanās pārbaudei vajadzētu būt
atbilst šādiem kritērijiem:

11. panta 1. punkta b) apakšpunkts – bezvadu tīklu drošības analīze
11.2. lpp. — informācijas tīkla ievainojamību pārbaude (AsV)
11.3.1. lpp. - Pārbaužu veikšana tīkla līmenī (Tīkla slānis
iespiešanās testi)
11.3.2. lpp. - Pārbaužu veikšana lietojumprogrammas līmenī (Lietojumprogrammas slānis
iespiešanās testi)

Šeit teorija beidzas, un mēs pārejam pie prakses.

Pētījuma robežu noteikšana

Pirmais solis ir izprast iespiešanās pārbaudes robežas,
nosaka un vienojas par veicamo darbību secību. Labākajā gadījumā
gadījumā no informācijas drošības nodaļas puses var dabūt tīkla karti, uz kuras
shematiski parāda, kā apstrādes centrs mijiedarbojas ar vispārējo
infrastruktūra. Sliktākajā gadījumā jums būs jāsazinās ar sistēmas administratoru,
kurš apzinās savus jambus un iegūstot visaptverošus datus par
informācijas sistēmu apgrūtinās viņa nevēlēšanās dalīties ar savu
unikālas (vai ne tik, - apm. Forb) zināšanas. Tā vai citādi, vadīties
PCI DSS iespiešanās pārbaudei ir nepieciešama vismaz šāda informācija:

tīkla segmentācija (lietotāja, tehnoloģiskā, DMZ, apstrādes un
utt.);
ugunsmūris apakštīkla robežās (ACL / ITU);
Izmantotās tīmekļa lietojumprogrammas un DBVS (gan testēšanā, gan ražošanā);
izmantotie bezvadu tīkli;
jebkura drošības informācija, kas jāņem vērā
aptaujas laikā (piemēram, konta bloķēšana N
mēģinājumi autentificēties nepareizi), infrastruktūras specifika un vispārīgi
vēlmes pārbaudes laikā.

Ar visu nepieciešamo informāciju, kas uzskaitīta iepriekš, jūs varat
organizēt savu pagaidu pajumti optimālākajā tīkla segmentā un
turpināt informācijas sistēmas aptauju.

Tīkla slāņa iespiešanās testi

Sākumā ir vērts analizēt tīkla trafiku, kas tiek izmantots
jebkurš tīkla analizators tīkla kartes "izlaidības" režīmā
(izlaidīgs režīms). Kā tīkla analizators līdzīgiem mērķiem
lielisks vai CommView. Lai pabeigtu šo posmu, pietiks ar 1-2 darba stundām.
šņaukāties. Pēc šī laika tiks uzkrāts pietiekami daudz datu, lai veiktu darbību
pārtvertās satiksmes analīze. Un, pirmkārt, to analizējot, vajadzētu
pievērsiet uzmanību šādiem protokoliem:

komutācijas protokoli (STP, DTP utt.);
maršrutēšanas protokoli (RIP, EIGRP utt.);
dinamiskie resursdatora konfigurācijas protokoli (DHCP, BOOTP);
atvērtie protokoli (telnet, rlogin utt.).

Kas attiecas uz atklātajiem protokoliem, varbūtība, ka tie tiks iekļauti
trafika sniffing laiks komutētajā tīklā ir diezgan īss.
Taču, ja šāda trafika ir liela, tad apsekotais tīkls skaidri parāda
problēmas tīkla aprīkojuma iestatījumos.

Visos citos gadījumos ir iespēja veikt skaistus uzbrukumus:

klasiskais uzbrukums MITM (cilvēks vidū) gadījumā, kad tiek lietots
DHCP, RIP
saknes mezgla STP (Root Bridge) lomas iegūšana, kas ļauj
pārtvert blakus esošo segmentu trafiku
portu pārslēgšanās uz maģistrālo režīmu, izmantojot DTP (iespējot maģistrālo savienojumu);
ļauj pārtvert visu sava segmenta trafiku
un utt.

