Procedure per la scansione - PCI Security Standards Council
Transcript
Procedure per la scansione - PCI Security Standards Council
Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità ............................................................................................................. 1 Introduzione ..................................................................................................... 1 Ambito di applicazione dei PCI Security Scan ................................................. 1 Procedure per la scansione ............................................................................. 2 Dichiarazioni di conformità .............................................................................. 4 Lettura e interpretazione dei report ................................................................. 4 Livello 5 ..................................................................................................... 6 Livello 4 ..................................................................................................... 6 Livello 3 ..................................................................................................... 6 Livello 2 ..................................................................................................... 7 Livello 1 ..................................................................................................... 7 Procedure per la scansione di sicurezza v 1.1 ii Finalità Questo documento spiega l'importanza e l'ambito di applicazione della scansione di sicurezza secondo le regole stabilite dalla Payment Card Industry (PCI Security Scan) per quanto riguarda gli esercenti e i provider di servizi che desiderino ottenere la dichiarazione di conformità allo standard di sicurezza dei dati (PCI Data Security Standard, PCI DSS). Anche i fornitori di scansioni approvati (Approved Scanning Vendors, ASV) fanno riferimento a questo documento per aiutare esercenti e provider di servizi a definire l'ambito di applicazione del PCI Security Scan. Introduzione Lo standard PCI DSS descrive nel dettaglio i requisiti per la sicurezza di esercenti e provider di servizi che gestiscono i dati dei titolari delle carte (memorizzazione, elaborazione o trasmissione). Per dimostrare la conformità allo standard PCI DSS, ad esercenti e provider di servizi potrebbe essere richiesto di eseguire PCI Security Scan periodici sulla base delle indicazioni fornite dalle singole società che emettono le carte di pagamento. I PCI Security Scan sono scansioni condotte su Internet da un ASV. I PCI Security Scan sono uno strumento indispensabile e devono essere utilizzati contestualmente a un programma di gestione delle vulnerabilità. Le scansioni consentono di identificare le vulnerabilità e gli errori di configurazione di siti Web, applicazioni e infrastrutture IT con indirizzi IP utilizzati in Internet. I risultati di queste scansioni offrono informazioni preziose per una gestione efficace delle patch e di altre misure di sicurezza atte a migliorare la protezione contro attacchi provenienti da Internet. I PCI Security Scan sono indicati per tutti gli esercenti e i provider di servizi con indirizzi IP utilizzati in Internet. Anche se un'entità non dovesse offrire transazioni basate su Internet, è possibile che gli altri servizi che offre rendano i suoi sistemi accessibili da Internet. Operazioni banali come l'invio e la ricezione di posta elettronica e la navigazione su Internet da parte dei dipendenti di un'azienda potrebbero rendere la rete di quest'ultima accessibile da Internet. Percorsi apparentemente insignificanti da e verso Internet possono infatti rappresentare passaggi non protetti dentro i sistemi degli esercenti e dei provider di servizi e, se non vengono adeguatamente controllati, possono esporre i dati dei titolari delle carte a potenziali rischi. Ambito di applicazione dei PCI Security Scan I requisiti PCI prevedono che la scansione delle vulnerabilità venga eseguita su tutti gli indirizzi IP utilizzati in Internet. Se l'ASV rileva indirizzi IP attivi che non erano inclusi nell'elenco iniziale fornito dal cliente, egli è tenuto a comunicarli al cliente per concordare insieme a lui se includere anche questi Procedure per la scansione di sicurezza v 1.1 1 indirizzi IP nella scansione. Alcune società possono infatti avere a disposizione un numero più ampio di indirizzi IP rispetto a quelli abilitati all'accettazione e all'elaborazione delle carte. In questi casi, gli ASV possono aiutare gli esercenti e i provider di servizi a definire l'effettivo ambito di applicazione della scansione richiesta ai fini della dichiarazione di conformità PCI. In generale, è possibile utilizzare i seguenti metodi di segmentazione per restringere l'ambito di applicazione del PCI Security Scan: • Creare una segmentazione fisica tra il segmento che gestisce i dati dei titolari delle carte e gli altri segmenti. • Adottare una segmentazione logica adeguata laddove il traffico è proibito tra il segmento o la rete che gestiscono i dati dei titolari delle carte e gli altri segmenti o le altre reti. Spetta comunque agli esercenti e ai provider di servizi definire l'ambito di applicazione del PCI Security Scan, sebbene gli ASV possano contribuire alla decisione con la loro