Как было отмечено в прошлой заметке о серьезном ужесточении позиции Совета PCI в отношении качества проводимого аудита: "Совет будет выборочно проверять Отчеты о Соответствии, а также сопоставлять представленную в них информацию с собранными в ходе аудита свидетельствами с целью поиска критичных нарушений, за которые последует лишение компании-аудитора статуса QSA, а также пересмотр результатов проведенных ею аудитов, вплоть до отзыва выданных ею Сертификатов Соответствия".

Для заказчика это означает, что не стоит считать, что если приглашать всегда одного и того же QSA, то таким образом можно всегда скрывать те или иные несоответствия (если предположить, что QSA пошел на сговор с клиентом, и закрыл глаза на сознательное нарушение требований стандарта или, что еще скорее, он просто не обладает достаточной квалификацией).

В частности, применительно к пентестам следует ОСОБО обратить внимание на следующие ставшие теперь крайне критичными нарушения:

• заведомо ложная трактовка аудитором требований стандарта;

• обозначение в Отчете о Соответствии невыполненного требования как выполненного.

Это означает, что теперь заказчикам стоит обратить самое пристальное внимание на порочную практику, когда для псевдо удешевления стоимости проекта вместо квалифицированных пентестеров они пользуются услугами непрофессионалов, в том числе, к сожалению, иногда по недоразумению, обладающих даже статусом QSA.

Подобные «пентестеры», прикрываясь своим статусом как щитом, идут на откровенное нарушение приведенных выше принципов, ЗАВЕДОМО выдавая за пентест обычный отчет сканера, являющийся всего лишь автоматизированной проверкой (необходимость которой описана в другом требовании стандарта)!

Теперь такая, ставшая, к сожалению, в последнее время у многих заказчиков достаточно типовой, порочная практика проведения дешевого (только для формального соблюдения требования стандарта), но неквалифицированного пентеста (по сути, автоматизированного сканирования) становится КРАЙНЕ накладной не только для QSA (который потеряет статус), но и, что самое главное, для заказчика - он немного сэкономит, но потеряет и Сертификат Соответствия, и репутацию.

Заказчикам следует обратить пристальное внимание на качество и стоимость пентеста. В данном случае или качественно, или дешево - третьего здесь не дано.

"Опасайтесь подделок!".

Стандарт PCI DSS требует от организации проведения теста на проникновение не реже одного раза в год, а также после внесения значительных изменений в информационную инфраструктуру. Требование 11.3 говорит о том, что тест на проникновение должен выполняться как на сетевом уровне, так и на уровне приложений, при этом тестирование должно выполняться как извне, так и изнутри сети организации.

Выполнить тест на проникновение может как внешний консультант, так и штатный специалист организации, административно независимый от сотрудников и подразделений, ответственных за поддержку и эксплуатацию тестируемых систем.

Как оказалось, в среде специалистов по карточной безопасности встречается заблуждение о том, по каким критериям определяется успех или провал теста на проникновение. Заблуждение заключается в том, что якобы для того, чтобы «засчитать» проникновение, пентестер должен непременно ознакомиться с данными о держателях карт. Кроме того, часто поднимается вопрос о том, проникновения в какие системы считать критичными.

Для того, чтобы развеять заблуждение, обратимся к первоисточнику, а именно – Совету PCI SSC, в частности - к опубликованному им документу Information Supplement: Penetration Testing, дающему однозначные ответы на оба вопроса.

Что касается вопроса «куда надо проникнуть», то есть понятие области тестирования (scope), в которую входит вся среда данных о держателях карт, а также связанные с ней системы. При этом особо отмечается, что если имеет место сегментация сети, надежно изолирующая среду данных о держателях карт, и при этом аудит соответствия PCI DSS доказал адекватность изоляции, то область тестирования можно сократить до границ среды данных о держателях карт. Всё что вошло в область тестирования – всё априори критично, так как имеет отношение к обработке, хранению и передаче данных о держателях карт.

Теперь о критериях тестирования. Совет PCI SSC написал вполне однозначно: целью теста на проникновение является выяснение того, может ли быть получен неавторизованный доступ к ключевым системам и файлам. То есть иными словами – исследовать область тестирования на предмет наличия уязвимостей и проверить возможность их эксплуатации с целью повышения привилегий в системах, входящих в неё. Обнаруженные уязвимости должны быть устранены и затем проведено повторное тестирование. Ни в коем случае ни целью пентестера, ни критерием успешности теста на проникновение не является ознакомление с данными о держателях карт.

В самом деле, давайте представим такую ситуацию – в области тестирования взломано 90% систем, при этом несколькими способами, через десятки уязвимостей. Но данные о держателях карт в соответствии с требованием 3.4 PCI DSS хранились в зашифрованном виде и поэтому пентестер не смог с ними ознакомиться. Что же, считать в таком случае, что тест на проникновение организацией успешно пройден, и ничего устранять не надо? Абсурд.

Тест на проникновение и сканирование ASV являются важными элементами мониторинга информационной безопасности организации, нацеленными на выявление и устранение уязвимостей в крайне критичной информационной инфраструктуре – среде данных о держателях карт. Здесь важно внимательное отношение к любой, даже потенциальной возможности получения несанкционированных привилегий в отношении входящих в неё систем.

Статья в журнале «Плас»: http://www.plusworld.ru/journal/page163_1242.php после которой я просто не мог не высказаться.

Дело в том, что авторы статьи, являясь скорее всего юристами, не совсем понимают, как таковую, специфику проведения тестов на проникновение. Авторы не учитывают такой крайне важный факт, что в процессе активного аудита или тестов на проникновение аудиторы НЕ ПОЛУЧАЮТ непосредственно доступ к данным. И это наш основной принцип проведения данных работ. Да, действительно аудиторы проникают на сервер (информационную систему, базу данных и т.д.), но при этом они ни в коем случае не изучают непосредственно пользовательские данные, которые хранятся на сервере – они им просто не нужны. При этом служба безопасности может включить на сервере протоколирование действий аудиторов, чтобы была гарантия того, что критичные данные не были прочитаны. В любом случае повторю, что аудитор ни в коем случае не изучает непосредственно данные – они ему не нужны, а кроме того – он просто хочет спать спокойно (даже несмотря на подписанное соглашение о конфиденциальности). Поэтому коллизия, описанная в статье, на практике отсутствует. Не говоря уже о том, что тест на проникновение (как внешний, так и внутренний) является абсолютно обязательным для соответствия PCI DSS и обсуждение вопроса необходимости его проведения в данном контексте представляет собой не более чем академический интерес.

Если же абстрагироваться от PCI DSS, то, например, тест на проникновение интернет-банкинга с использованием двух моделей нарушителя (аноним и пользователь системы) выполняется исключительно в тестовой среде, где нет реальных данных. Ну а реплика в статье о, якобы, нарушении УК вызывает не более чем удивление.

Вывод. "Сложно найти черную кошку в темной комнате... особенно когда ее там нет". И от себя добавлю: "А тем более тогда, когда ты не знаешь, как именно выглядит кошка".

P.S.: данная заметка вызвала оживленную дискуссию на форуме: http://forum.pcidss.ru/index.php?topic=37.0