Тест на проникновение в соответствии с PCI DSS

Февраль 12, 2021

Главная
Разное
Тест на проникновение в соответствии с PCI DSS

Содержание

2. © 2002—2009, Digital Security Кто? Что? Зачем? 2 Требование 11.3 стандарта PCI DSS. Область применения –
3. © 2002—2009, Digital Security Что это? 3 Тест на проникновение Внешний периметр (из Интернет). Внутренний периметр
5. © 2002—2009, Digital Security Что показывает? 4 Объективная реальность Эффективность систем защиты. Адекватность конфигурации ОС серверов
6. © 2002—2009, Digital Security Задача – проникновение (не сканирование!) 5 Тест на проникновение Проникновение – получение
7. © 2002—2009, Digital Security Качество теста на проникновение 6 Тест на проникновение Качество теста. Опыт. Исследования
8. © 2002—2009, Digital Security Пример внутреннего теста на проникновение 32 Найдена уязвимость хранимого межсайтового скриптинга на
9. 32 Итог Получен доступ с правами администратора к контроллеру домена. Ошибки Уязвимость типа XSS. Тест на
11. Скачать презентацию

Слайд 2

© 2002—2009, Digital Security
Кто? Что? Зачем?
2
Требование 11.3 стандарта PCI DSS.
Область применения –

область обработки, хранения, передачи карточных данных (рабочие станции, серверы, сетевое оборудование). То есть все объекты, попадающие под QSA-аудит.
Один раз в год или после серьезных изменений инфраструктуры
Цель – проникновение.

Тест на проникновение в соответствии с PCI DSS

Слайд 3

© 2002—2009, Digital Security
Что это?
3
Тест на проникновение
Внешний периметр (из Интернет).
Внутренний периметр (внутри

корпоративной сети).
Алгоритм проникновения
Поиск уязвимостей.
Реализация уязвимостей.
Продвижение вглубь системы.
Обход существующих систем защиты.

Тест на проникновение

Алгоритм сканера
Поиск уязвимостей по сигнатурам.
Генерирования отчёта.

Слайд 4

Слайд 5

© 2002—2009, Digital Security
Что показывает?
4
Объективная реальность
Эффективность систем защиты.
Адекватность конфигурации ОС серверов и

рабочих станций, баз данных и активного сетевого оборудования.
Эффективность СУИБ в целом:
управление обновлениями;
парольная политика;
система журналирования и оповещения.
информированность пользователей

Тест на проникновение

Слайд 6

© 2002—2009, Digital Security
Задача – проникновение (не сканирование!)
5
Тест на проникновение
Проникновение – получение

доступа к ИС.
Карточные данные – не цель, цель - среда.
Если есть доступ к среде, значит карточные данные не защищены.
! Шифрование данных не является достаточной защитой:
возможность получения доступа к данным до или после проведения криптографических процедур;
перехват аутентификационных данных.
Итоговый вывод об успешном прохождении пентеста делает только QSA-аудитор

Слайд 7

© 2002—2009, Digital Security
Качество теста на проникновение
6
Тест на проникновение
Качество теста.
Опыт.
Исследования в области

ИБ
Квалифицированные специалисты.
Контроль Совета PCI SSC.
К критичным нарушениям QSA-аудитором процедуры проверки относятся:
Заведомо ложная трактовка аудитором требований стандарта;
Обозначение в Отчете о Соответствии невыполненного требования как выполненного.
Тест на проникновение – не просто сканирование
Отзыв статуса QSA у аудитора – проблемы с сертификатом у его заказчика

Слайд 8

© 2002—2009, Digital Security
Пример внутреннего теста на проникновение
32
Найдена уязвимость хранимого межсайтового скриптинга

на внутреннем портале.
Внедряется код, который перенаправляет в невидимом фрейме браузер пользователя на ресурс созданный специалистом проводящим тест на проникновение..
Проведение атаки SMB RELAY для аутентификации на контроллере домена используя NTLM пользователя.
Используя аутентификацию пользователя, специалист пробует выполнить код на контроллере домена – запуск командной строки.
Когда администратор посетил портал, на контроллере домена откроется черный ход – командная строка с правами доменного администратора.

Тест на проникновение

Слайд 9

32
Итог
Получен доступ с правами администратора к контроллеру домена.
Ошибки
Уязвимость типа XSS.
Тест на проникновение
Пример

внутреннего теста на проникновение

Тест на проникновение в соответствии с PCI DSS

Содержание

© 2002—2009, Digital SecurityКто? Что? Зачем?2Требование 11.3 стандарта PCI DSS.Область применения –

© 2002—2009, Digital SecurityЧто это?3Тест на проникновениеВнешний периметр (из Интернет).Внутренний периметр (внутри

© 2002—2009, Digital SecurityЧто показывает?4Объективная реальность Эффективность систем защиты.Адекватность конфигурации ОС серверов и

© 2002—2009, Digital SecurityЗадача – проникновение (не сканирование!)5Тест на проникновениеПроникновение – получение

© 2002—2009, Digital SecurityКачество теста на проникновение6Тест на проникновениеКачество теста.Опыт.Исследования в области

© 2002—2009, Digital SecurityПример внутреннего теста на проникновение32Найдена уязвимость хранимого межсайтового скриптинга

32ИтогПолучен доступ с правами администратора к контроллеру домена.ОшибкиУязвимость типа XSS.Тест на проникновениеПример

Похожие презентации

© 2002—2009, Digital Security
Кто? Что? Зачем?
2
Требование 11.3 стандарта PCI DSS.
Область применения –

© 2002—2009, Digital Security
Что это?
3
Тест на проникновение
Внешний периметр (из Интернет).
Внутренний периметр (внутри

© 2002—2009, Digital Security
Что показывает?
4
Объективная реальность
Эффективность систем защиты.
Адекватность конфигурации ОС серверов и

© 2002—2009, Digital Security
Задача – проникновение (не сканирование!)
5
Тест на проникновение
Проникновение – получение

© 2002—2009, Digital Security
Качество теста на проникновение
6
Тест на проникновение
Качество теста.
Опыт.
Исследования в области

© 2002—2009, Digital Security
Пример внутреннего теста на проникновение
32
Найдена уязвимость хранимого межсайтового скриптинга

32
Итог
Получен доступ с правами администратора к контроллеру домена.
Ошибки
Уязвимость типа XSS.
Тест на проникновение
Пример