Если вы хотите прочитать следующую статью из этой серии, пожалуйста пройдите по ссылке:PCI DSS совместимость (Часть 2).
В недавнем исследовании, которое провел ведущий веб сайт PCI, было выяснено, что основной причиной совместимости PCI является соблюдение промышленных стандартов. Вторая причина заключается в том, что совместимость необходима для обработчика кредитных карт, а третья – для безопасности сети. Данные говорят сами за себя – организации стремятся к безопасности не потому, что они хотят этого, а потому, что они должны это делать.
Для пользователей кредитных карт PCI DSS – это хорошая новость, т.к. стандарт обеспечивает более высокий уровень безопасности для индустрии кредитных карт.
Ниже приводится список требований, которые выставляет стандарт PCI DSS в целях аудита.
Требование 1: Установка и поддержка брандмауэра для защиты данных владельцев карт. Это требование было тщательно продумано лишь недавно, и указывает на необходимость использования прикладных брандмауэров типа ISA. Без таких брандмауэров становятся возможными атаки на уровне сессии, а также возможен запуск вредоносного кода нового поколения против вебсайтов и систем, которые нельзя защитить более слабыми решениями. С точки зрения покупателей – это ключевой момент, т.к. брандмауэры прикладного уровня позволяют существенно повысить безопасность. Защита данных кредитных карт важна в этом стандарте; изоляция среды, в которой хранятся данных кредитных карт – это хороший вариант, т.к. в результате этого отпадает необходимость реализации строгих техник безопасности внутри всей сети.
Документация
Стандарт стремится идентифицировать ключевые процедуры по изменению управления, которые фиксируют изменения в журналах брандмауэров, которые охраняют сеть, в которой размещаются данные кредитных карт. Я рекомендую хранить систему данных кредитных карт отдельно от внутренней промышленной сети. Необходимо также формировать и сохранять другие документы, типа сетевых диаграмм. Если брандмауэр используется организацией для получения доступа к Интернет, то необходимо убедится в справедливости открытия входящих и исходящих портов. Это поможет организации задуматься над тем, почему порты открыты, но при этом не формируется отчет о некоторых опасных портах. Я настоятельно рекомендую, чтобы все исходящие порты были заблокированы, а открыты были лишь служебные порты, как порт80, для веб службы. Реверсивный прокси (reverse proxy), как например, тот, что предлагает Microsoft ISA – это идеальное решение в этом случае. Таким образом, порт IIS не открыт напрямую для интернет.
Данными кредитных карт необходимо умело обращаться, и стандарт стремится подчеркнуть, что данные кредитных карт не должны быть постоянно открыты для интернет. Просматривая программное обеспечение для хранения существующих кредитных карт для крупной компании, я обнаружил, что все данных кредитных карт не хранились в зашифрованном виде, и если пользователь знал, где искать, то он мог загрузить подробную информацию по LAN или удаленно с помощью веб сайта. Такого не должно случиться ни при каких обстоятельствах, поэтому необходимо изолировать данные кредитных карт, зашифровать их, и использовать решения для сильного контроля доступа к базе данных.
Другие сети
Чтобы избежать осложнений и громадную работу по настройке безопасности, настоятельно рекомендуется, чтобы система, в которой содержатся данные кредитных карт, не была подключена к другим сетям, включая беспроводные сети. Особые методы защиты необходимо применить к системам, которые хранят важную клиентскую информацию, поэтому необходимо удалить все дополнительные службы и протоколы с машины, на которой хранятся важные данные, для обеспечения лучшей безопасности среды.
На любом клиентском компьютере, который подключается к безопасной сети, должен быть установлен брандмауэр для предотвращения инфекции.
Требование 2: Не использовать системные пароли и другие параметры безопасности, предлагаемые поставщиками по умолчанию. Это требование на первый взгляд может показаться избыточным, но вы удивитесь, как много организаций нарушают это простое правило, а что еще хуже многие сторонние поставщики услуг устанавливают и управляют решениями с помощью паролями по умолчанию. Необходимо всегда менять пароли и права по умолчанию, эти пароли должны храниться в зашифрованном виде, и только авторизованный персонал должен иметь доступ к этой информации. Недавний мой аудит выявил, что свыше 60% организаций используют пароли по умолчанию к важному сетевому оборудованию.