Ir pieejams lielisks rīks, lai īstenotu uzbrukumus pārslēgšanas protokoliem
Jersinija. Pieņemsim, ka satiksmes analīzes procesā pārlido
pagātnes DTP paketes (skatiet ekrānuzņēmumu). Pēc tam nosūtot DTP ACCESS / DESIRABLE paketi
var ļaut pārslēgt slēdža portu maģistrāles režīmā. Tālāk
šī uzbrukuma attīstība ļauj klausīties savu segmentu.

Pēc saites slāņa pārbaudes ir vērts pievērst uzmanību trešajam
OSI slānis. Pienāca kārta ARP saindēšanās uzbrukumam. Šeit viss ir vienkārši.
Piemēram, izvēlieties rīku

un pārrunājot šī uzbrukuma detaļas ar informācijas drošības darbiniekiem (tostarp
nepieciešamība veikt uzbrukumu, kura mērķis ir pārtvert vienvirziena SSL).
Lieta ir tāda, ka veiksmīgas ARP saindēšanās uzbrukuma gadījumā pret
no visa tā segmenta var rasties situācija, kad uzbrucēja dators to nedara
tikt galā ar ienākošo datu plūsmu, un galu galā tā var kļūt
pakalpojuma atteikuma iemesls visam tīkla segmentam. Tāpēc vispareizākais
atlasīs atsevišķus mērķus, piemēram, administratora darbus un/vai
izstrādātāji, jebkuri konkrēti serveri (iespējams, domēna kontrolleris,
DBVS, termināļa serveris utt.).

Veiksmīgs ARP saindēšanās uzbrukums ļauj jums tikt skaidrībā
paroles dažādiem informācijas resursiem - DBVS, domēna direktoriju (ja
pazemināt NTLM autentifikāciju), SNMP kopienas virkni utt.
veiksmīgā gadījumā jaucējvērtības var iegūt no parolēm uz dažādām sistēmām,
kas jums būs jāmēģina atjaunot pentesta laikā
varavīksnes tabulas, vārdnīca vai tiešs uzbrukums. Pārtverts
paroles var izmantot citur, un tas ir vajadzīgs arī pēc tam
apstiprināt vai noliegt.

Turklāt ir vērts analizēt visu pārtverto trafiku, lai noteiktu klātbūtni.
CAV2 / CVC2 / CVV2 / CID / PIN pārsūtīts skaidrā tekstā. Lai to izdarītu, varat izlaist
saglabāts vāciņa fails, izmantojot NetResident un/vai
.
Otrais, starp citu, ir lieliski piemērots, lai analizētu uzkrāto trafiku kopumā.

Pielietojuma slāņa iespiešanās testi

Mēs pārejam uz ceturto OSI līmeni. Šeit, pirmkārt, viss ir atkarīgs no tā
apsekotā tīkla instrumentālā skenēšana. Kā to īstenot? Izvēle ir nepareiza
pārāk lieliski. Sākotnējo skenēšanu var veikt, izmantojot Nmap in
režīmā "Ātrā skenēšana" (slēdži -F -T Aggressive | Insane) un nākamajās darbībās
piemēram, testēšana, lai skenētu konkrētos portos (-p slēdzis),
gadījumos, kad tiek atklāti visiespējamākie iespiešanās vektori, kas saistīti ar
ievainojamības dažos tīkla pakalpojumos. Ir vērts paralēli palaist skeneri
drošība - Nessus vai XSpider (pēdējam būs labāki rezultāti).
režīms, kurā tiek veiktas tikai drošas pārbaudes. Ieslēdzot skenēšanu
ievainojamībām ir jāpievērš uzmanība arī novecojušu sistēmu klātbūtnei
(piemēram, Windows NT 4.0), jo PCI standarts tos aizliedz
izmantošana karšu īpašnieku datu apstrādē.

