Procedure per la scansione - PCI Security Standards Council

Payment Card Industry (PCI)
Data Security Standard
Procedure per
la scansione di sicurezza
Versione 1.1
Release: settembre 2006
Indice generale
Finalità ............................................................................................................. 1
Introduzione ..................................................................................................... 1
Ambito di applicazione dei PCI Security Scan ................................................. 1
Procedure per la scansione ............................................................................. 2
Dichiarazioni di conformità .............................................................................. 4
Lettura e interpretazione dei report ................................................................. 4
Livello 5 ..................................................................................................... 6
Livello 4 ..................................................................................................... 6
Livello 3 ..................................................................................................... 6
Livello 2 ..................................................................................................... 7
Livello 1 ..................................................................................................... 7
Procedure per la scansione di sicurezza v 1.1
ii
Finalità
Questo documento spiega l'importanza e l'ambito di applicazione della
scansione di sicurezza secondo le regole stabilite dalla Payment Card
Industry (PCI Security Scan) per quanto riguarda gli esercenti e i provider di
servizi che desiderino ottenere la dichiarazione di conformità allo standard di
sicurezza dei dati (PCI Data Security Standard, PCI DSS). Anche i fornitori di
scansioni approvati (Approved Scanning Vendors, ASV) fanno riferimento a
questo documento per aiutare esercenti e provider di servizi a definire
l'ambito di applicazione del PCI Security Scan.
Introduzione
Lo standard PCI DSS descrive nel dettaglio i requisiti per la sicurezza di
esercenti e provider di servizi che gestiscono i dati dei titolari delle carte
(memorizzazione, elaborazione o trasmissione). Per dimostrare la conformità
allo standard PCI DSS, ad esercenti e provider di servizi potrebbe essere
richiesto di eseguire PCI Security Scan periodici sulla base delle indicazioni
fornite dalle singole società che emettono le carte di pagamento.
I PCI Security Scan sono scansioni condotte su Internet da un ASV. I PCI
Security Scan sono uno strumento indispensabile e devono essere utilizzati
contestualmente a un programma di gestione delle vulnerabilità. Le scansioni
consentono di identificare le vulnerabilità e gli errori di configurazione di siti
Web, applicazioni e infrastrutture IT con indirizzi IP utilizzati in Internet.
I risultati di queste scansioni offrono informazioni preziose per una gestione
efficace delle patch e di altre misure di sicurezza atte a migliorare la
protezione contro attacchi provenienti da Internet.
I PCI Security Scan sono indicati per tutti gli esercenti e i provider di servizi
con indirizzi IP utilizzati in Internet. Anche se un'entità non dovesse offrire
transazioni basate su Internet, è possibile che gli altri servizi che offre
rendano i suoi sistemi accessibili da Internet. Operazioni banali come l'invio e
la ricezione di posta elettronica e la navigazione su Internet da parte dei
dipendenti di un'azienda potrebbero rendere la rete di quest'ultima
accessibile da Internet. Percorsi apparentemente insignificanti da e verso
Internet possono infatti rappresentare passaggi non protetti dentro i sistemi
degli esercenti e dei provider di servizi e, se non vengono adeguatamente
controllati, possono esporre i dati dei titolari delle carte a potenziali rischi.
Ambito di applicazione dei PCI Security Scan
I requisiti PCI prevedono che la scansione delle vulnerabilità venga eseguita
su tutti gli indirizzi IP utilizzati in Internet. Se l'ASV rileva indirizzi IP attivi che
non erano inclusi nell'elenco iniziale fornito dal cliente, egli è tenuto a
comunicarli al cliente per concordare insieme a lui se includere anche questi
Procedure per la scansione di sicurezza v 1.1
1
indirizzi IP nella scansione. Alcune società possono infatti avere a
disposizione un numero più ampio di indirizzi IP rispetto a quelli abilitati
all'accettazione e all'elaborazione delle carte. In questi casi, gli ASV possono
aiutare gli esercenti e i provider di servizi a definire l'effettivo ambito di
applicazione della scansione richiesta ai fini della dichiarazione di conformità
PCI. In generale, è possibile utilizzare i seguenti metodi di segmentazione
per restringere l'ambito di applicazione del PCI Security Scan:
•
Creare una segmentazione fisica tra il segmento che gestisce i dati dei
titolari delle carte e gli altri segmenti.
