Requisito 11.3 Test di penetrazione

 Standard: Data Security Standard (DSS)
Requisito: 11.3
Data: marzo 2008
Supplemento informativo:
Requisito 11.3 Test di
penetrazione
Data di rilascio: 2008-04-15
Supplemento informativo: Payment Card Industry Data Security Standard (PCI DSS) Requisito 11.3 Test di penetrazione
Generale
Il Requisito 11.3 degli standard PCI DSS riguarda i test di penetrazione, che sono diversi
dalle valutazioni delle vulnerabilità esterne ed interne richieste dal Requisito 11.2 degli
standard PCI DSS. Una valutazione delle vulnerabilità semplicemente identifica ed
evidenzia vulnerabilità note, mentre un test di penetrazione tenta di sfruttare le
vulnerabilità per controllare se è possibile accedere in modo non autorizzato ed eseguire
altre azioni dannose. I test di penetrazione devono includere test a livello di rete e
applicazione nonché altri controlli e processi relativi a reti e applicazioni e devono essere
eseguiti sia dall'esterno della rete per verificare l'accesso (test esterno) che dall'interno
della rete.
Chi esegue i test di penetrazione
I test di penetrazione, in base agli standard PCI DSS, non devono necessariamente
essere eseguiti da un valutatore qualificato (QSA) o un fornitore di scansioni approvato
(ASV), ma possono anche essere eseguiti da una risorsa interna o da una terza parte
qualificata. Se i test di penetrazione vengono eseguiti da risorse interne, tali risorse
devono avere un'esperienza in materia. Coloro che eseguono i test di penetrazione non
devono appartenere a livello organizzativo al management dell'ambiente che viene
sottoposto a test. Ad esempio, l'amministratore del firewall non deve eseguire il test di
penetrazione del firewall.
Reporting e documentazione
Si consiglia di documentare sia le metodologie di esecuzione dei test di penetrazione che
i risultati. PCI SSC non ha definito requisiti di reporting per i test di penetrazione; tuttavia,
i risultati devono essere conservati per consentire azioni di follow-up sui problemi
identificati e per essere esaminati dal team di valutazione della conformità agli standard
PCI DSS.
Ambito
L'ambito dei test di penetrazione è l'ambiente dei dati di titolari di carta e tutti i sistemi e le
reti ad esso collegati. Se si utilizza la segmentazione di rete per isolare l'ambiente dei
dati di titolari di carta dagli altri sistemi e tale segmentazione è stata verificata nell'ambito
della valutazione della conformità agli standard PCI DSS, è possibile eseguire il test di
penetrazione in modo specifico per l'ambiente dei dati di titolari di carta.
Frequenza
I test di penetrazione devono essere eseguiti almeno una volta l'anno e dopo ogni
aggiornamento o modifica significativa apportati all'infrastruttura o alle applicazioni (ad
esempio, l'installazione di nuovi componenti di sistema, l'aggiunta di una subnet o di un
server Web). Per "significativo" si intende estremamente dipendente dalla configurazione
di un determinato ambiente e, come tale, non definibile da PCI SSC. L'aggiornamento o
la modifica, se ha un impatto o consente l'accesso ai dati di titolari di carta, deve essere
considerato significativo. La rilevanza di tale aggiornamento o modifica all'interno di una
rete altamente segmentata, dove i dati dei titolari di carta sono chiaramente isolati dagli
altri dati e funzioni, è molto diversa da quella in una rete in cui ogni persona e dispositivo
Lo scopo del documento è fornire informazioni aggiuntive. Le informazioni qui fornite non sostituiscono il Requisito 11.3 degli standard PCI Data Security
Standard (DSS).
2
Supplemento informativo: Payment Card Industry Data Security Standard (PCI DSS) Requisito 11.3 Test di penetrazione
può potenzialmente accedere ai dati di titolari di carta. Per garantire la sicurezza, si
consiglia di sottoporre ai test di penetrazione tutti gli aggiornamenti e tutte le modifiche
per essere certi che i controlli presumibilmente in atto funzionino in modo efficace dopo
l'aggiornamento o la modifica.
Preparazione
Esistono diverse metodologie per l'esecuzione dei test di penetrazione. La prima
decisione che occorre prendere riguarda il livello di conoscenza ed esperienza della
persona che esegue il test relativamente al sistema da sottoporre a test. Se la persona
che esegue il test non conosce i sistemi da sottoporre a test, viene utilizzata la
metodologia “black box testing", ossia viene eseguito un test funzionale in cui la persona
che esegue il test deve identificare la posizione dei sistemi prima di tentare eventuali
exploit. Se la persona che esegue il test dispone di conoscenze appropriate, viene
utilizzata la metodologia “white box testing", ossia viene eseguito un test strutturale.
