ЧТО ТАКОЕ ТЕСТ НА ПРОНИКНОВЕНИЕ PCI | ВИДЫ, КАК ВЫПОЛНЯТЬ

Проверка на проникновение PCI — это проверка на проникновение, которая требуется всем организациям, обрабатывающим платежи по кредитным картам, для подтверждения того, что системы безопасности платежей и данных держателей карт соответствуют стандартам соответствия PCI.

Содержание

Мы используйте наши кредитные/дебетовые карты на Amazon, Flipkart, Swiggy, Zomato, MakeMyTrip и многих других веб-сайтах. Вы когда-нибудь задумывались, кто обеспечивает безопасность наших данных, кто позаботится о наших самых конфиденциальных данных, которые принадлежат нам?

В целях безопасности данных любой бизнес, который принимает или обрабатывает платежи с помощью карт, должен соответствовать PCI, или индустрии платежных карт, Стандарты безопасности данных. Таким образом, веб-сайт должен поддерживать безопасную сеть, защищать данные держателей карт, управлять уязвимостями, применять строгие меры контроля доступа, а также регулярно отслеживать и тестировать сети. Здесь мы реализуем тестирование на проникновение PCI.

В этой статье представлен всесторонний обзор тестирования на проникновение PCI.

ЧТО ТАКОЕ ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ PCI | ТИПЫ, КАК ВЫПОЛНЯТЬ

Что такое тестирование на проникновение?

Тестирование на проникновение, тип тестирования безопасности, когда тестировщик или эксперт по взлому пытается найти уязвимости в приложении и использовать их.

Целью тестирования на проникновение является обнаружение любых слабых мест в приложении, и это позволит нам понять слабые места и помочь нам повысить безопасность приложения.

Тестирование на проникновение обычно называют тестированием на проникновение. , а тестировщики, выполняющие тестирование на проникновение, называются пентестерами.

Просто подумайте о тестировании на проникновение, как о банке, нанимающем человека, который действует в качестве грабителя банка и пытается украсть деньги из хранилища. Если фальшивый грабитель получит доступ к хранилищу, банк сможет понять, где их безопасность дает сбой. Затем они могут усилить свою безопасность.

Что такое стандарты PCI?

  • Индустрия платежных карт (PCI) требует соблюдения для защиты транзакций по кредитным и дебетовым картам. от утечек данных.
  • Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это структура информационной безопасности, которая действует как стандарт, которому должны соответствовать предприятия.
  • Это не закон или нормативный акт, это просто отраслевой мандат.

Что такое тестирование на проникновение PCI?

Тестирование на проникновение PCI направлено на проверку безопасности кредитных и дебетовых карт. Он специально разработан для повышения безопасности карт и данных о держателях карт.

Совет индустрии платежных карт (PCI) устанавливает стандарты защиты данных. Обычно PCI DSS проверяет защиту данных держателя карты, состоящих из номера кредитной карты и других данных, связанных с ним.

Что такое компоненты тестирования на проникновение PCI?

Среда данных о держателях карт (CDE)

Среда данных о держателях карт может быть определена как компьютерная система или объединенная в сеть группа ИТ-систем, которые будут обрабатывать, хранить и/или передавать данные о держателях карт или конфиденциальные данные. данные аутентификации платежа и любые компоненты, которые напрямую подключены к этой сети или поддерживают ее.

Внешнее тестирование на проникновение

При внешнем тестировании на проникновение пентестер пытается смоделировать, как внешний пользователь без надлежащего доступа и разрешений может использовать слабые места в среде данных держателей карт (CDE). Здесь пентестер ведет себя как злонамеренный посторонний или хакер, который хочет попытаться атаковать организацию.

Внутреннее тестирование на проникновение

Во внутреннем тестировании на проникновение пентестер пытается понять насколько велика угроза, которую человек с внутренним доступом может использовать уязвимостями сети. Здесь пентестер пытается определить, какая информация может быть раскрыта этому инсайдеру.

Какова цель тестирования PCI на проникновение?

  • Выявить уязвимости системы безопасности.
  • Снизить риск взлома.
  • Чтобы быть соответствие отраслевым стандартам.
  • Для подтверждения соответствия отраслевым требованиям.
  • Установление доверия клиентов в отношении их проблем с безопасностью.

Почему тестирование на проникновение важно для PCI DSS?

В цифровом ландшафте технологий финансовая информация является одной из самых конфиденциальных данных. Даже единичный инцидент может испортить репутацию компании, и она может потерять своих клиентов. PCI DSS фокусируется на защите информации о кредитных картах, а не на бренде компании, конфиденциальности или безопасности клиентов.

