Requisito 11.3 Test di penetrazione
Transcript
Requisito 11.3 Test di penetrazione
Standard: Data Security Standard (DSS) Requisito: 11.3 Data: marzo 2008 Supplemento informativo: Requisito 11.3 Test di penetrazione Data di rilascio: 2008-04-15 Supplemento informativo: Payment Card Industry Data Security Standard (PCI DSS) Requisito 11.3 Test di penetrazione Generale Il Requisito 11.3 degli standard PCI DSS riguarda i test di penetrazione, che sono diversi dalle valutazioni delle vulnerabilità esterne ed interne richieste dal Requisito 11.2 degli standard PCI DSS. Una valutazione delle vulnerabilità semplicemente identifica ed evidenzia vulnerabilità note, mentre un test di penetrazione tenta di sfruttare le vulnerabilità per controllare se è possibile accedere in modo non autorizzato ed eseguire altre azioni dannose. I test di penetrazione devono includere test a livello di rete e applicazione nonché altri controlli e processi relativi a reti e applicazioni e devono essere eseguiti sia dall'esterno della rete per verificare l'accesso (test esterno) che dall'interno della rete. Chi esegue i test di penetrazione I test di penetrazione, in base agli standard PCI DSS, non devono necessariamente essere eseguiti da un valutatore qualificato (QSA) o un fornitore di scansioni approvato (ASV), ma possono anche essere eseguiti da una risorsa interna o da una terza parte qualificata. Se i test di penetrazione vengono eseguiti da risorse interne, tali risorse devono avere un'esperienza in materia. Coloro che eseguono i test di penetrazione non devono appartenere a livello organizzativo al management dell'ambiente che viene sottoposto a test. Ad esempio, l'amministratore del firewall non deve eseguire il test di penetrazione del firewall. Reporting e documentazione Si consiglia di documentare sia le metodologie di esecuzione dei test di penetrazione che i risultati. PCI SSC non ha definito requisiti di reporting per i test di penetrazione; tuttavia, i risultati devono essere conservati per consentire azioni di follow-up sui problemi identificati e per essere esaminati dal team di valutazione della conformità agli standard PCI DSS. Ambito L'ambito dei test di penetrazione è l'ambiente dei dati di titolari di carta e tutti i sistemi e le reti ad esso collegati. Se si utilizza la segmentazione di rete per isolare l'ambiente dei dati di titolari di carta dagli altri sistemi e tale segmentazione è stata verificata nell'ambito della valutazione della conformità agli standard PCI DSS, è possibile eseguire il test di penetrazione in modo specifico per l'ambiente dei dati di titolari di carta. Frequenza I test di penetrazione devono essere eseguiti almeno una volta l'anno e dopo ogni aggiornamento o modifica significativa apportati all'infrastruttura o alle applicazioni (ad esempio, l'installazione di nuovi componenti di sistema, l'aggiunta di una subnet o di un server Web). Per "significativo" si intende estremamente dipendente dalla configurazione di un determinato ambiente e, come tale, non definibile da PCI SSC. L'aggiornamento o la modifica, se ha un impatto o consente l'accesso ai dati di titolari di carta, deve essere considerato significativo. La rilevanza di tale aggiornamento o modifica all'interno di una rete altamente segmentata, dove i dati dei titolari di carta sono chiaramente isolati dagli altri dati e funzioni, è molto diversa da quella in una rete in cui ogni persona e dispositivo Lo scopo del documento è fornire informazioni aggiuntive. Le informazioni qui fornite non sostituiscono il Requisito 11.3 degli standard PCI Data Security Standard (DSS). 2 Supplemento informativo: Payment Card Industry Data Security Standard (PCI DSS) Requisito 11.3 Test di penetrazione può potenzialmente accedere ai dati di titolari di carta. Per garantire la sicurezza, si consiglia di sottoporre ai test di penetrazione tutti gli aggiornamenti e tutte le modifiche per essere certi che i controlli presumibilmente in atto funzionino in modo efficace dopo l'aggiornamento o la modifica. Preparazione Esistono diverse metodologie per l'esecuzione dei test di penetrazione. La prima decisione che occorre prendere riguarda il livello di conoscenza ed esperienza della persona che esegue il test relativamente al sistema da sottoporre a test. Se la persona che esegue il test non conosce i sistemi da sottoporre a test, viene utilizzata la metodologia “black box testing", ossia viene eseguito un test funzionale in cui la persona che esegue il test deve identificare la posizione dei sistemi prima di tentare eventuali exploit. Se la persona