Come soddisfare il requisito 10.6 di PCI DSS?

Naviga le tue risposte
4

La società per cui lavoro sta richiedendo la conformità PCI e sono incaricata di scrivere la maggior parte delle procedure e delle politiche richieste. Il problema è che non ho alcuna esperienza con la sicurezza IT, quindi la maggior parte di ciò che è scritto nel PCI DSS non ha molto senso per me. Per mantenere l'ambito di questa domanda abbastanza piccolo, concentriamoci sul requisito 10.6:

Review logs for all system components at least daily. Log reviews must include those servers that perform security functions like intrusion-detection system (IDS) and authentication, authorization, and accounting protocol (AAA) servers (for example, RADIUS).

E le procedure di test corrispondenti:

10.6.a Obtain and examine security policies and procedures to verify that they include procedures to review security logs at least daily and that follow-up to exceptions is required. 

10.6.b Through observation and interviews, verify that regular log reviews are performed for all system components.

  • Che cosa significa esattamente, per rivedere log?
  • Che cosa costituisce un'eccezione ?
  • Che cosa fanno di solito le aziende in caso di eccezioni?
posta Otavio Macedo 29.01.2013 - 14:29
fonte

2 risposte

3

Per prima cosa, è meglio installare un'utilità come splunk che riunisca tutti i registri in un'unica pagina. I registri di sistema, i registri degli errori, i registri delle applicazioni, i registri W3, i registri AV, i registri del firewall, ecc. Si consiglia inoltre di avviare un nuovo tipo di registro di tutte le revisioni giornaliere dei registri in cui si registrano ciascuna revisione del registro del giorno per il proprio registro. Hai bisogno di prove che stai facendo una revisione giornaliera di tutti i tuoi registri.

Cerca eventi come errori di installazione del software o successi (yikes!) che non hai avviato. Attacchi rivelati dai registri AV o firewall che mostrano quali aree sono necessarie per rafforzare la sicurezza. Se si dispone di una voce di registro di un'installazione o di un aggiornamento del software di successo, è necessario annotare nel proprio registro che l'evento è stato autorizzato e si è verificato sotto la supervisione (pertanto il QA PCI-DSS è rassicurato che l'evento è stato notato e che si è verificato sotto il tuo controllo).

Inizia a pensare su queste linee (e su molte altre) e hai l'idea giusta.

    
risposta data 30.01.2013 - 02:10
fonte
5

Revisione dei registri significa essenzialmente leggerli e cercare qualsiasi cosa possa costituire un attacco o un rischio per la sicurezza. In generale stai cercando qualcosa di insolito. Potresti utilizzare vari strumenti di filtraggio dei registri per aiutarti in questa attività o dare priorità agli eventi in base alla severità se stai guardando i log IDS.

Un'eccezione, in questo contesto, è un log che non rientra nel normale schema di attività. Quello che stanno dicendo è che non puoi semplicemente controllare i registri e quindi non fare nulla sulle tue scoperte: devi fare seguito a qualsiasi traffico insolito, e fare qualche ricerca sull'origine e la causa. Se la tua indagine su un'eccezione rivela qualcosa di significativo, devi anche agire di conseguenza. Normalmente ciò comporta la documentazione dell'evento e la proposta di una mitigazione.

In sostanza, il punto è garantire che tu stia monitorando attivamente eventuali potenziali tentativi di intrusione.

Ad esempio, diciamo che hai un IDS che si trova sul perimetro della tua DMZ. Per conformarsi a PCI-DSS 10.6.a, è necessario leggere tutti i log e gli avvisi almeno quotidianamente e indagare sulla loro origine. Potresti scoprire che un dispositivo ha eseguito una scansione delle porte, che avresti dovuto documentare, e fare qualche ricerca su da dove proviene. Se si identifica che il dispositivo non è presente nell'elenco delle risorse, è possibile decidere di aggiungere una regola firewall per bloccarla. Tieni presente, tuttavia, che questo è solo un esempio uno - PCI DSS lascia questo intenzionalmente vago per coprire tutti i tipi di eventi e log.

    
risposta data 29.01.2013 - 14:38
fonte

Leggi altre domande sui tag

Divieto o eliminazione di utenti abusivi [chiuso] Sistema di accesso sicuro - utilizzando le sessioni?