esperienza. L'esercente o il provider di servizi sarà ritenuto direttamente responsabile qualora i dati di un account siano compromessi attraverso un indirizzo IP o un componente che non è stato incluso nella scansione. Procedure per la scansione Ai fini della conformità ai requisiti del PCI Security Scan, gli esercenti e i provider di servizi devono sottoporre a scansione i propri siti Web e le proprie infrastrutture IT con indirizzi IP utilizzati in Internet, attenendosi strettamente alle seguenti procedure: 1. Tutte le scansioni devono essere effettuate da un ASV approvato (elenco degli ASV a cura del PCI Security Standards Council). Gli ASV sono tenuti a eseguire le scansioni nel rispetto delle procedure delineate nel documento “Technical and Operational Requirements for Approved Scanning Vendors (ASVs)”. In base a queste procedure, l'ambiente del cliente deve continuare a funzionare normalmente e l'ASV deve impegnarsi a non penetrare o alterare in alcun modo tale ambiente. 2. Il Requisito 11.2 dello standard PCI DSS prevede che le scansioni abbiano cadenza trimestrale. 3. Prima di sottoporre a scansione il proprio sito Web e la propria infrastruttura IT, gli esercenti e i provider di servizi sono tenuti a: • Fornire all'ASV un elenco completo degli indirizzi IP e/o delle serie di indirizzi IP utilizzati in Internet. • Fornire all'ASV un elenco completo dei domini da sottoporre a scansione nel caso in cui utilizzino l'hosting virtuale basato sui domini. Procedure per la scansione di sicurezza v 1.1 2 4. Facendo riferimento alla serie di indirizzi IP fornitigli dal cliente, l'ASV deve sondare la rete e determinare quali di questi indirizzi IP e servizi sono attivi. 5. Gli esercenti e i provider di servizi devono sottoscrivere con l'ASV un contratto che preveda scansioni periodiche di tutti gli indirizzi IP (o i domini, se pertinenti) e i dispositivi. 6. L'ASV deve includere nella scansione tutti i dispositivi che agiscono da filtro, quali firewall o router esterni (se impiegati per filtrare il traffico). Se è stata definita una zona demilitarizzata (DMZ) mediante l'uso di un firewall o un router, anche questi dispositivi devono essere sottoposti alla scansione delle vulnerabilità. 7. L'ASV è tenuto a eseguire la scansione di tutti i server Web. I server Web permettono agli utenti di Internet di visualizzare le pagine Web e di interagire con i Web Merchant. Poiché tali server sono totalmente accessibili dalla rete Internet pubblica, è fondamentale che venga eseguita una scansione delle loro vulnerabilità. 8. L'ASV è tenuto a eseguire la scansione degli eventuali application server presenti. Gli application server agiscono da interfaccia tra il server Web e i database di back-end e i sistemi legacy. Ad esempio, quando i titolari delle carte condividono i loro numeri di account con gli esercenti o i provider di servizi, l'application server svolge il compito di trasportare questi dati da e verso la rete protetta. Gli hacker sfruttano le vulnerabilità insite in questi server e nei loro script, riuscendo ad accedere ai database interni in cui sono potenzialmente memorizzati i dati delle carte di credito. Alcune configurazioni di siti Web non prevedono l'uso di application server, in quanto è il server Web stesso a svolgere queste funzioni. 9. L'ASV è tenuto a eseguire la scansione dei server DNS. I server dei nomi dei domini (Domain Name Servers, DNS) risolvono gli indirizzi Internet traducendo i nomi dei domini in indirizzi IP. Gli esercenti e i provider di servizi possono utilizzare un server DNS di loro proprietà oppure ricorrere a un servizio DNS esterno, che viene loro fornito da un provider ISP (Internet Service Provider). Se i server DNS sono vulnerabili, gli hacker possono utilizzare la tecnica denominata "spoofing" su una pagina Web dell'esercente o del provider di servizi e raccogliere informazioni sulle carte di credito. 10. L'ASV è tenuto a eseguire la scansione dei server di posta. I server di posta sono in genere collocati nella zona DMZ e possono diventare vulnerabili agli attacchi degli hacker. Per garantire la Procedure per la scansione di sicurezza v 1.1 3 sicurezza complessiva del sito Web, è cruciale proteggere questi server. 11. L'ASV è tenuto a eseguire la scansione degli host virtuali. Quando si utilizza un ambiente di hosting condiviso, è pratica comune avere un unico server che funge da host per più siti Web. In questo caso, l'esercente condivide il server con gli altri clienti della società di hosting, pertanto il suo sito Web potrebbe essere sottoposto a interferenze attraverso gli altri siti Web che risiedono sul server host. Tutti gli esercenti che utilizzano un server host esterno per i propri siti Web devono pretendere dai provider di hosting che le loro serie di indirizzi IP utilizzati in Internet siano sottoposte a scansione e che venga dimostrata la conformità agli standard. Dal canto loro, gli esercenti sono tenuti a sottoporre a scansione i propri domini. 12. L'ASV è tenuto a eseguire la scansione degli access point wireless nelle reti LAN wireless (WLAN). L'uso di reti WLAN introduce nuovi rischi per la sicurezza che devono essere individuati e posti sotto controllo. Entità diverse (ad esempio esercenti, processor, gateway, provider di servizi) sono chiamati a eseguire scansioni dei componenti wireless collegati a Internet in modo da individuare potenziali vulnerabilità ed errori di configurazione. 