•
Adottare una segmentazione logica adeguata laddove il traffico è proibito
tra il segmento o la rete che gestiscono i dati dei titolari delle carte e gli
altri segmenti o le altre reti.
Spetta comunque agli esercenti e ai provider di servizi definire l'ambito di
applicazione del PCI Security Scan, sebbene gli ASV possano contribuire alla
decisione con la loro esperienza. L'esercente o il provider di servizi sarà
ritenuto direttamente responsabile qualora i dati di un account siano
compromessi attraverso un indirizzo IP o un componente che non è stato
incluso nella scansione.
Procedure per la scansione
Ai fini della conformità ai requisiti del PCI Security Scan, gli esercenti e i
provider di servizi devono sottoporre a scansione i propri siti Web e le proprie
infrastrutture IT con indirizzi IP utilizzati in Internet, attenendosi strettamente
alle seguenti procedure:
1. Tutte le scansioni devono essere effettuate da un ASV approvato (elenco
degli ASV a cura del PCI Security Standards Council).
Gli ASV sono tenuti a eseguire le scansioni nel rispetto delle
procedure delineate nel documento “Technical and Operational
Requirements for Approved Scanning Vendors (ASVs)”. In base a
queste procedure, l'ambiente del cliente deve continuare a funzionare
normalmente e l'ASV deve impegnarsi a non penetrare o alterare in
alcun modo tale ambiente.
2. Il Requisito 11.2 dello standard PCI DSS prevede che le scansioni
abbiano cadenza trimestrale.
3. Prima di sottoporre a scansione il proprio sito Web e la propria
infrastruttura IT, gli esercenti e i provider di servizi sono tenuti a:
•
Fornire all'ASV un elenco completo degli indirizzi IP e/o delle serie di
indirizzi IP utilizzati in Internet.
•
Fornire all'ASV un elenco completo dei domini da sottoporre a
scansione nel caso in cui utilizzino l'hosting virtuale basato sui domini.
Procedure per la scansione di sicurezza v 1.1
2
4. Facendo riferimento alla serie di indirizzi IP fornitigli dal cliente, l'ASV
deve sondare la rete e determinare quali di questi indirizzi IP e servizi
sono attivi.
5. Gli esercenti e i provider di servizi devono sottoscrivere con l'ASV un
contratto che preveda scansioni periodiche di tutti gli indirizzi IP (o i
domini, se pertinenti) e i dispositivi.
6. L'ASV deve includere nella scansione tutti i dispositivi che agiscono da
filtro, quali firewall o router esterni (se impiegati per filtrare il traffico). Se è
stata definita una zona demilitarizzata (DMZ) mediante l'uso di un firewall
o un router, anche questi dispositivi devono essere sottoposti alla
scansione delle vulnerabilità.
7. L'ASV è tenuto a eseguire la scansione di tutti i server Web.
I server Web permettono agli utenti di Internet di visualizzare le
pagine Web e di interagire con i Web Merchant. Poiché tali server
sono totalmente accessibili dalla rete Internet pubblica, è
fondamentale che venga eseguita una scansione delle loro
vulnerabilità.
8. L'ASV è tenuto a eseguire la scansione degli eventuali application server
presenti.
Gli application server agiscono da interfaccia tra il server Web e i
database di back-end e i sistemi legacy. Ad esempio, quando i titolari
delle carte condividono i loro numeri di account con gli esercenti o i
provider di servizi, l'application server svolge il compito di trasportare
questi dati da e verso la rete protetta. Gli hacker sfruttano le
vulnerabilità insite in questi server e nei loro script, riuscendo ad
accedere ai database interni in cui sono potenzialmente memorizzati i
dati delle carte di credito.
