尽管PCI DSS 3.0版本已经全面推出,但仍然有很多关于企业难以遵守11.3章节中列出的PCI渗透测试要求的讨论。
为了帮助企业充分了解PCI DSS 3.0要求,PCI安全标准委员会在2015年3月发布了PCI DSS补充信息:渗透测试指南。该文档详细介绍了渗透测试过程的一般方法,从范围界定到测试不同的网络层,再到测试后续步骤(例如报告)等。
PCI渗透测试文档以及PCI DSS合规所要求的方法的优点是,并没有什么新东西。除了提到云计算环境、网络钓鱼以及缩小持卡人数据环境范围等新概念外,这些渗透测试/安全评估其实做法已经存在多年。当笔者在2003年撰写《Hacking For Dummies》第一版时,笔者就在研究其中一些主题,当时这方面的资源已经相当普遍,例如像黑客一样思考到跨不同操作系统平台的独特漏洞利用,以及执行渗透测试的特定方法等,这些信息主要是以开源安全测试方法(OSSTMM)的形式提供,还有很多白皮书、文章等。
让我们快进到2015年。
笔者不知道是否应该将其称为分析瘫痪、缺乏预算或只是执行管理部分的缓兵之计,但好像很多人都在等待PCI安全标准委员会告诉他们如何做十多年来已经良好记录的事情。
企业应该阅读完整的PCI渗透测试指南文件,而下面是企业应该注意的六个重要方面:
• 该文档讨论了应用环境身份验证测试方面的要求—这是渗透测试中经常被忽视但非常重要的组成部分。
• 该文档还介绍了什么被认为是对系统的“重大改变”--以便在对持卡人数据环境中任何系统进行代码或相关更新后可以进行后续渗透测试。
• 该文档提到了做这项工作的安全专业人员获得的证书以及过往的经验的重要性—与其他领域一样,更多经验往往更好,当然还需要漏洞扫描仪、网络分析仪和漏洞利用工具包等工具,他们还应该知道如何有效地使用它们。
• 另外,渗透测试特定规则经常被忽视,这可能在渗透测试过程中或测试后制造问题,例如漏洞利用需要多么深入以及如何处理在测试中发现的敏感数据等。笔者非常高兴该文档解决了可能阻止测试(WAF和IPSes等)的安全控制,很多人以为他们有这些控制就不会发现漏洞或出现漏洞利用,一切都很好。对于白名单或禁用这些积极保护措施,该渗透测试指南明确指出它可“帮助确保服务本身得到正确配置,并在主动保护系统出现故障或以某种方式被击败或被攻击者绕过时控制漏洞利用的风险。”
• 该文档中还提供了围绕社会工程学的建议,包括网络钓鱼测试,以检测持卡人数据环境是否能从这个角度被利用。
• 企业还应该保留测试详细信息的证据(包括具体的调查结果),确保可根据要求提供。
除了越来越复杂的网络,以及PCI DSS和一般安全测试最佳做法的细微区别,这其实与我们过去的做法没有太多不同。不要试图下车去寻找新的东西,在赛车运动中,我们知道,如果我们专注于我们前进的方向,汽车就会开往该方向。这个道理同样适用于信息安全领域,在这种情况下,也适用于PCI DSS渗透测试要求。你现在应该知道需要做什么事情,你只需要深入阅读该渗透测试要求,或者完全外包渗透测试功能。
你还可以看看NIST SP800-115—信息安全测试和评估技术指南,以及OSSTMM和有关漏洞扫描和渗透测试的其他资源。如果你认真研读这些一般准则,就不会有太大问题。
展望未来,如果你无法完全遵守新的PCI DSS规则怎么办?对于这些要求,无论你做或者不做某些事情,你做的任何决定都会产生后果。我认为最重要的事情是你应该从今天开始做出合理的一致的努力,以改进现有的渗透测试和整体安全计划。在我看来,执行基本漏洞扫描的人将会是最大的审查目标,而根本不是测试本身。
你不一定需要部署完美的安全测试计划,但你肯定不希望被排在最后,你可以保持在中间的位置,并以持续改进作为目标。