Was Sie über PCI-DSS-Penetrationstests wissen sollten

Wenn Ihr Unternehmen Kreditkartenzahlungen akzeptiert, sollten Sie die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) sicherstellen, um Karteninhaberdaten zu schützen. PCI DSS hat viele Facetten, wobei Penetrationstests die größte Herausforderung für Unternehmen darstellen.

Um sicherzustellen, dass Ihr Unternehmen PCI-DSS-konform ist, sollten gelegentlich Penetrationstests durchgeführt werden, um festzustellen, ob Ihre Systeme und Prozesse angemessen konfiguriert sind, um Karteninhaberdaten zu schützen.

PCI-DSS-Penetrationstests

Es gibt drei Haupttypen von Penetrationstests: Blackbox, Whitebox und Greybox.

• Die Black-Box-Penetrationsbewertung liefert keine Informationen, bevor die Tests beginnen
• Die White-Box-Bewertung liefert Anwendungs- und Netzwerkdetails während des Tests
• Die Grey-Box-Bewertung liefert Teilinformationen über Zielsysteme

White-Box- und Grey-Box-Bewertungen bieten den besten Einblick in den Sicherheitsstatus Ihrer Karteninhaberdatenumgebung (CDE). Die Tests sind kostengünstiger, erfordern weniger Ressourcen und sind effizienter.

Unterschied zwischen Penetrationstests und Schwachstellenscans

Penetrationstests sind nicht dasselbe wie Schwachstellen-Scans.

Das Ziel eines Schwachstellen-Scans ist es, Schwachstellen zu identifizieren, zu bewerten und zu melden, die Ihre Systeme gefährden können. Im Allgemeinen sollten Unternehmen vierteljährlich oder nach wesentlichen Änderungen an der Karteninhaberdatenumgebung Schwachstellenanalysen durchführen. Schwachstellenscans werden oft mit automatisierten Tools durchgeführt und später von manuellen Verifizierungsprozessen gefolgt.

Andererseits besteht das Ziel eines Penetrationstests darin, ein System auszunutzen, indem nach Sicherheitslücken gesucht wird. Penetrationstests sind ein absichtlicher Versuch, die Sicherheit von CDE oder des Netzwerksystems zu brechen. Der Prozess dauert länger, ist manueller und bietet einen umfassenden Überblick über den Sicherheitsstatus des Netzwerksystems. Penetrationstests sollten jährlich und nicht vierteljährlich durchgeführt werden.

Der Umfang der Cardholder Data Environment (CDE)

Der PCI DSS definiert die Karteninhaberdatenumgebung als die Technologie, Personen und Prozesse, die an der Übertragung, Verarbeitung und Speicherung sensibler Kreditkarteninformationen beteiligt sind. Penetrationstests sollten alle Systeme und Prozesse abdecken, die mit Karteninhaberdaten umgehen.

Der erste Penetrationstest bewertet die Erreichbarkeit der öffentlichen Netzwerke Ihrer Organisation. Die Auswertung sollte auf allen Systemen und Prozessen erfolgen, die Zugriff auf eingeschränkte Karteninhaberdaten haben. Als nächstes sollten die internen Organisationssysteme bewertet werden, die Zugriff auf sensible Kreditkarteninformationen haben.

Penetrationstests sollten nicht nur Systeme, sondern auch Prozesse umfassen, die auf das Unternehmensnetzwerk zugreifen. Wenn ein Teil Ihrer Karteninhaberdaten außerhalb der CDE-Umgebung gespeichert wird, sollten die Systeme getestet werden, um sicherzustellen, dass sie keine Schwachstellen aufweisen, die die internen Systeme anfällig für die Infiltrierung durch unbefugte Benutzer machen könnten.

Schließlich sollten auch alle „außerhalb des Geltungsbereichs“ befindlichen Systeme, die zum Speichern, Übertragen oder Verarbeiten von Karteninhaberdaten verwendet werden, auf ihre Sicherheit getestet werden.

