ما يجب أن تعرفه عن اختبار اختراق PCI DSS

إذا كان عملك يقبل مدفوعات بطاقات الائتمان ، فيجب عليك ضمان الامتثال لمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) لحماية بيانات حامل البطاقة. يتميز PCI DSS بالعديد من الجوانب ، حيث يمثل اختبار الاختراق التحدي الأكبر للشركات.

للتأكد من أن عملك متوافق مع PCI DSS ، يجب إجراء اختبار الاختراق من حين لآخر للتأكد مما إذا كانت أنظمتك وعملياتك مهيأة بشكل مناسب للحفاظ على بيانات حامل البطاقة آمنة.

اختبار اختراق PCI DSS

هناك ثلاثة أنواع رئيسية من اختبارات الاختراق: الصندوق الأسود ، والصندوق الأبيض ، والصندوق الرمادي.

• لا يوفر تقييم اختراق الصندوق الأسود أي معلومات قبل بدء الاختبارات
• يوفر تقييم الصندوق الأبيض تفاصيل التطبيق والشبكة أثناء الاختبار
• يوفر تقييم المربع الرمادي معلومات جزئية حول أنظمة الهدف

توفر تقييمات الصندوق الأبيض والمربع الرمادي أفضل نظرة ثاقبة حول حالة أمان بيئة بيانات حامل البطاقة (CDE). الاختبارات أقل تكلفة وتتطلب موارد أقل وأكثر انسيابية.

الفرق بين اختبار الاختراق ومسح الضعف

يختلف اختبار الاختراق عن فحص الثغرات الأمنية.

الهدف من فحص الثغرات الأمنية هو تحديد وتقييم والإبلاغ عن نقاط الضعف التي يمكن أن تعرض أنظمتك للخطر. بشكل عام ، يجب على الشركات إجراء تقييمات الضعف كل ربع سنة أو بعد إجراء تغييرات كبيرة على بيئة بيانات حامل البطاقة. غالبًا ما يتم إجراء عمليات فحص الثغرات الأمنية باستخدام أدوات آلية ثم تتبعها لاحقًا عمليات التحقق اليدوية.

من ناحية أخرى ، الهدف من اختبار الاختراق هو استغلال النظام من خلال البحث عن العيوب الأمنية. اختبار الاختراق هو عملية متعمدة لمحاولة كسر أمان CDE أو نظام الشبكة. تستغرق العملية وقتًا أطول ، وهي يدوية بدرجة أكبر ، وتوفر نظرة عامة شاملة عن حالة أمان نظام الشبكة. يجب إجراء اختبار الاختراق سنويًا وليس ربع سنوي.

نطاق بيئة بيانات حامل البطاقة (CDE)

يعرّف PCI DSS بيئة بيانات حامل البطاقة على أنها التكنولوجيا والأشخاص والعمليات المتضمنة في نقل معلومات بطاقة الائتمان الحساسة ومعالجتها وتخزينها. يجب أن يغطي اختبار الاختراق جميع الأنظمة والعمليات التي تتعامل مع بيانات حامل البطاقة.

اختبار الاختراق الأول هو تقييم إمكانية الوصول إلى الشبكات العامة لمؤسستك. يجب إجراء التقييم على جميع الأنظمة والعمليات التي لها حق الوصول إلى بيانات حامل البطاقة المقيدة. بعد ذلك ، يجب تقييم أنظمة التنظيم الداخلية التي يمكنها الوصول إلى معلومات بطاقة الائتمان الحساسة.

لا ينبغي أن يغطي اختبار الاختراق الأنظمة فحسب ، بل يجب أن يشمل أيضًا العمليات التي تصل إلى شبكة الشركة. إذا تم تخزين جزء من بيانات حامل البطاقة خارج بيئة CDE ، فيجب اختبار الأنظمة للتأكد من أنها لا تحتوي على أي ثغرات يمكن أن تجعل الأنظمة الداخلية عرضة للتسلل من قبل المستخدمين غير المصرح لهم.

أخيرًا ، يجب أيضًا اختبار أي أنظمة "خارج النطاق" تُستخدم لتخزين بيانات حامل البطاقة أو نقلها أو معالجتها للتأكد من أنها آمنة.

