PCI DSS:為什么漏洞評(píng)估和滲透測(cè)試那么難?
2014年Verizon PCI合規(guī)報(bào)告對(duì)世界各地的PCI DSS合規(guī)狀態(tài)進(jìn)行了評(píng)估。令人驚訝的是,該報(bào)告發(fā)現(xiàn)“要求11”的合規(guī)率最低,盡管很多安全專業(yè)人士認(rèn)為這是該報(bào)告中最直接的規(guī)定之一,該要求規(guī)定企業(yè)應(yīng)對(duì)安全系統(tǒng)和流程定期進(jìn)行測(cè)試。
接下來(lái)我們將探討被Verizon列為‘合規(guī)絆腳石’的兩個(gè)具體領(lǐng)域,以及企業(yè)應(yīng)該如何將它們構(gòu)建到PCI DSS合規(guī)計(jì)劃中。
滲透測(cè)試
安全專業(yè)人士都知道,PCI DSS要求企業(yè)環(huán)境的滲透測(cè)試需采用行業(yè)公認(rèn)的方法,例如NIST SP 800-115。并且,這些測(cè)試必須至少每年進(jìn)行一次,而且在持卡人數(shù)據(jù)環(huán)境作出任何重大變更之后必須重復(fù)測(cè)試。
Verizon發(fā)現(xiàn)的第一個(gè)問(wèn)題是,60%的企業(yè)未能提供證據(jù)證明他們?cè)谶^(guò)去的一年中執(zhí)行了滲透測(cè)試。當(dāng)涉及PCI合規(guī)時(shí),維護(hù)滲透測(cè)試的文檔幾乎和實(shí)際執(zhí)行測(cè)試同樣重要。審計(jì)員不會(huì)相信你的一面之詞,他們希望看到證據(jù)。
企業(yè)可能會(huì)遇到的第二個(gè)問(wèn)題出現(xiàn)在處理滲透測(cè)試結(jié)果的過(guò)程中。PCI要求企業(yè)對(duì)滲透測(cè)試發(fā)現(xiàn)的結(jié)果采取行動(dòng)。具體來(lái)說(shuō),如果測(cè)試發(fā)現(xiàn)任何可利用的漏洞,企業(yè)必須修復(fù)問(wèn)題,然后重復(fù)測(cè)試。滲透測(cè)試周期要到漏洞被修復(fù)才完成,滲透測(cè)試需要提供系統(tǒng)已修復(fù)漏洞的證明書(shū)。根據(jù)Verizon PCI合規(guī)報(bào)告,只有44%的企業(yè)滿足這一要求。
通過(guò)確保以符合PCI法律條文的方式執(zhí)行滲透測(cè)試,企業(yè)可以避開(kāi)這些滲透測(cè)試的雷區(qū)。企業(yè)并沒(méi)有必要聘請(qǐng)QSA或者ASV來(lái)執(zhí)行測(cè)試。如果企業(yè)使用內(nèi)部人員,應(yīng)該確保這些人員符合要求并且獨(dú)立于工作人員維護(hù)系統(tǒng),同時(shí)企業(yè)還應(yīng)該保留滲透測(cè)試的證據(jù)。企業(yè)內(nèi)符合要求的工作人員應(yīng)該是內(nèi)部審計(jì)團(tuán)隊(duì)的人員。
漏洞掃描
漏洞掃描是很多企業(yè)在PCI合規(guī)中容易出錯(cuò)的另一個(gè)領(lǐng)域。例如,該報(bào)告發(fā)現(xiàn),不到一半的企業(yè)會(huì)執(zhí)行內(nèi)部漏洞掃描或由認(rèn)可的掃描供應(yīng)商進(jìn)行外部掃描,這兩者都是PCI的必要條件。這些掃描必須在持卡人環(huán)境中執(zhí)行,并可由外部評(píng)估人員或者內(nèi)部員工(不負(fù)責(zé)維護(hù)被掃描系統(tǒng)的人員)進(jìn)行管理。
對(duì)于掃描文檔,企業(yè)應(yīng)該保存記錄,這些記錄需要清楚地展示每三個(gè)月的掃描結(jié)果。只保留最新的掃描紀(jì)錄是不夠的,因?yàn)檫@只能說(shuō)明某個(gè)時(shí)間點(diǎn)的合規(guī)率,而不是所要求的全年掃描計(jì)劃。此外,掃描結(jié)果必須清楚明確,必須每個(gè)季度進(jìn)行管理。任何檢測(cè)到的高風(fēng)險(xiǎn)漏洞都必須盡快修復(fù),并且應(yīng)該進(jìn)行后續(xù)掃描,直到所有問(wèn)題得到順利解決。
Verizon報(bào)告并沒(méi)有詳細(xì)說(shuō)明企業(yè)未能執(zhí)行這種測(cè)試的具體原因,但這可能是因?yàn)橛涗洷4娌蛔?不恰當(dāng)?shù)厥褂镁S護(hù)安全控制的人員來(lái)進(jìn)行掃描;或者在問(wèn)題解決前沒(méi)有反復(fù)進(jìn)行掃描。現(xiàn)在是一個(gè)很好的時(shí)機(jī),企業(yè)應(yīng)該檢查其掃描程序來(lái)確保其中包含關(guān)于內(nèi)部和外部掃描的文檔記錄。
盡管存在這些問(wèn)題,在過(guò)去一年中,PCI合規(guī)世界已經(jīng)走過(guò)了很長(zhǎng)的路。Verizon的研究中樂(lè)觀地指出,企業(yè)PCI DSS平均合規(guī)水平從2011年的52.9%上升到2013年的85.2%。這是重大的一步,這也是個(gè)好兆頭,通過(guò)強(qiáng)化企業(yè)安全狀態(tài)以及降低代價(jià)高昂的數(shù)據(jù)泄露事故的可能性,PCI DSS正在成為日常操作中的一部分。
