PCI DSS:為什么漏洞評估和滲透測試那么難?
責編:admin |2014-07-20 12:48:472014年Verizon PCI合規報告對世界各地的PCI DSS合規狀態進行了評估。令人驚訝的是,該報告發現“要求11”的合規率最低,盡管很多安全專業人士認為這是該報告中最直接的規定之一,該要求規定企業應對安全系統和流程定期進行測試。
接下來我們將探討被Verizon列為‘合規絆腳石’的兩個具體領域,以及企業應該如何將它們構建到PCI DSS合規計劃中。
滲透測試
安全專業人士都知道,PCI DSS要求企業環境的滲透測試需采用行業公認的方法,例如NIST SP 800-115。并且,這些測試必須至少每年進行一次,而且在持卡人數據環境作出任何重大變更之后必須重復測試。
Verizon發現的第一個問題是,60%的企業未能提供證據證明他們在過去的一年中執行了滲透測試。當涉及PCI合規時,維護滲透測試的文檔幾乎和實際執行測試同樣重要。審計員不會相信你的一面之詞,他們希望看到證據。
企業可能會遇到的第二個問題出現在處理滲透測試結果的過程中。PCI要求企業對滲透測試發現的結果采取行動。具體來說,如果測試發現任何可利用的漏洞,企業必須修復問題,然后重復測試。滲透測試周期要到漏洞被修復才完成,滲透測試需要提供系統已修復漏洞的證明書。根據Verizon PCI合規報告,只有44%的企業滿足這一要求。
通過確保以符合PCI法律條文的方式執行滲透測試,企業可以避開這些滲透測試的雷區。企業并沒有必要聘請QSA或者ASV來執行測試。如果企業使用內部人員,應該確保這些人員符合要求并且獨立于工作人員維護系統,同時企業還應該保留滲透測試的證據。企業內符合要求的工作人員應該是內部審計團隊的人員。
漏洞掃描
漏洞掃描是很多企業在PCI合規中容易出錯的另一個領域。例如,該報告發現,不到一半的企業會執行內部漏洞掃描或由認可的掃描供應商進行外部掃描,這兩者都是PCI的必要條件。這些掃描必須在持卡人環境中執行,并可由外部評估人員或者內部員工(不負責維護被掃描系統的人員)進行管理。
對于掃描文檔,企業應該保存記錄,這些記錄需要清楚地展示每三個月的掃描結果。只保留最新的掃描紀錄是不夠的,因為這只能說明某個時間點的合規率,而不是所要求的全年掃描計劃。此外,掃描結果必須清楚明確,必須每個季度進行管理。任何檢測到的高風險漏洞都必須盡快修復,并且應該進行后續掃描,直到所有問題得到順利解決。
Verizon報告并沒有詳細說明企業未能執行這種測試的具體原因,但這可能是因為記錄保存不足;不恰當地使用維護安全控制的人員來進行掃描;或者在問題解決前沒有反復進行掃描。現在是一個很好的時機,企業應該檢查其掃描程序來確保其中包含關于內部和外部掃描的文檔記錄。
盡管存在這些問題,在過去一年中,PCI合規世界已經走過了很長的路。Verizon的研究中樂觀地指出,企業PCI DSS平均合規水平從2011年的52.9%上升到2013年的85.2%。這是重大的一步,這也是個好兆頭,通過強化企業安全狀態以及降低代價高昂的數據泄露事故的可能性,PCI DSS正在成為日常操作中的一部分。