Поэтому тестирование на проникновение необходимо для обеспечения безопасности платежной системы. Это может помочь организации обнаружить слабые места, предотвратить атаки и, что наиболее важно, уменьшить влияние атак на систему безопасности.

Проведя тестирование на проникновение, мы сможем выявить слабые места и уязвимости в системе. Мы сможем понять риски на уровне организации и помочь им устранить выявленные недостатки.

Когда дело доходит до соблюдения отраслевых стандартов, тестирование на проникновение PCI обеспечивает соответствие, поскольку оно проверяет стандарты и требования безопасности, когда система развернуто.

Кому нужно пройти тест на проникновение PCI?

Любой бизнес, который занимается обработкой, транзакциями и сохранением информации о карте, должен соответствовать стандартам PCI, поэтому они должны проводить тестирование на проникновение PCI.

Тестирование на проникновение PCI является обязательным для продавцов уровня 1, особенно для электронной коммерции. торговцы. Продавцы SAQ A-EP и SAQ D должны периодически проводить тестирование на проникновение, чтобы соответствовать стандартам PCI DSS.

Продавцы SAQ A-EP — это компании электронной коммерции, которые частично передают свои платежные каналы электронной коммерции третьим сторонам

Они не хранят, не обрабатывают и не передают в электронном виде какие-либо данные о держателях карт в своих системах или помещениях.

SAQ D применяется к продавцам, которые не соответствуют критериям приемлемости для любого другого типа SAQ. SAQ D касается продавцов, которые хранят данные карты в электронном виде и не используют POS-систему, сертифицированную P2PE.

Тестирование на проникновение — это метод, с помощью которого совет PCI может установить определенные требования для оценки стандартов PCI и проверки того, является ли процесс рискованным. Тестирование на проникновение не является обязательным для всех SAQ, но всегда полезно проявлять инициативу и быть на шаг впереди в понимании надежности системы безопасности организации.

Когда проводить тест на проникновение PCI?

В соответствии с PCI DSS организация должна проводить оценку безопасности и тесты сегментации каждые шесть месяцев.

Дополнительная проверка этих стандартов должна проводиться при внесении значительных изменений в систему.

Тестирование на проникновение PCI это не одноразовая настройка, ее нужно регулярно тестировать.

Как выполнить тестирование на проникновение PCI?

Чтобы выполнить тестирование на проникновение, необходимо выполнить следующие шаги:

Шаг №1. Определение области

< p>На первом этапе тестирования на проникновение мы определяем объем тестирования. Прежде чем начать процесс тестирования, мы должны определить область, поскольку это помогает нам с ограничениями и правилами тестирования.

Вот несколько примеров областей, которые дадут нам общее представление

  • Чтобы определить, как и где компания получает данные о держателях карт
  • Задокументировать, где хранятся, обрабатываются и передаются данные учетной записи.
  • Определить все другие системные компоненты, процессы и персонал, которые находятся в области действия.
  • Внедрить элементы управления для уменьшения объема необходимых компонентов, процессов и персонала.
  • Поддерживать и контролировать процессы для обеспечения постоянного соответствия

Шаг 2. Опрос и обнаружение

Здесь мы собираем информацию о целевой сети. Этот шаг может помочь нам определить векторы атак благодаря собираемой нами информации.

Мы идентифицируем сетевой актив в рамках CDE. Мы также пытаемся определить целевую сеть и соответствующие службы.

Шаг 3. Эксплуатация

На этом этапе пентестер пытается использовать различные уязвимости в системе, манипулирование доступными службами для несанкционированного доступа к системе, т.е. взлом.

После того, как пентестер взламывает систему, он применяет различные тактики, такие как DoS-атаки, SQL-инъекции или переполнение буфера.

Шаг 4. Отчетность

В этом случае пентестер должен сообщать организации обо всех своих выводах. Эти отчеты содержат подробную информацию обо всех уязвимостях в сети и потенциальных последствиях, а также рекомендации по их устранению.

В отчете должны объясняться методологии, которые использовались, наряду с результатами испытаний. Пентестер должен убедиться, что отчет обеспечивает четкое прохождение через различные этапы тестирования на проникновение, чтобы предоставить заинтересованным сторонам доказательства оценки безопасности.

Шаг 5. Повторное сканирование< /h3>

После этого отчета команда разработчиков начинает исправлять все проблемы безопасности в системе. После того, как система настроена, мы должны снова провести тестирование на проникновение в систему.

Этот процесс повторного тестирования дает нам четкое представление о том, устранены ли эти проблемы, а также помогает найти новые проблемы, которые могли возникнуть из-за изменений. Эти действия по повторному сканированию гарантируют устранение уязвимостей в системе безопасности.