Реальные данные
В недавнем аудите беспроводных сетей, за полчаса было найдено 1,300 беспроводных точек доступа, свыше 400 из них имели небезопасные настройки безопасности и могли быть уязвимы. С помощью более 18 из них можно было подключиться к хорошо известным коммерческим организациям, в сетях которых хранились некоторые важные данные.
Усилять все, включая TCB
TCB, Trusted Computing Base (доверительная вычислительная база), в этом все дело! TCB – это все программное и аппаратное обеспечение. А это в свою очередь значит все операционные системы, приложения и аппаратные компоненты. Операционные системы и приложения обычно снабжены системами автоматического обновления, как WSUS. И снова не удивительно, как много организаций не обращают на это внимания и не обновляют свое программное обеспечение с момента установки. Обычно программное обеспечение и приложения обновляются. Реальная проблема заключается в том, что 80% сред – это firmware, после установки они годами работают без обновления. Хакеры знают об этом, и это одна из первых их точек атак.
Обычно пренебрегают еще одной вещью, которая упоминается в стандарте. Это шифрование административного доступа к среде, особенно удаленного административного доступа. Технологии, наподобие IPSec, SSTP, SSL, SSH, SSL/TLS помогают в обеспечении безопасности соединения.
Требование 3: Защита данных владельцев карт. Это требование описывает, как должна храниться информация о владельце карты. Для защиты конфиденциальности необходимо использовать шифрование. Любые записываемые данные должны записываться и храниться в зашифрованном виде. Технические решения контроля доступа помогают в обеспечении безопасности этих прав. Стандарт четко заявляет – никогда не хранить код проверки карты или PIN. Но опять же это лишь заявляется, но не практикуется.
Важные данные для аутентификации не должны храниться, это касается и копии магнитной ленты, информации о чипе и т.п. Чтобы снизить риск для покупателя, необходимо использовать и хранить минимум информации. Если данные сохраняются, то это необходимо делать в зашифрованном виде, а все читаемые данные должны маскироваться, например, 5412**************1345. Иногда я замечаю одну вещь, которую необходимо изменить. Она заключается в том, что хотя информация и отображается в замаскированном виде, когда она передается в банк или обработчик карт, то информация отправляется в незамаскированном виде.
Требование 4: Шифровать передачу данных о владельце карты по открытым публичным сетям. Это требование вытекает из моего предыдущего открытия и очень важно в сегодняшней торговой среде. В стандарте четко описано, как выполнять шифрование, и как необходимо формировать, распределять, обеспечивать безопасность, хранить, перемещать, обмениваться и располагать ключи шифрования. Более подробную информацию на эту тему вы можете найти в статье, которую я посвятил управлению ключами шифрования.
Во второй части этой статьи мы рассмотрим следующие требования.
Поддержка программы управления уязвимостями
Требование 5: Использовать и регулярно обновлять антивирусное программное обеспечение
Требование 6: Разрабатывать и поддерживать безопасные системы и приложения
Реализовавать меры по сильному контролю доступа (Strong Access Control)
Требование 7: Ограничить доступ к данным о владельцах карт
Требование 8: Присваивать уникальный ID каждому человеку с компьютерным доступом
Требование 9: Ограничить физический доступ к данным о владельцах карт
Осуществлять регулярный мониторинг и тестирование сетей
Требование 10: Отслеживать и контролировать доступ ко всем сетевым ресурсам и данным о владельцах карт
Требование 11: Регулярно тестировать безопасность систем и процессов
Поддерживать политику информационной безопасности
Требование 12: Поддерживать политику, которая касается информационной безопасности
В течение длительного времени данные клиентов оказывались незащищенными, и хотя стандарт сильно запоздал, теперь, когда он становится требованием большинства обработчиков кредитных карт и банков, у продавцов не остается выбора, как реализовывать более строгие решения для безопасности. Благодаря этому стандарту потребители станут более защищенными.
Источник www.windowsecurity.com
Tags: proxy