Nav vērts, ja kādā pakalpojumā tiek atklāta kritiska ievainojamība, nekavējoties
steidzieties to izmantot. Pareizā pieeja PCI testēšanai ir
tas ir, pirmkārt, lai iegūtu pilnīgāku priekšstatu par subjekta drošības stāvokli
sistēma (neatkarīgi no tā, vai šī ievainojamība ir nejauša vai atrodama visur),
un, otrkārt, koordinēt savas darbības, lai izmantotu identificētās ievainojamības
noteiktas sistēmas.

Instrumentālās izmeklēšanas rezultātiem jābūt vispārējam attēlam
ieviestie IS procesi un virspusēja izpratne par drošības stāvokli
infrastruktūra. Skenēšanas apstrādes laikā varat lūgt iepazīties ar
izmanto IS politika Uzņēmumā. Vispārējai pašattīstībai :).

Nākamais solis ir iekļūšanas mērķu atlase. Šajā posmā vajadzētu
analizēt visu klausīšanās laikā savākto informāciju
satiksme un ievainojamību meklēšana. Laikam pa šo laiku jau būs
izsekot neaizsargātām vai potenciāli ievainojamām sistēmām. Tāpēc sanāca
laiks izmantot šos trūkumus.

Kā liecina prakse, darbs notiek šādos trīs virzienos.

1. Tīkla pakalpojumu ievainojamību izmantošana

Tālā pagātnē bija laiks, kad ekspluatācija bija elites galvenā lieta,
spēj vismaz savākt kāda cita kodu un (ak mans Dievs!) sagatavot savu čaulas kodu.
Tīkla pakalpojumu ievainojamību, piemēram, pārpildes, izmantošana
buferis un citi līdzīgi, pieejami ikvienam. Turklāt process arvien vairāk atgādina
spēle "kvestu" žanrā. Izmantojiet Core Impact, kurā tiek samazināts viss iespiešanās tests
noklikšķinot uz dažādām nolaižamajām izvēlnēm skaistā GUI apvalkā.
Šāds rīku komplekts ietaupa daudz laika, kas ar iekšējo iespiešanās testu
ne tik daudz. Tāpēc joki ir joki, un funkcija, kas ieviesta programmā Core Impact,
ļauj, īpaši netraucējot, konsekventi veikt operāciju, pacelšanu
privilēģijas, informācijas vākšana un to uzturēšanās pēdu noņemšana sistēmā. V
tāpēc Core Impact ir īpaši populārs Rietumu auditoru vidū un
pentesters.

Starp publiski pieejamiem šāda veida rīkiem var minēt šādus
komplekti: Core Impact, CANVAS, SAINTexploit un ikviena iecienītā Metasploit Framework.
Kas attiecas uz trijnieku, tie visi ir komerciāli produkti. Tiesa, daži
komerciālo mezglu vecās versijas savlaicīgi noplūda internetā. Ja vēlaties
jūs varat tos atrast globālajā tīklā (protams, tikai ar mērķi
pašizglītība). Visi bezmaksas punkti ir pieejami Metasploit.
Ietvars. Protams, ir arī nulles dienas būves, taču tā ir pavisam cita naudas summa.
Turklāt pastāv pretrunīgs viedoklis, ka, veicot iespiešanās testu, to izmantošana
nav gluži godīgs.

Pamatojoties uz tīkla skenēšanas datiem, jūs varat spēlēt nedaudz hakerus :).
Iepriekš vienojoties par mērķu sarakstu, darbiniet atklāto
ievainojamības, un pēc tam veiciet uztverto sistēmu virspusēju lokālu auditu.
Par neaizsargātām sistēmām savāktā informācija var uzlabot tās
privilēģijas citiem tīkla resursiem. Tas ir, ja uzbrukuma laikā
jūs pieskrūvējāt Windows, tad nebūs lieki no tās noņemt SAM datu bāzi (fgdump)
sekojoša paroļu atkopšana, kā arī LSA (Cain & Abel) noslēpumi, kuros
bieži daudz noderīgas informācijas var glabāt atklātā formā. Starp citu,
pēc visa darba veikšanas apkopoto informāciju par parolēm var uzskatīt par
atbilstības vai neatbilstības PCI DSS standarta prasībām konteksts (2.1. punkts,
2.1.1., 6.3.5., 6.3.6., 8.4., 8.5.x).