Шаг 6. Непрерывное сканирование

Проверка на проникновение PCI — это не одноразовая настройка, мы должны повторять через различные промежутки времени, чтобы соответствовать требованиям.

Поэтому настройка непрерывного тестирования с помощью интеграции CI/CD может помочь нам проверять новые функции системы, а также ее уязвимости.

Типы Тесты на проникновение PCI DSS

Как правило, уязвимости в системе вызваны неправильным дизайном, неадекватным планированием, неизвестным аппаратным или программным дефектом или даже организационными недостатками в процессе. В PCI DSS тестирование на проникновение связано с обнаружением этих уязвимостей с помощью этических методов взлома.

Давайте рассмотрим различные типы тестирования на проникновение PCI DSS:

  • Тест на проникновение в сеть
  • Контроль сегментации
  • Тест на проникновение приложений
  • Тест на проникновение в беспроводную сеть

Тест на проникновение в сеть

Процесс выявления проблем безопасности, связанных с проектированием, реализацией и обслуживанием серверов, рабочих станций, сетевых служб, осуществляется с помощью теста на проникновение в сеть PCI DSS.

Некоторые из распространенных проблем, обнаруженных в ходе теста на проникновение в сеть:

  • Программное обеспечение, брандмауэры и операционные системы настроены неправильно.
  • Устаревшее программное обеспечение и операционная система.
  • Незащищенный протокол.

Решение по устранению неполадок устраняет эти проблемы безопасности, связанные с сетью

  • Нам следует перенастроить программное обеспечение, брандмауэры и операционные системы.
  • Установка обновленного программного обеспечения и операционных систем
  • Мы должны внедрить более безопасные протоколы, чтобы включить шифрование в этих протоколах.

Управление сегментацией< /strong>

В ходе теста на сегментацию пентестер проверяет, разрешает ли неправильно настроенный брандмауэр доступ к защищенной сети или системе.

Некоторые распространенные проблемы, обнаруженные в тесте на сегментацию:< ul>

  • В системе разрешены несанкционированные TCP-соединения.
  • В системе разрешена несанкционированная проверка связи.

    Решение для устранения этих проблем безопасности, связанных с сегментацией:

    • Мы должны перенастроить правила брандмауэра, чтобы правильно ограничить доступ.

    Проверка приложений на проникновение

    Во время теста на проникновение приложения пентестер пытается определить проблемы безопасности, которые были вызваны небезопасными методами разработки во время проектирования, написания кода и развертывания программного обеспечения.

    Даже когда у нас есть высококвалифицированные разработчики с актуальной информацией по исправлению и защите приложений, злоумышленники находят новые способы атаковать систему. Они постоянно совершенствуют свои стратегии атак на систему.

    Тестирование приложений на проникновение гарантирует, что потенциальные угрозы не сделают наше приложение уязвимым, и поможет вам снизить риски. Роль разработчиков заключается в разработке приложения с функциями.

    Плохая практика кодирования, сжатые сроки, проблемы со сроками и небрежность могут создать уязвимости в системе безопасности программного обеспечения. Разработчики не создают идеальный код, он становится лучше по мере того, как мы проводим больше тестов и постоянно сообщаем о проблеме.

    Некоторые часто выявляемые проблемы безопасности, связанные с тестированием приложений на проникновение, включают:

    • Проблемы, связанные с уязвимостями внедрения, включают внедрение SQL , межсайтовые сценарии, удаленное выполнение кода и т. д.
    • Ошибка в нарушении аутентификации. Подумайте о сценарии, в котором шаг аутентификации можно пропустить, чтобы получить доступ к приложению или учетным записям с меньшими привилегиями (клиент) может получить доступ к функциям более высокого уровня (права администратора)
    • Плохая обработка ошибок.

    Некоторые решения по устранению неполадок в этих приложениях связаны с проблемами безопасности

    • Мы можем изменить дизайн модулей аутентификации и авторизации.
    • Мы перекодируем программное обеспечение в соответствии с лучшими практиками разработки программного обеспечения.
    • Мы можем отключить удаленный просмотр программного обеспечения ошибок.

    Тест на проникновение в беспроводную сеть

    Здесь, в тесте на проникновение в беспроводную сеть, пентестер фокусируется на выявлении неправильной конфигурации в авторизованных беспроводных сетях и проверке наличия неавторизованных точек доступа.

