05.06.2024
Индустрия платежных карт всегда привлекает внимание хакеров. Поэтому эта сфера требует повышенного внимания к киберзащите. Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) 31 марта 2022 года опубликовал обновленную версию стандарта PCI DSS 4.0. Прошлая версия стандарта PCI DSS 3.2.1 была отменена после 31 марта 2024 года, и уже действует PCI DSS 4.0.
В этой статье мы рассмотрим только те требования, которые касаются теста на проникновение (пентеста).

Нужно ли выполнять пентест для соответствия требованиям PCI DSS?

Тесты на проникновение должны регулярно проводиться — это одно из требований, которое необходимо выполнить для сертификации PCI DSS. Согласно требованию 11.4, следует проводить внешние и внутренние тесты на проникновение каждые 12 месяцев или после значительных изменений в информационной системе.
Эти требования также устанавливают проверки тестирования сегментации, которые выходят за рамки большинства стандартных тестов на проникновение. В требовании 11.4 четко указано, что компании должны определить, задокументировать и внедрить методологию тестирования на проникновение, которая включает:● Принятые в отрасли подходы к тестированию на проникновение;● Покрытие всего периметра среды данных держателей карт (CDE) и критических систем;● Тестирование внутренней и внешней сети;● Тестирование для подтверждения любых средств управления сегментацией;● Тестирование на проникновение на прикладном уровне для выявления уязвимостей, по крайней мере, перечисленных в требовании 6.2.4;● Тесты на проникновение на сетевом уровне, которые охватывают все компоненты, поддерживающие функции сети, а также операционные системы;● Обзоры и рассмотрение угроз и уязвимостей, возникших за последние 12 месяцев;● Задокументированные подходы к оценке и устранению риска, созданного эксплуатационными уязвимостями, выявленными во время тестирования на проникновение;● Хранение результатов тестирования на проникновение и результатов мероприятий по восстановлению в течение 12 месяцев.
Поставщики услуг должны проводить пентест каждые шесть месяцев и при значительных изменениях в системе. Но что подразумевается под "значительным изменением"?
Понятие "значительные изменения" требует более глубокого понимания, поэтому в версии PCI DSS 4.0 приведено несколько конкретных примеров. Учитывая уникальность каждой компании, для каждой сертификации необходим индивидуальный подход со стороны представителей компании и аудиторов, созданный удобный график проведения пентестов, соответствующий графику изменений в ИТ-инфраструктуре.
Ниже приведены некоторые примеры значительных изменений, требующих дополнительной проверки с помощью тестирования на проникновение:● Добавление любого нового оборудования, программного обеспечения или сетевого оборудования;● Обновление или замена оборудования и программного обеспечения;● Изменения, которые влияют на поток или хранение данных владельца карты;● Изменения, которые влияют на границы CDE или объем вашей оценки PCI DSS;● Изменения во вспомогательной инфраструктуре, такие как каталоговые службы, мониторинг и журналирование;ъ● Любые изменения сторонних поставщиков или служб, поддерживающих CDE.

Требования к сканированию уязвимостей PCI

Сканирование уязвимостей считается важным элементом требований PCI DSS. Требование 11.2 предоставляет следующую информацию. Проводите сканирование уязвимостей внутренней и внешней сетей каждый квартал, особенно после значительных изменений в сети. Устраните обнаруженные уязвимости и, при необходимости, повторите сканирование до достижения успешного результата.

Одно из важных требований PCI DSS - проведение сканирования на наличие уязвимостей. Требование 11.2 настаивает на проведении сканирования внутренней и внешней сетей каждые три месяца, особенно после любых значительных изменений в сети. Обнаруженные уязвимости должны быть устранены, и, при необходимости, сканирование повторяется до достижения успешного результата.
После успешного прохождения первого сканирования на соответствие стандартам PCI DSS компания должна провести еще четыре сканирования в течение следующего года. Внешнее сканирование должно проводиться каждый квартал с привлечением квалифицированного специалиста, который может быть нанят из специализированной компании. Эти сканирования обязательно выполняются после внесения любых изменений в сеть. Внутреннее сканирование может выполняться собственным персоналом компании.