che esegue il test dispone di conoscenze appropriate, viene utilizzata la metodologia “white box testing", ossia viene eseguito un test strutturale. Se si considera importante una conoscenza del sistema da parte della persona che esegue il test, è possibile ottenere informazioni utili da diversi elementi richiesti da altri requisiti PCI DSS. Tali elementi degli standard PCI DSS sono: • Diagramma della rete (1.1.2) • Risultati di una revisione di un QSA o di un questionario di autovalutazione (SAQ) • Test annuale dei controlli per identificare le vulnerabilità e bloccare l'accesso non autorizzato (11.1) • Risultati di scansioni delle vulnerabilità esterne ed interne trimestrali (11.2) • Risultati dell'ultimo test di penetrazione (11.3) • Identificazione annuale di minacce e vulnerabilità con conseguente valutazione dei rischi (12.1.2) • Revisione annuale delle politiche di sicurezza (politiche che devono essere aggiornate per consentire l'identificazione di nuovi rischi in un'organizzazione) (12.1.3) Si consiglia di esaminare tutta la documentazione precedente e includere minacce e vulnerabilità identificate nei normali processi di valutazione. Metodologia Una volta valutate le minacce e le vulnerabilità, progettare il test per risolvere i rischi identificati nell'ambiente. Il test di penetrazione deve essere appropriato per la complessità e la dimensione di un'organizzazione. Per tale test devono essere prese in considerazione tutte le posizioni dei dati di titolari di carta, tutte le applicazioni chiave che memorizzano, elaborano o trasmettono tali dati, tutte le connessioni di rete e tutti i punti di accesso chiave. I test di penetrazione devono sfruttare vulnerabilità e punti deboli nell'ambiente dei dati di titolari di carta, tentando di penetrare a livello di rete e applicazioni chiave. L'obiettivo dei test di penetrazione è determinare se è possibile accedere in modo non autorizzato a sistemi e file chiave. In tal caso, la vulnerabilità deve essere corretta e il test di penetrazione deve essere nuovamente eseguito fino a ottenere Lo scopo del documento è fornire informazioni aggiuntive. Le informazioni qui fornite non sostituiscono il Requisito 11.3 degli standard PCI Data Security Standard (DSS). 3 Supplemento informativo: Payment Card Industry Data Security Standard (PCI DSS) Requisito 11.3 Test di penetrazione i risultati desiderati, ossia fino a quando non viene rilevato che non è più possibile accedere in modo non autorizzato o eseguire altre attività dannose. Componenti Si consiglia di includere nella metodologia scelta tutte le tecniche di esecuzione di test di penetrazione, quali il social engineering e lo sfruttamento delle vulnerabilità rilevate, controlli di accesso per sistemi e file chiave, applicazioni web-facing, applicazioni personalizzate e connessioni wireless. Considerazioni importanti • Relativamente alla conformità agli standard PCI, test delle vulnerabilità o configurazioni errate che possono portare ad attacchi DoS con un impatto sulla disponibilità delle risorse (rete/server) non devono essere presi in considerazione dal test di penetrazione perché tali vulnerabilità non compromettono i dati dei titolari di carta. • Comunicare tempi e ambito dei test di penetrazione a tutte le parti coinvolte nell'organizzazione. • Eseguire i test in accordo con i processi aziendali critici, incluso il controllo delle modifiche, la continuità aziendale e il ripristino di emergenza. • Eseguire tutti i test di penetrazione durante la manutenzione controllata. Informazioni su PCI Security Standards Council La missione di PCI Security Standards Council è migliorare la sicurezza dei dati relativi ai pagamenti garantendo una formazione appropriata e una conoscenza degli standard PCI DSS e di altri standard che consentono di proteggere in modo più efficiente tali dati. PCI Security Standards Council è un organismo costituito dai principali marchi di carte di pagamento, American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc., per fornire un forum trasparente in cui tutti gli interessati possono dare il loro input per un continuo sviluppo, miglioramento e divulgazione degli standard PCI DSS, dei requisiti di sicurezza PED (PIN Entry Device) e degli standard PA-DSS (Payment Application Data Security Standard). Esercenti, banche, processori e venditori al punto vendita sono invitati a unirsi come organizzazioni partecipanti. Lo scopo del documento è fornire informazioni aggiuntive. Le informazioni qui fornite non sostituiscono il Requisito 11.3 degli standard PCI Data Security Standard (DSS). 4