2. Piekļuves kontroles analīze

Visai informācijai ir jāveic piekļuves kontroles analīze
resursi, par kuriem bija iespējams īstenot NVD. Un par failu koplietošanu
Windows (SMB), kurā ir atvērta arī anonīma piekļuve. Tas bieži ļauj
iegūt vairāk informācijas par resursiem, kas netika atrasti
tīkla skenēšanas laikā vai paklupt uz citu informāciju, kas atšķiras
konfidencialitātes pakāpe tiek saglabāta skaidrā formā. Kā jau teicu, kad
PCI testēšana galvenokārt ir vērsta uz atklāšanu
kartes turētāja dati. Tāpēc ir svarīgi saprast, kā šie dati varētu izskatīties un
meklēt tos visos informācijas resursos, kuriem ir atbilstošs
piekļuvi.

3. Brutāla spēka uzbrukums

Ir nepieciešams vismaz pārbaudīt noklusējuma iestatījumus un vienkāršas lietotājvārda-paroles kombinācijas.
Šādas pārbaudes ir jāveic, pirmkārt, saistībā ar tīklu
iekārtas (tostarp SNMP) un attālās administrēšanas saskarnes.
Veicot AsV skenēšanu, izmantojot PCI DSS, nav atļauts veikt "smagu"
brutāls spēks, kas var novest pie DoS stāvokļa. Bet mūsu gadījumā mēs runājam
par iekšējo PCI iespiešanās testu, un tāpēc saprātīgā veidā un bez fanātisma ir
veikt uzbrukumu vienkāršu paroļu kombināciju izvēlei dažādām
informācijas resursi (DBVS, WEB, OS utt.).

Nākamais solis ir analizēt tīmekļa lietojumprogrammu drošību. PCI Pentest
padziļināta tīmekļa analīze nav iespējama. Atstāsim to QSA auditoru ziņā. Šeit
pietiek ar melnās kastes skenēšanu ar selektīvu verifikāciju
ekspluatējamas servera/klienta puses ievainojamības. Papildus jau minētajiem
drošības skeneri var izmantot skenerus, kas ir uzasināti analīzei
Web. Ideāls risinājums noteikti ir HP WebInspect vai
(kas, starp citu, lieliski atklāj kļūdas AJAX). Bet tas viss ir
dārga un nepieejama greznība, un ja tā, tad mums der arī w3af, kas in
pēdējā laikā uzņem apgriezienus dažādu veidu noteikšanas ziņā
ievainojamības tīmekļa lietojumprogrammās.

Par ievainojamību manuālu pārbaudi tīmeklī! Tas ir vismaz nepieciešams
pārbaudiet autentifikācijas un autorizācijas mehānismus, izmantojot vienkāršus
lietotājvārda-paroles kombinācijas, noklusējuma iestatījumi, kā arī ikviena iecienītākā SQL ievade,
Ieskaitot failus un izpildes komandas serverī. Kas attiecas uz klienta pusi
ievainojamības, tad papildus ievainojamības izmantošanas iespējamības pārbaudei šeit
nekas cits nav vajadzīgs. Bet ar servera pusi jums ir nedaudz jāpielāgojas,
jo tas joprojām ir pentests, lai gan ar PCI DSS. Kā jau iepriekš minēju, mēs meklējam PAN,
Kartes īpašnieka vārds un CVC2/CVV2 nav obligāti. Visticamāk, līdzīgi dati
ir ietverti DBVS, un tāpēc SQL injekcijas atrašanas gadījumā ir vērts novērtēt nosaukumus
tabulas, kolonnas; vēlams veikt vairākus testa paraugus
apstiprināt vai noliegt šādu datu esamību datu bāzē
nešifrēts. Ja saskaras ar Blind SQL injekciju, tad labāk ir pamudināt
uz tīmekļa serveri (no
taustiņu --dump-all), kas pašlaik darbojas ar MySQL, Oracle,
PostgreSQL un Microsoft SQL Server. Šie dati būs pietiekami demonstrācijai
ievainojamības izmantošana.