Bewertung kritischer Systeme

Gemäß PCI DSS beziehen sich kritische Systeme auf die Infrastruktur, Hardware und Prozesse, die Karteninhaberdaten verarbeiten. Bei den Systemen kann es sich um öffentlich zugängliche Geräte, Sicherheitskonfigurationen und allgemeine Hardware handeln, die Kreditkarteninformationen speichern, übertragen und verarbeiten können.

Penetrationstests können an verschiedenen Komponenten Ihres Kreditkarten-Handhabungssystems durchgeführt werden, darunter unter anderem Firewalls, E-Commerce-Umleitungsserver, Authentifizierungsdienste, Intrusion Detection/Prevention-Systeme. Alle diese Technologieressourcen, zusammen mit denen, auf die privilegierte Benutzer zugreifen und die von privilegierten Benutzern verwaltet werden, fallen unter kritische Systeme.

Unterschied zwischen Tests auf Anwendungsebene und auf Netzwerkebene

Die jüngsten Angriffe auf die Kreditkarteninfrastruktur konzentrierten sich auf die Ausnutzung von Schwachstellen in den Anwendungsschichten.

Viele Unternehmen verwenden Legacy-Anwendungen, Webanwendungen, mobile Anwendungen, Open-Source-Komponenten und intern entwickelte Software als Teil ihrer Infrastruktur für die Zahlungsabwicklung. Beim Testen auf Anwendungsebene wird versucht, in die von der Organisation verwendeten Anwendungen einzudringen, indem deren Schwachstellen ausgenutzt werden.

Andererseits beinhaltet das Testen auf Netzwerkebene das Messen der Integrität der Geräte, die Teil des Netzwerks einer Organisation sind. Das Testen kann beispielsweise den Versuch umfassen, in Switches, Router, Firewalls und Server einzudringen, indem deren Schwachstellen ausgenutzt werden. Typische Schwachstellen, die sich in einer Netzwerkschicht befinden könnten, sind falsch konfigurierte Geräte, Standardkennwörter und nicht gepatchte Systeme.

Von PCI DSS geforderte Tests auf Anwendungsebene und Netzwerkebene

Um PCI DDS-konform zu sein, müssen Organisationen die Authentifizierung, PA-DSS-Compliance-Anwendungen, Webanwendungen und eine separate Testumgebung testen.

1. i) Authentifizierung. Hier müssen Unternehmen die Rollen und den Zugriff auf ihre Mitarbeiterumgebung überprüfen. Darüber hinaus sollten sie sicherstellen, dass Kunden nur auf ihre Daten zugreifen. Bei der Durchführung von Penetrationstests sollten sowohl die Kundenkontrollen des Karteninhabers als auch die Benutzerkontrollen des Arbeitgebers bewertet werden.
2. ii) PA-DDS-Compliance-Anwendungen. Diese Anwendungen müssen nicht getestet werden, aber ihre Implementierung sollte. Das Testen sollte sich eher auf die exponierten Dienste und Betriebssysteme als auf die Funktionalität des Zahlungssystems konzentrieren.

iii) Webanwendungen. Für Unternehmen, die Drittanbieter- oder kommerzielle Anwendungen verwenden, ist es wichtig sicherzustellen, dass die Programme ordnungsgemäß implementiert, gesichert und konfiguriert sind.

Das Obige ist eine Übersicht über PCI-DSS-Penetrationstests.

Ken Lynch ist ein erfahrener Start-up-Experte für Unternehmenssoftware, der sich schon immer dafür interessiert hat, was Mitarbeiter zur Arbeit antreibt und wie man die Arbeit ansprechender gestalten kann. Ken gründete Reciprocity, um genau das zu verfolgen. Er hat den Erfolg von Reciprocity mit diesem missionsbasierten Ziel vorangetrieben, Mitarbeiter mit den Governance-, Risiko- und Compliance-Zielen ihres Unternehmens zu beschäftigen, um sozial denkendere Unternehmensbürger zu schaffen. Ken erwarb seinen BS in Informatik und Elektrotechnik am MIT.