关于 PCI DSS 渗透测试你应该知道的事

如果您的企业接受信用卡付款，您应确保遵守支付卡行业数据安全标准 (PCI DSS) 以保护持卡人数据。 PCI DSS 有很多方面，渗透测试对公司来说是最具挑战性的。

为确保您的业务符合 PCI DSS，应不时进行渗透测试，以确定您的系统和流程是否经过适当配置以保证持卡人数据的安全。

PCI DSS 渗透测试

渗透测试主要分为三种类型：黑盒、白盒和灰盒。

• 黑盒渗透评估在测试开始前不提供任何信息
• 白盒评估在测试期间提供应用程序和网络详细信息
• 灰盒评估提供有关目标系统的部分信息

白盒和灰盒评估可提供对持卡人数据环境 (CDE) 安全状态的最佳洞察。 这些测试更便宜，需要更少的资源，并且更精简。

渗透测试和漏洞扫描之间的区别

渗透测试与漏洞扫描不同。

漏洞扫描的目标是识别、评估和报告可能危及您的系统的弱点。 通常，公司应每季度或在对持卡人数据环境进行重大更改后进行漏洞评估。 漏洞扫描通常使用自动化工具进行，随后是手动验证过程。

另一方面，渗透测试的目标是通过寻找安全漏洞来利用系统。 渗透测试是一个蓄意尝试破坏 CDE 或网络系统安全的过程。 该过程需要更长的时间，更多的手动操作，并提供网络系统安全状态的全面概览。 渗透测试应每年进行一次，而不是每季度一次。

持卡人数据环境 (CDE) 的范围

PCI DSS 将持卡人数据环境定义为涉及敏感信用卡信息的传输、处理和存储的技术、人员和流程。 渗透测试应涵盖处理持卡人数据的所有系统和流程。

第一个渗透测试是评估组织公共网络的可访问性。 应对所有有权访问受限持卡人数据的系统和流程进行评估。 接下来，应该评估可以访问敏感信用卡信息的内部组织系统。

渗透测试不仅应涵盖系统，还应涵盖访问公司网络的流程。 如果您的部分持卡人数据存储在 CDE 环境之外，则应对系统进行测试以确保它们不存在任何可能使内部系统容易被未经授权的用户渗透的漏洞。

最后，任何用于存储、传输或处理持卡人数据的“范围外”系统也应进行测试，以确保它们是安全的。

评估关键系统

根据 PCI DSS，关键系统是指处理持卡人数据的基础设施、硬件和流程。 这些系统可以是面向公众的设备、安全配置和可以存储、传输和处理信用卡信息的通用硬件。

渗透测试可以在您的信用卡处理系统的各个组件上进行，包括防火墙、电子商务重定向服务器、身份验证服务、入侵检测/预防系统等。 所有这些技术资产，连同特权用户访问和管理的资产，都属于关键系统。

应用层和网络层测试的区别

最近的信用卡基础设施攻击集中在利用应用层中的漏洞。

许多企业使用遗留应用程序、Web 应用程序、移动应用程序、开源组件和内部开发的软件作为其支付处理基础设施的一部分。 应用层测试涉及试图通过利用其漏洞来渗透组织使用的应用程序。

另一方面，网络层测试涉及衡量作为组织网络一部分的设备的完整性。 例如，测试可能涉及试图通过利用它们的弱点来闯入交换机、路由器、防火墙和服务器。 可能存在于网络层的典型漏洞包括错误配置的设备、默认密码和未打补丁的系统。

PCI DSS 要求的应用层和网络层测试

要符合 PCI DDS，组织需要测试身份验证、PA-DSS 合规性应用程序、Web 应用程序和单独的测试环境。

1. i) 认证。 在这里，企业必须审查角色和对其员工环境的访问权限。 此外，他们应该确保客户只能访问他们的数据。 在进行渗透测试时，应评估持卡人客户控制和雇主用户控制。
2. ii) PA-DDS 合规应用程序。 这些应用程序不必经过测试，但它们的实现应该。 测试应侧重于暴露的服务和操作系统，而不是支付系统的功能。

iii) 网络应用程序。 对于使用第三方或商业应用程序的公司，确保程序得到正确实施、保护和配置至关重要。

以上是PCI DSS渗透测试的概述。

Ken Lynch 是一位企业软件初创公司的资深人士，他一直着迷于推动员工工作的因素以及如何让工作更具吸引力。 Ken 创立 Reciprocity 就是为了追求这一点。 他推动了 Reciprocity 的成功，这一基于使命的目标是让员工参与公司的治理、风险和合规目标，以培养更多具有社会意识的企业公民。 Ken 在麻省理工学院获得计算机科学和电气工程学士学位。