تقييم النظم الحرجة

وفقًا لـ PCI DSS ، تشير الأنظمة المهمة إلى البنية التحتية والأجهزة والعمليات التي تتعامل مع بيانات حامل البطاقة. يمكن أن تكون الأنظمة عبارة عن أجهزة عامة وتكوينات أمان وأجهزة عامة يمكنها تخزين معلومات بطاقة الائتمان ونقلها ومعالجتها.

يمكن إجراء اختبار الاختراق على مكونات مختلفة لنظام معالجة بطاقة الائتمان الخاصة بك ، بما في ذلك جدران الحماية وخوادم إعادة توجيه التجارة الإلكترونية وخدمات المصادقة وأنظمة الكشف عن التطفل / منعه ، من بين أشياء أخرى. تندرج جميع أصول التكنولوجيا هذه ، جنبًا إلى جنب مع تلك التي يتم الوصول إليها وإدارتها من قبل مستخدمين متميزين ، ضمن الأنظمة المهمة.

الفرق بين طبقة التطبيق واختبار طبقة الشبكة

ركزت هجمات البنية التحتية لبطاقات الائتمان الأخيرة على استغلال الثغرات الأمنية في طبقات التطبيق.

تستخدم العديد من الشركات التطبيقات القديمة وتطبيقات الويب وتطبيقات الهاتف المحمول ومكونات مفتوحة المصدر وبرامج مطورة داخليًا كجزء من البنية التحتية لمعالجة الدفع. يتضمن اختبار طبقة التطبيق محاولة اختراق التطبيقات التي تستخدمها المؤسسة من خلال الاستفادة من نقاط ضعفها.

من ناحية أخرى ، يتضمن اختبار طبقة الشبكة قياس سلامة الأجهزة التي تشكل جزءًا من شبكة المؤسسة. على سبيل المثال ، قد يتضمن الاختبار محاولة اقتحام المحولات وأجهزة التوجيه وجدران الحماية والخوادم من خلال استغلال نقاط ضعفها. تشمل الثغرات الأمنية النموذجية التي يمكن أن تكون في طبقة الشبكة الأجهزة المكوّنة بشكل خاطئ وكلمات المرور الافتراضية والأنظمة غير المصححة.

اختبارات طبقة التطبيق وطبقة الشبكة المطلوبة بواسطة PCI DSS

لكي تكون متوافقة مع PCI DDS ، تحتاج المؤسسات إلى اختبار المصادقة وتطبيقات الامتثال PA-DSS وتطبيقات الويب وبيئة اختبار منفصلة.

1. ط) المصادقة. هنا ، يتعين على الشركات مراجعة الأدوار والوصول إلى بيئة موظفيها. علاوة على ذلك ، يجب عليهم ضمان وصول العملاء إلى بياناتهم فقط. عند إجراء اختبار الاختراق ، يجب تقييم كل من عناصر التحكم في عملاء حامل البطاقة وضوابط مستخدم صاحب العمل.
2. ب) تطبيقات الامتثال PA-DDS. لا يجب اختبار هذه التطبيقات ولكن يجب أن يتم تنفيذها. يجب أن يركز الاختبار على الخدمات وأنظمة التشغيل المكشوفة بدلاً من وظيفة نظام الدفع.

ج) تطبيقات الويب. بالنسبة للشركات التي تستخدم تطبيقات الطرف الثالث أو التطبيقات التجارية ، فمن الأهمية بمكان التأكد من تنفيذ البرامج وتأمينها وتكوينها بشكل صحيح.

ما ورد أعلاه هو نظرة عامة على اختبار اختراق PCI DSS.

كين لينش هو أحد المخضرمين في بدء تشغيل برمجيات المؤسسات ، وكان دائمًا مفتونًا بما يدفع العمال إلى العمل وكيفية جعل العمل أكثر جاذبية. أسس كين مبدأ المعاملة بالمثل لمتابعة ذلك بالضبط. لقد دفع نجاح Reciprocity من خلال هذا الهدف القائم على المهمة المتمثل في إشراك الموظفين في أهداف الحوكمة والمخاطر والامتثال لشركتهم من أجل خلق المزيد من مواطني الشركات ذوي التفكير الاجتماعي. حصل كين على درجة البكالوريوس في علوم الكمبيوتر والهندسة الكهربائية من معهد ماساتشوستس للتكنولوجيا.