Послуги з імітації атак хакерів для вдосконалення процесів кібербезпеки.

Послуги з імітації атак хакерів для вдосконалення процесів кібербезпеки.

/ BLOG

Пентест для проходження сертифікації PCI DSS 4.0.
Головні аспекти, про які варто знати

Індустрія платіжних карток постійно привертає увагу хакерів. Тому ця сфера потребує максимальної уваги до кіберзахисту.
Рада зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC) 31 березня 2022 року випустила оновлену версію стандарту PCI DSS 4.0. Почалося ознайомлення з новою версією та приготування до комфортного переходу для відповідності всім вимогам.
Після 31 березня 2024 дія версії стандрату PCI DSS 3.2.1 буде припинена, і набере чинності PCI DSS 4.0.
У цій статті ми роздивимося лише ті вимоги, які стосуються тесту на проникнення (pentest).

Чи необхідно провести тест на проникнення для відповідності вимогам PCI DSS?

Сертифікація PCI DSS встановлює різноманітні вимоги, серед яких потреба в регулярних тестах на проникнення. Зокрема, вимога 11.4 підкреслює необхідність проведення зовнішніх та внутрішніх тестів на проникнення кожні 12 місяців або після значних змін у середовищі.

Ці вимоги також визначають перевірки тестування сегментації, які виходять за рамки більшості стандартних тестів на проникнення (pentest). У вимозі 11.4 чітко зазначено, що компанії повинні визначити, задокументувати та впровадити методологію тестування на проникнення, яка включає:

    Прийняті в галузі підходи до тестування на проникнення;

    Покриття всього периметра середовища даних власників карток (CDE) та критичних систем;

    Тестування внутрішньої та зовнішньої мережі;

    Тестування для підтвердження будь-яких засобів керування сегментацією;

    Тестування на проникнення на прикладному рівні для виявлення принаймні вразливостей, перелічених у вимозі 6.2.4;

    Тести на проникнення мережевого рівня, які охоплюють усі компоненти, які підтримують функції мережі, а також операційні системи;

    Огляди та розгляд загроз і вразливостей, які виникли за останні 12 місяців;

    Задокументовані підходи до оцінки та усунення ризику, створеного експлуатаційними вразливими місцями, виявленими під час тестування на проникнення;

    Зберігання результатів тестування на проникнення та результатів заходів із відновлення протягом 12 місяців.

Постачальники послуг повинні проводити пентест кожні шість місяців і щоразу, коли в систему вносяться значні зміни. Але що означає «значна зміна»?

У версії PCI DSS 4.0 наведено кілька конкретних прикладів для кращого розуміння терміну «значні зміни». Зрозуміло, що кожна компанія є унікальною, і для кожної сертифікації необхідно індивідуальне підходити як з боку представників компанії, так і з боку аудиторів. Це дозволяє створити зручний графік проведення пентестів, який синхронізований із графіком змін в ІТ-інфраструктурі.

 Нижче наведено кілька прикладів значних змін, які потребуватимуть подальшої перевірки за допомоги тестування на проникнення:

    Додавання будь-якого нового обладнання, програмного забезпечення або мережевого обладнання;

    Оновлення або заміна обладнання та програмного забезпечення;

    Зміни, які впливають на потік або зберігання даних власника картки;

    Зміни, які впливають на межі CDE або обсяг вашого оцінювання PCI DSS;

    Зміни допоміжної інфраструктури, як-от служби каталогів, моніторинг і журналювання;

    Будь-які зміни сторонніх постачальників або служб, які підтримують CDE.

Вимоги до сканування вразливостей PCI

Сканування вразливостей вважається важливим елементом вимог PCI DSS. Вимога 11.2 надає наступну інформацію. Проводьте сканування вразливостей внутрішньої та зовнішньої мереж кожний квартал, особливо після будь-яких істотних змін у мережі. Усуньте виявлені вразливості та, за необхідності, повторіть сканування, поки не буде досягнуто успіху. Після проходження сканування на початкову відповідність PCI DSS суб’єкт господарювання повинен протягом наступного року пройти чотири квартальні сканування.
Зовнішнє сканування повинно проводитися кожен квартал за допомогою кваліфікованого сканувальника, якого запрошують із компанії, яка спеціалізується на подібних послугах. Проведення сканування обов’язково відбувається після внесення змін у мережу. Внутрішнє сканування може бути проведене внутрішнім персоналом.

Методика тестування на проникнення

Вимога 11.4.1 стосується методології, що використовується фахівцями під час виконання тестів на проникнення. Вказано, що для цього застосовуються методи, прийняті відповідною галуззю, тобто використовується методологія, яка імітує атаки зловмисників. Варто зауважити, що автоматизоване сканування не є достатнім для виконання вимоги даного пункту.

Heading photo

Хто повинен проводити PCI Pentest?

Тестування на проникнення для відповідності стандарту PCI DSS має виконуватися одним із таких варіантів:

    Кваліфікований внутрішній ресурс із відповідними знаннями та навичками для ретельного та належного виконання тесту на проникнення;

    Кваліфікований сторонній постачальник послуг безпеки з відповідним досвідом та профільними сертифікаціями.