Alcune configurazioni di siti Web non prevedono l'uso di application
server, in quanto è il server Web stesso a svolgere queste funzioni.
9. L'ASV è tenuto a eseguire la scansione dei server DNS.
I server dei nomi dei domini (Domain Name Servers, DNS) risolvono
gli indirizzi Internet traducendo i nomi dei domini in indirizzi IP. Gli
esercenti e i provider di servizi possono utilizzare un server DNS di
loro proprietà oppure ricorrere a un servizio DNS esterno, che viene
loro fornito da un provider ISP (Internet Service Provider). Se i server
DNS sono vulnerabili, gli hacker possono utilizzare la tecnica
denominata "spoofing" su una pagina Web dell'esercente o del
provider di servizi e raccogliere informazioni sulle carte di credito.
10. L'ASV è tenuto a eseguire la scansione dei server di posta.
I server di posta sono in genere collocati nella zona DMZ e possono
diventare vulnerabili agli attacchi degli hacker. Per garantire la
Procedure per la scansione di sicurezza v 1.1
3
sicurezza complessiva del sito Web, è cruciale proteggere questi
server.
11. L'ASV è tenuto a eseguire la scansione degli host virtuali.
Quando si utilizza un ambiente di hosting condiviso, è pratica comune
avere un unico server che funge da host per più siti Web. In questo
caso, l'esercente condivide il server con gli altri clienti della società di
hosting, pertanto il suo sito Web potrebbe essere sottoposto a
interferenze attraverso gli altri siti Web che risiedono sul server host.
Tutti gli esercenti che utilizzano un server host esterno per i propri siti
Web devono pretendere dai provider di hosting che le loro serie di
indirizzi IP utilizzati in Internet siano sottoposte a scansione e che
venga dimostrata la conformità agli standard. Dal canto loro, gli
esercenti sono tenuti a sottoporre a scansione i propri domini.
12. L'ASV è tenuto a eseguire la scansione degli access point wireless nelle
reti LAN wireless (WLAN).
L'uso di reti WLAN introduce nuovi rischi per la sicurezza che devono
essere individuati e posti sotto controllo. Entità diverse (ad esempio
esercenti, processor, gateway, provider di servizi) sono chiamati a
eseguire scansioni dei componenti wireless collegati a Internet in
modo da individuare potenziali vulnerabilità ed errori di
configurazione.
13. È necessario configurare il sistema anti-intrusione (intrusion detection
system/intrusion prevention system, IDS/IPS) in modo che accetti
l'indirizzo IP di origine dell'ASV. Se ciò non fosse possibile, la scansione
dovrebbe essere avviata da una posizione che non comporti interferenze
da parte del sistema IDS/IPS.
Dichiarazioni di conformità
Gli esercenti e i provider di servizi sono tenuti al rispetto dei requisiti per le
dichiarazioni di conformità previsti dalle singole società che emettono le carte
di pagamento, in modo da garantire che ciascuna di esse riconosca lo stato
di conformità dell'entità. Mentre i report delle scansioni devono
necessariamente avere lo stesso formato, i risultati devono essere trasmessi
secondo i requisiti dettati da ciascuna società che emette le carte di
pagamento. Per sapere a chi devono essere trasmessi i risultati, è possibile
rivolgersi alla propria banca acquirente o verificare le informazioni pubblicate
sui siti Web locali delle società che emettono le carte di pagamento.
Lettura e interpretazione dei report
Gli ASV producono un report informativo basato sui risultati della scansione
della rete.
Procedure per la scansione di sicurezza v 1.1
4
Nel report della scansione sono fornite informazioni quali il tipo di
vulnerabilità o di rischio rilevato, una diagnosi dei problemi associati e
indicazioni su come porre rimedio alle vulnerabilità isolate. Nel report viene
assegnata una classe di rischio a ciascuna vulnerabilità rilevata dalla
scansione.
