Тест на проникновение в соответствии с PCI DSS

Слайд 2

© 2002—2009, Digital Security

Кто? Что? Зачем?

2

Требование 11.3 стандарта PCI DSS.
Область применения –

© 2002—2009, Digital Security Кто? Что? Зачем? 2 Требование 11.3 стандарта PCI
область обработки, хранения, передачи карточных данных (рабочие станции, серверы, сетевое оборудование). То есть все объекты, попадающие под QSA-аудит.
Один раз в год или после серьезных изменений инфраструктуры
Цель – проникновение.

Тест на проникновение в соответствии с PCI DSS

Слайд 3

© 2002—2009, Digital Security

Что это?

3

Тест на проникновение
Внешний периметр (из Интернет).
Внутренний периметр (внутри

© 2002—2009, Digital Security Что это? 3 Тест на проникновение Внешний периметр
корпоративной сети).
Алгоритм проникновения
Поиск уязвимостей.
Реализация уязвимостей.
Продвижение вглубь системы.
Обход существующих систем защиты.

Тест на проникновение

Алгоритм сканера
Поиск уязвимостей по сигнатурам.
Генерирования отчёта.

Слайд 5

© 2002—2009, Digital Security

Что показывает?

4

Объективная реальность
Эффективность систем защиты.
Адекватность конфигурации ОС серверов и

© 2002—2009, Digital Security Что показывает? 4 Объективная реальность Эффективность систем защиты.
рабочих станций, баз данных и активного сетевого оборудования.
Эффективность СУИБ в целом:
управление обновлениями;
парольная политика;
система журналирования и оповещения.
информированность пользователей

Тест на проникновение

Слайд 6

© 2002—2009, Digital Security

Задача – проникновение (не сканирование!)

5

Тест на проникновение
Проникновение – получение

© 2002—2009, Digital Security Задача – проникновение (не сканирование!) 5 Тест на
доступа к ИС.
Карточные данные – не цель, цель - среда.
Если есть доступ к среде, значит карточные данные не защищены.
! Шифрование данных не является достаточной защитой:
возможность получения доступа к данным до или после проведения криптографических процедур;
перехват аутентификационных данных.
Итоговый вывод об успешном прохождении пентеста делает только QSA-аудитор

Слайд 7

© 2002—2009, Digital Security

Качество теста на проникновение

6

Тест на проникновение
Качество теста.
Опыт.
Исследования в области

© 2002—2009, Digital Security Качество теста на проникновение 6 Тест на проникновение
ИБ
Квалифицированные специалисты.
Контроль Совета PCI SSC.
К критичным нарушениям QSA-аудитором процедуры проверки относятся:
Заведомо ложная трактовка аудитором требований стандарта;
Обозначение в Отчете о Соответствии невыполненного требования как выполненного.
Тест на проникновение – не просто сканирование
Отзыв статуса QSA у аудитора – проблемы с сертификатом у его заказчика

Слайд 8

© 2002—2009, Digital Security

Пример внутреннего теста на проникновение

32
Найдена уязвимость хранимого межсайтового скриптинга

© 2002—2009, Digital Security Пример внутреннего теста на проникновение 32 Найдена уязвимость
на внутреннем портале.
Внедряется код, который перенаправляет в невидимом фрейме браузер пользователя на ресурс созданный специалистом проводящим тест на проникновение..
Проведение атаки SMB RELAY для аутентификации на контроллере домена используя NTLM пользователя.
Используя аутентификацию пользователя, специалист пробует выполнить код на контроллере домена – запуск командной строки.
Когда администратор посетил портал, на контроллере домена откроется черный ход – командная строка с правами доменного администратора.

Тест на проникновение

Слайд 9

32

Итог
Получен доступ с правами администратора к контроллеру домена.
Ошибки
Уязвимость типа XSS.

Тест на проникновение

Пример

32 Итог Получен доступ с правами администратора к контроллеру домена. Ошибки Уязвимость
внутреннего теста на проникновение
Имя файла: Тест-на-проникновение-в-соответствии-с-PCI-DSS.pptx
Количество просмотров: 500
Количество скачиваний: 1