    Часто выявляемые проблемы безопасности в беспроводной сети включают:

    • Проблема, связанная с небезопасными стандартами шифрования беспроводной сети
    • Слабый пароль шифрования
    • Неподдерживаемая технология беспроводной сети.
    • Неавторизованные точки доступа

    Некоторые решения для устранения неполадок, связанных с беспроводной сетью проблемы с безопасностью:

    • Мы можем обновить протокол беспроводной сети до общепринятого (более безопасного) протокола, такого как WPA2.
    • Мы можем заменить небезопасный пароль более длинным, сложным и более безопасным паролем.
    • Мы можем установить и отключить мошеннические точки доступа.

    Тесты социальной инженерии

    В оценках социальной инженерии мы ориентируемся на сотрудников, чтобы проверить, соблюдают ли они правильный протокол для обеспечения безопасности. Здесь мы проверяем сотрудников, которые неправильно проверяют людей, не соблюдают процедуры или проверяют потенциально небезопасные технологии.

    Мы будем реализовывать несколько стратегий, чтобы заставить их делать то, что они не должны делать. По сути, это позволяет злоумышленнику получить доступ к CDE и выполнить некоторые вредоносные действия из-за небрежности сотрудников.

    Некоторые часто выявляемые проблемы, возникающие при выполнении тестов социальной инженерии, включают: сообщения электронной почты

  • Они могут позволить посторонним проникнуть на объект
  • Они подключают случайный USB к рабочей станции.
  • Они могут не блокировать экран, когда покидают свое место.

    Чтобы избежать таких ситуаций, мы можем устранить эти проблемы безопасности, связанные с социальной инженерией, посредством обучения. Мы должны обучать сотрудников тому, что нужно делать для поддержания безопасности. Они также должны понимать последствия простых действий и повторения своей неосторожности.

    Цель теста социальной инженерии — проверить проактивность сотрудника в ситуациях, когда им может воспользоваться другой злоумышленник. Мы должны убедиться, что сотрудники проходят надлежащий курс обучения по вопросам безопасности для защиты от атак с использованием социальной инженерии

    Передовые практики проведения тестирования на проникновение PCI

    Когда организация решает провести тестирование на проникновение PCI, она обычно передает эти действия компании, которая предоставляет эти услуги. Таким образом, они будут нанимать пентестеров из другой компании, что может быть хорошо, потому что это дает нам множество вариантов.

    Поэтому при выполнении тестирования на проникновение убедитесь, что вы следуете приведенным ниже указателям, чтобы получить наилучшие результаты.

    #1. Помощь в исправлении

    При найме пентестеров убедитесь, что они являются экспертами в своей области, а также хорошо знают, как устранять эти уязвимости, что значительно облегчает нашу работу.

    Несколько поставщиков услуг предлагают тестирование на проникновение, поэтому, прежде чем выбрать, убедитесь, что они обладают высокой квалификацией и хорошо разбираются в своей области.

    #2. Ознакомьтесь с соглашением об уровне обслуживания

    Обычно в соглашении об уровне обслуживания содержится подробная информация о методологии тестирования, результатах и, что наиболее важно, исключениях.

    Мы должны проверить, все ли наши требования охвачены в этих соглашениях. SLA и нужны ли нам какие-либо службы, которые находятся в исключениях.

    Эти документы помогут компании понять качество услуги, охват и период, в течение которого компания будет получать услугу.

    #3. Репутация

    Мы должны провести надлежащее исследование поставщика услуг и проверить его отзывы и похвалы.

    Нам нужно проверить качество работы в их прошлых проектах и ​​поговорить с их предыдущими или существующие клиенты.

    #4. Непрерывное сканирование

    Мы должны убедиться, что поставщик услуг постоянно проверяет систему, чтобы гарантировать быстрое обнаружение любых уязвимостей, связанных с новыми функциями или исправлениями.

    Эти непрерывные проверки также важны для обеспечения соответствия различным нормативным стандартам, таким как PCI-DSS и HIPAA.

    Заключение

    Тестирование на проникновение может помочь организации в проверке безопасности Среда данных о держателях карт (CDE). Единственной целью проведения пентеста PCI является защита информации кредитной карты. Кроме того, обратите внимание, что безопасность любого бизнеса зависит не только от данных кредитной карты.

    Поэтому крайне важно сбалансировать соответствие требованиям PCI и обеспечить безопасность конфиденциальности, бренда и бизнеса клиента. Пентест должен проводиться высококвалифицированными пентестерами не реже одного раза в год и учитывать как внутренние, так и внешние угрозы, чтобы максимизировать ценность инвестиций.

    Репутация организации может пострадать, если таковые возникнут. попытки взлома. Но успешный тест на проникновение может помочь нам избежать таких проблем. Надеемся, что эта статья даст вам четкое представление о тестировании PCI на проникновение.

    TAG: qa

  • От QA genius

    Adblock
    detector