Методика тестирования на проникновение

Требование 11.4.1 касается подходов, которые специалисты используют во время проведения тестов на проникновение. В этом требовании указана необходимость использовать методологии, принятые в соответствующей отрасли, которые эмулируют атаки злоумышленников. Важно подчеркнуть, что автоматизированное сканирование не считается достаточным для соответствия этому требованию.

Кто должен проводить PCI Pentest?

Тестирование на проникновение для соответствия стандарту PCI DSS должно выполняться одним из следующих способов:

1. Квалифицированный внутренний ресурс с соответствующими знаниями и навыками для тщательного и правильного выполнения теста на проникновение.
2. Квалифицированный внешний поставщик услуг безопасности с соответствующим опытом и профильными сертификациями.

PCI DSS 4.0 также предлагает рекомендации по выбору внешней третьей стороны для работы с PCI Pentest в разделе "Надлежащие практики" требования 11. PCI SSC рекомендует искать поставщика с определенными сертификатами тестирования на проникновение, которые могут помочь проверить уровень квалификации и компетентность тестировщика.

Также рекомендуем выбирать поставщиков тестирования на проникновение с предыдущим опытом соответствия PCI DSS. При оценке кандидатов стоит обратить внимание на их опыт, типы и объемы проектов, которые они ранее выполняли, а также другие факторы. Важно убедиться, что опыт поставщика соответствует вашим потребностям для непрерывного и бесперебойного соблюдения требований PCI DSS.

Основываясь на нашем многолетнем опыте, мы рекомендуем привлекать внешних поставщиков для проведения пентестов. Это позволит выполнить все необходимые задачи эффективно и профессионально.

Требования DSS 11.4.2 и 11.4.3 предусматривают проведение внутреннего и внешнего тестирования на проникновение. Тестирование может выполнять как компания, сертифицированная по стандарту PCI, так и независимый поставщик услуг, при этом требуется наличие высокой квалификации. Учитывается предыдущий опыт и наличие отраслевых сертификатов.

В требовании 11.4.1 отмечается необходимость проведения внутреннего тестирования Центральной среды обработки данных (CDE), что ранее многие организации не выполняли.

Требуется как внутреннее, так и внешнее тестирование всего CDE. Таким образом, тестирование на проникновение увеличивается по объему, включая проверку сети и приложений, и требует соответствующей готовности к масштабированию для соответствия требованиям PCI DSS 4.0. Любое цифровое окружение, подключенное к CDE, включая сетевые, облачные и гибридные среды, а также приложения, такие как API и веб-приложения, должно быть включено в пентестирование для соответствия PCI DSS 4.0.

Как часто необходимо проводить тестирование на проникновение для соответствия стандарту PCI DSS?

Тестирование на проникновение должно проводиться не реже одного раза в 12 месяцев в соответствии с требованиями 11.4, а также при любом значительном обновлении или изменении инфраструктуры, или программного обеспечения. Это не только обязательное требование, но и лучшая практика для всех компаний, заботящихся о своей кибербезопасности. Включение тестирования на проникновение в жизненный цикл разработки программного обеспечения (SDLC) может предотвратить возникновение различных проблем.
Также PCI DSS требует повторного тестирования на проникновение, чтобы убедиться, что обнаруженные уязвимости были должным образом устранены и больше не представляют угрозы для CDE.

Что нужно знать о проверке сегментации?

Проверка сегментации является одним из компонентов тестирования на проникновение, которое проводится для получения сертификации по стандарту PCI DSS.
Требование DSS 11.4.5 настаивает на том, чтобы тестировщики подтвердили, что сегментация сети реализована должным образом. Цель этого требования - убедиться, что средства контроля способны эффективно изолировать Центральное средство обработки данных (CDE) от других систем за его пределами. Для выполнения этого требования, как правило, проводятся серии сканирований с каждого сегмента сети.
В пункте 11.4.6 отмечается, что проверка сегментации должна проводиться каждые шесть месяцев, а не ежегодно.

Проведение пентеста для прохождения аудита PCI DSS 4.0

Наша квалифицированная и опытная команда предлагает широкий спектр услуг по тестированию на проникновение для предприятий любого размера, которые стремятся подготовиться к соответствию стандарту PCI DSS 4.0. Кроме того, мы также рекомендуем учесть наш комплексный подход к сертификации по стандарту PCI DSS, включающий не только пентест, но и другие необходимые услуги.