Ciascun ASV può elaborare un proprio metodo per la segnalazione delle
vulnerabilità nei report, tuttavia deve segnalare i rischi di alto livello in modo
uniforme per garantire una classificazione chiara e coerente. Per una corretta
interpretazione dei report delle scansioni, chiedere delucidazioni al proprio
ASV.
La Tabella 1 mostra una soluzione idonea per la classificazione delle
vulnerabilità rilevate da una scansione della rete. I tipi di vulnerabilità e rischi
ritenuti di alto livello sono evidenziati chiaramente.
Ai fini della dichiarazione di conformità, la scansione non dovrebbe rilevare
nessuna vulnerabilità di alto livello. Il report della scansione non dovrebbe
contenere nessuna vulnerabilità che suggerisca una violazione dello standard
PCI DSS in alcune funzioni o configurazioni. Nel caso queste esistano, l'ASV
deve necessariamente consultarsi con il cliente per stabilire se si tratta
effettivamente di violazioni dello standard PCI DSS e di conseguenza
rilasciare una dichiarazione di non conformità.
Le vulnerabilità di alto livello sono classificate con i livelli 3, 4 e 5.
Procedure per la scansione di sicurezza v 1.1
5
Livello Gravità
Descrizione
5
Urgente
Cavalli di Troia; accesso ai file in lettura e scrittura; esecuzione
di comandi in remoto
4
Critica
Potenziali Cavalli di Troia; accesso ai file in lettura
3
Alta
Accesso limitato in lettura; browsing delle directory; DoS
2
Media
Informazioni sensibili sulla configurazione a portata di mano
degli hacker
1
Bassa
Informazioni sulla configurazione a portata di mano degli
hacker
Tabella 1 Classificazione delle vulnerabilità per livelli di gravità
Livello 5
Le vulnerabilità di 5° livello consentono all'autore di un attacco di esercitare la
funzione di amministratore o utente root. Con questo livello di vulnerabilità,
un hacker potrebbe compromettere l'intero host. Rientrano nel 5° livello tutte
le vulnerabilità che consentono a un hacker di accedere al sistema dei file in
lettura e scrittura e di eseguire comandi in remoto come utente root o
amministratore. Anche la presenza di backdoor e Cavalli di Troia è
considerata una vulnerabilità di 5° livello.
Livello 4
Le vulnerabilità di 4° livello consentono all'autore di un attacco di esercitare le
funzioni di utente remoto, ma non di utente root o amministratore. Le
vulnerabilità di 4° livello consentono a un hacker l'accesso parziale al file
system (ad esempio, accesso in lettura ma non in scrittura). Tutte le
vulnerabilità che mettono a rischio informazioni altamente sensibili sono
considerate vulnerabilità di 4° livello.
Livello 3
Le vulnerabilità di 3° livello assicurano a un hacker l'accesso a specifiche
informazioni memorizzate sull'host, comprese le impostazioni di sicurezza. Le
vulnerabilità di questo livello possono essere causa di un uso improprio
dell'host da parte di intrusi. Alcuni esempi di vulnerabilità di 3° livello sono:
parziale rivelazione del contenuto dei file; accesso ad alcuni file sull'host;
browsing delle directory; rivelazione delle regole per filtri e meccanismi di
sicurezza; suscettibilità ad attacchi DoS (Denial of Service, negazione del
servizio); uso non autorizzato dei servizi, come il relay della posta.
Procedure per la scansione di sicurezza v 1.1
6
Livello 2
Le vulnerabilità di 2° livello rivelano informazioni sensibili sull'host, ad
esempio le esatte versioni dei servizi. Un hacker può sfruttare queste
informazioni per individuare possibili attacchi contro un host.
Livello 1
Le vulnerabilità di 1° livello rivelano informazioni come, ad esempio, quali
porte sono aperte.
Procedure per la scansione di sicurezza v 1.1
7