PCI DSS 4.0 навіть пропонує вказівки щодо вибору зовнішньої третьої сторони для роботи з PCI Pentest у розділі «Належні практики» вимоги 11. PCI SSC рекомендує шукати постачальника з певними сертифікатами тестування на проникнення, які можуть допомогти перевірити рівень кваліфікації та компетентність тестувальника.
Рада також рекомендує вибрати постачальника тестів на проникнення з попереднім досвідом проведення тестів на відповідність PCI DSS. Оцінюючи потенційних постачальників, ви можете взяти до уваги кількість років їхнього досвіду, тип і обсяги, з якими вони працювали раніше тощо. Підтвердження того, що досвід вашого постачальника відповідає вашим потребам, має важливе значення для постійної та безперебійної відповідності PCI DSS .
На основі нашого багаторічного досвіду, ми рекомендуємо залучати зовнішніх постачальників таких послуг для проведення пентестів. Це дозволить провести весь комплекс робіт швидше та з більшою професійністю.

Які вимоги щодо внутрішнього та зовнішнього тестування?

Вимоги DSS 11.4.2 та 11.4.3 передбачають внутрішнє та зовнішнє тестування на проникнення. Тестування може проводити як компанія, сертифікована за стандартом PCI, так і незалежний постачальник послуг, проте обов'язковою є наявність високої кваліфікації. При цьому враховується попередній досвід та наявність галузевих сертифікатів.
У вимозі 11.4.1 зазначається, що необхідно проводити внутрішнє тестування Центрального середовища обробки даних (CDE), а раніше багато організацій не здійснювали цей вид робіт.
Потрібне внутрішнє та зовнішнє тестування всього CDE. Таким чином, тестування на проникнення збільшується за обсягом, включаючи тестування на проникнення мережі та додатків, і потребуватиме відповідної готовності до масштабування для відповідності вимогам PCI DSS 4.0. Будь-яке цифрове середовище, підключене до CDE, включно з мережевими, хмарними та гібридними середовищами, а також додатками, як-от API та веб-додатками, необхідно буде включити до пентестування для відповідності PCI DSS 4.0.

Heading photo

Наскільки часто потрібно проводити тестування на проникнення для відповідності стандарту PCI DSS?

Тестування на проникнення має проводитися принаймні один раз на 12 місяців відповідно до вимоги 11.4, а також у разі будь-якого значного оновлення чи зміни на рівні інфраструктури чи програми. Це не тільки обов’язкова вимога - це вважається найкращою практикою для всіх компаній, які дбають про свій кіберзахист. Включення тестування на проникнення в життєвий цикл розробки програмного забезпечення (SDLC) може запобігти виникненню різних проблем.
PCI DSS також вимагає повторного тестування на проникнення, щоб переконатися, що вразливості, які можна використати, були усунені належним чином і більше не становлять загрози для CDE.

Що потрібно знати про перевірку сегментації?

Перевірка сегментації є одним із компонентів тестування на проникнення, який проводиться для отримання сертифікації за стандартом PCI DSS.
Вимога DSS 11.4.5 наполягає на тому, щоб тестувальники підтвердили, що сегментація мережі реалізована належним чином. Мета цієї вимоги - підтвердження того, що засоби контролю здатні ефективно ізолювати CDE від інших систем за його межами. Для виконання цієї вимоги, зазвичай, проводяться серії сканувань із кожного сегменту мережі.
У пункті 11.4.6 зазначено, що перевірка сегментації має проводитися кожні шість місяців, а не щорічно.

Проведення пентесту для проходження аудиту PCI DSS 4.0

Наша висококваліфікована та досвідчена Red Team, яка є частиною компанії IT Specialist, пропонує повний спектр послуг тестування на проникнення для організацій будь-якого розміру, яким потрібно підготуватися до відповідності стандарту PCI DSS 4.0.
Наша команда експертів із PCI DSS допоможе вам визначити правильний обсяг проведення тестів на проникнення для досягнення бажаного результату.

Потрібна консультація експерта?

Залишити заявку

Професійна Red Team від компанії "IT Спеціаліст" має більш як 10 років практичного досвіду в галузі.

Наша головна спеціалізація - це перевірка готовності вашого бізнесу до реальних атак зловмисників, оцінка швидкості реагування та ефективності дій персоналу.
Ми оперативно виявляємо та усуваємо загрози безпеки ще до того, як вони перетворяться на репутаційні та фінансові проблеми.

Телефон

Офіс+38 (044) 390 81 90
Департамент продажів+38 (096) 390 81 90

Адреса

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3,Україна, Київ, 03124

Е-mail

moc.tsilaicepsti-ym%40olleh

Професійна Red Team від компанії "IT Спеціаліст" має більш як 10 років практичного досвіду в галузі.

Наша головна спеціалізація - це перевірка готовності вашого бізнесу до реальних атак зловмисників, оцінка швидкості реагування та ефективності дій персоналу.
Ми оперативно виявляємо та усуваємо загрози безпеки ще до того, як вони перетворяться на репутаційні та фінансові проблеми.

Телефон

Офіс+38 (044) 390 81 90
Департамент продажів+38 (096) 390 81 90

Адреса

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3,Україна, Київ, 03124

Е-mail

moc.tsilaicepsti-ym%40olleh