13. È necessario configurare il sistema anti-intrusione (intrusion detection system/intrusion prevention system, IDS/IPS) in modo che accetti l'indirizzo IP di origine dell'ASV. Se ciò non fosse possibile, la scansione dovrebbe essere avviata da una posizione che non comporti interferenze da parte del sistema IDS/IPS. Dichiarazioni di conformità Gli esercenti e i provider di servizi sono tenuti al rispetto dei requisiti per le dichiarazioni di conformità previsti dalle singole società che emettono le carte di pagamento, in modo da garantire che ciascuna di esse riconosca lo stato di conformità dell'entità. Mentre i report delle scansioni devono necessariamente avere lo stesso formato, i risultati devono essere trasmessi secondo i requisiti dettati da ciascuna società che emette le carte di pagamento. Per sapere a chi devono essere trasmessi i risultati, è possibile rivolgersi alla propria banca acquirente o verificare le informazioni pubblicate sui siti Web locali delle società che emettono le carte di pagamento. Lettura e interpretazione dei report Gli ASV producono un report informativo basato sui risultati della scansione della rete. Procedure per la scansione di sicurezza v 1.1 4 Nel report della scansione sono fornite informazioni quali il tipo di vulnerabilità o di rischio rilevato, una diagnosi dei problemi associati e indicazioni su come porre rimedio alle vulnerabilità isolate. Nel report viene assegnata una classe di rischio a ciascuna vulnerabilità rilevata dalla scansione. Ciascun ASV può elaborare un proprio metodo per la segnalazione delle vulnerabilità nei report, tuttavia deve segnalare i rischi di alto livello in modo uniforme per garantire una classificazione chiara e coerente. Per una corretta interpretazione dei report delle scansioni, chiedere delucidazioni al proprio ASV. La Tabella 1 mostra una soluzione idonea per la classificazione delle vulnerabilità rilevate da una scansione della rete. I tipi di vulnerabilità e rischi ritenuti di alto livello sono evidenziati chiaramente. Ai fini della dichiarazione di conformità, la scansione non dovrebbe rilevare nessuna vulnerabilità di alto livello. Il report della scansione non dovrebbe contenere nessuna vulnerabilità che suggerisca una violazione dello standard PCI DSS in alcune funzioni o configurazioni. Nel caso queste esistano, l'ASV deve necessariamente consultarsi con il cliente per stabilire se si tratta effettivamente di violazioni dello standard PCI DSS e di conseguenza rilasciare una dichiarazione di non conformità. Le vulnerabilità di alto livello sono classificate con i livelli 3, 4 e 5. Procedure per la scansione di sicurezza v 1.1 5 Livello Gravità Descrizione 5 Urgente Cavalli di Troia; accesso ai file in lettura e scrittura; esecuzione di comandi in remoto 4 Critica Potenziali Cavalli di Troia; accesso ai file in lettura 3 Alta Accesso limitato in lettura; browsing delle directory; DoS 2 Media Informazioni sensibili sulla configurazione a portata di mano degli hacker 1 Bassa Informazioni sulla configurazione a portata di mano degli hacker Tabella 1 Classificazione delle vulnerabilità per livelli di gravità Livello 5 Le vulnerabilità di 5° livello consentono all'autore di un attacco di esercitare la funzione di amministratore o utente root. Con questo livello di vulnerabilità, un hacker potrebbe compromettere l'intero host. Rientrano nel 5° livello tutte le vulnerabilità che consentono a un hacker di accedere al sistema dei file in lettura e scrittura e di eseguire comandi in remoto come utente root o amministratore. Anche la presenza di backdoor e Cavalli di Troia è considerata una vulnerabilità di 5° livello. Livello 4 Le vulnerabilità di 4° livello consentono all'autore di un attacco di esercitare le funzioni di utente remoto, ma non di utente root o amministratore. Le vulnerabilità di 4° livello consentono a un hacker l'accesso parziale al file system (ad esempio, accesso in lettura ma non in scrittura). Tutte le vulnerabilità che mettono a rischio informazioni altamente sensibili sono considerate vulnerabilità di 4° livello. Livello 3 Le vulnerabilità di 3° livello assicurano a un hacker l'accesso a specifiche informazioni memorizzate sull'host, comprese le impostazioni di sicurezza. Le vulnerabilità di questo livello possono essere causa di un uso improprio dell'host da parte di intrusi. Alcuni esempi di vulnerabilità di 3° livello sono: parziale rivelazione del contenuto dei file; accesso ad alcuni file sull'host; browsing delle directory; rivelazione delle regole per filtri e meccanismi di sicurezza; suscettibilità ad attacchi DoS (Denial of Service, negazione del servizio); uso non autorizzato dei servizi, come il relay della posta. Procedure per la scansione di sicurezza v 1.1 6 Livello 2 Le vulnerabilità di 2° livello rivelano informazioni sensibili sull'host, ad esempio le esatte versioni dei servizi. Un hacker può sfruttare queste informazioni per individuare possibili attacchi contro un host. Livello 1 Le vulnerabilità di 1° livello rivelano informazioni come, ad esempio, quali porte sono aperte. Procedure per la scansione di sicurezza v 1.1 7