Nākamais solis ir analizēt DBVS drošību. Atkal ir izcils
rīks ir AppDetective no "Application Security Inc", taču tas ir dārgs
prieks. Diemžēl līdzīgs drošības skeneris, kas ražotu
tik daudz informācijas, cik var sniegt AppDetective, un atbalsta tik daudz
DBVS pašlaik nepastāv. Un tāpēc mums ir jāuzņemas ieroči
daudzi atsevišķi, nesaistīti produkti, kas ir uzasināti priekš
strādāt ar konkrētiem pārdevējiem. Tātad, oraklyatinai minimālais komplekts
pentester būs šāds:

Oracle Database Client – vide darbam ar DBVS
Krupis Oracle - PL / SQL klients
Oracle Assessment Kit - brutāli lietotāji un SID'ov datu bāzes
dažādi PL / SQL skripti (piemēram, konfigurācijas audits vai
spēja pazemināties līdz OS komandu izpildes līmenim)

PCI iespiešanās pārbaudes pēdējais posms ir analīze
bezvadu tīklu drošība, pareizāk sakot, pat ne analīze, bet piekļuves punktu meklēšana,
izmantojot neaizsargātas konfigurācijas, piemēram, Open AP, WEP un WPA / PSK. Ar citu
PCI standarts neaizliedz dziļāku analīzi, tostarp
ar atslēgas atkopšanu, lai izveidotu savienojumu ar bezvadu tīklu. Jo tam ir jēga
lai veiktu šāda veida darbu. Galvenais instruments šajā posmā,
protams būs aircrack-ng. Turklāt jūs varat veikt uzbrukumu, kura mērķis ir
bezvadu klienti, kas pazīstami kā "Caffe Latte", izmantojot to pašu
rīks. Veicot bezvadu tīklu aptauju, varat droši
vadīties pēc datiem no vietnes
Wirelessdefence.org.

Secinājuma vietā

Pamatojoties uz testa rezultātiem, visa savāktā informācija tiek analizēta
PCI DSS standarta tehnisko prasību ievērošanas kontekstā. Un kā jau es
atzīmēja pašā sākumā, tādā pašā veidā var būt iespiešanās testa laikā iegūtie dati
interpretēt jebkura cita augsta līmeņa dokumenta kontekstā,
kas satur tehniskus kritērijus un ieteikumus vadības sistēmai
informācijas drošība. Attiecībā uz ziņošanai izmantoto veidni
dokumenti par PCI, - varat izmantot MasterCard prasības atskaitei par
AsV skenēšana. Tie paredz pārskatu sadalīt divos dokumentos -
augstākā līmeņa dokuments izpildvarai, kas satur skaistus grafikus
un norādīta sistēmas pašreizējā stāvokļa atbilstības PCI DSS prasībām procentuālā daļa,
un tehnisko dokumentu, kurā ir veiktās pārbaudes protokols
iespiešanās, identificētās un izmantotās ievainojamības, kā arī ieteikumi par
informācijas sistēmas saskaņošanu ar MasterCard prasībām.
Tad varu atvadīties un novēlēt veiksmi pētījumos!

Www

pcisecuritystandards.org — PCI drošības standartu padome.
pcisecurity.ru - portāls,
veltīta PCI DSS no Informzashita.
pcidss.ru - portāls, kas veltīts
PCI DSS no Digital Security.
isecom.org/osstmm — Atvērt
Avota drošības pārbaudes metodoloģijas rokasgrāmata.
owasp.org — atvērta tīmekļa lietojumprogramma
Drošības projekts.