Se si considera importante una conoscenza del sistema da parte della persona che
esegue il test, è possibile ottenere informazioni utili da diversi elementi richiesti da altri
requisiti PCI DSS. Tali elementi degli standard PCI DSS sono:
•
Diagramma della rete (1.1.2)
•
Risultati di una revisione di un QSA o di un questionario di autovalutazione
(SAQ)
•
Test annuale dei controlli per identificare le vulnerabilità e bloccare l'accesso non
autorizzato (11.1)
•
Risultati di scansioni delle vulnerabilità esterne ed interne trimestrali (11.2)
•
Risultati dell'ultimo test di penetrazione (11.3)
•
Identificazione annuale di minacce e vulnerabilità con conseguente valutazione
dei rischi (12.1.2)
•
Revisione annuale delle politiche di sicurezza (politiche che devono essere
aggiornate per consentire l'identificazione di nuovi rischi in un'organizzazione)
(12.1.3)
Si consiglia di esaminare tutta la documentazione precedente e includere minacce e
vulnerabilità identificate nei normali processi di valutazione.
Metodologia
Una volta valutate le minacce e le vulnerabilità, progettare il test per risolvere i rischi
identificati nell'ambiente. Il test di penetrazione deve essere appropriato per la
complessità e la dimensione di un'organizzazione. Per tale test devono essere prese in
considerazione tutte le posizioni dei dati di titolari di carta, tutte le applicazioni chiave che
memorizzano, elaborano o trasmettono tali dati, tutte le connessioni di rete e tutti i punti
di accesso chiave. I test di penetrazione devono sfruttare vulnerabilità e punti deboli
nell'ambiente dei dati di titolari di carta, tentando di penetrare a livello di rete e
applicazioni chiave. L'obiettivo dei test di penetrazione è determinare se è possibile
accedere in modo non autorizzato a sistemi e file chiave. In tal caso, la vulnerabilità deve
essere corretta e il test di penetrazione deve essere nuovamente eseguito fino a ottenere
Lo scopo del documento è fornire informazioni aggiuntive. Le informazioni qui fornite non sostituiscono il Requisito 11.3 degli standard PCI Data Security
Standard (DSS).
3
Supplemento informativo: Payment Card Industry Data Security Standard (PCI DSS) Requisito 11.3 Test di penetrazione
i risultati desiderati, ossia fino a quando non viene rilevato che non è più possibile
accedere in modo non autorizzato o eseguire altre attività dannose.
Componenti
Si consiglia di includere nella metodologia scelta tutte le tecniche di esecuzione di test di
penetrazione, quali il social engineering e lo sfruttamento delle vulnerabilità rilevate,
controlli di accesso per sistemi e file chiave, applicazioni web-facing, applicazioni
personalizzate e connessioni wireless.
Considerazioni importanti
•
Relativamente alla conformità agli standard PCI, test delle vulnerabilità o
configurazioni errate che possono portare ad attacchi DoS con un impatto sulla
disponibilità delle risorse (rete/server) non devono essere presi in considerazione
dal test di penetrazione perché tali vulnerabilità non compromettono i dati dei
titolari di carta.
•
Comunicare tempi e ambito dei test di penetrazione a tutte le parti coinvolte
nell'organizzazione.
•
Eseguire i test in accordo con i processi aziendali critici, incluso il controllo delle
modifiche, la continuità aziendale e il ripristino di emergenza.
•
Eseguire tutti i test di penetrazione durante la manutenzione controllata.
Informazioni su PCI Security Standards Council
La missione di PCI Security Standards Council è migliorare la sicurezza dei dati relativi ai
pagamenti garantendo una formazione appropriata e una conoscenza degli standard PCI
DSS e di altri standard che consentono di proteggere in modo più efficiente tali dati.
PCI Security Standards Council è un organismo costituito dai principali marchi di carte di
pagamento, American Express, Discover Financial Services, JCB International,
MasterCard Worldwide e Visa Inc., per fornire un forum trasparente in cui tutti gli
interessati possono dare il loro input per un continuo sviluppo, miglioramento e
divulgazione degli standard PCI DSS, dei requisiti di sicurezza PED (PIN Entry Device) e
degli standard PA-DSS (Payment Application Data Security Standard). Esercenti,
banche, processori e venditori al punto vendita sono invitati a unirsi come organizzazioni
partecipanti.
Lo scopo del documento è fornire informazioni aggiuntive. Le informazioni qui fornite non sostituiscono il Requisito 11.3 degli standard PCI Data Security
Standard (DSS).
4