PCI Penetration Testing: l'intera infrastruttura deve essere sottoposta a test su cambiamenti significativi?

1

Il PCI SCC afferma quanto segue nella guida per i test di penetrazione :

Per PCI DSS Requirements 11.3.1 and 11.3.2, penetration testing must be performed at least annually and after any significant change—for example, infrastructure or application upgrade or modification—or new system component installations. What is deemed “significant” is highly dependent an entity’s riskassessment process and on the configuration of a given environment. Because of this variability, a significant change is not prescribed by PCI DSS. If the change could impact the security of the network or allow access to cardholder data, it may be considered significant by the entity. Penetration testing of significant changes is performed to ensure that controls assumed to be in place are still working effectively after the upgrade or modification

Pertanto spetta alle singole organizzazioni definire ciò che costituisce un cambiamento significativo nella loro documentazione. Tuttavia, poiché il test di penetrazione dovrebbe includere valutazioni di sicurezza su tutte le applicazioni in-scope presenti, un'organizzazione potrebbe aver specificato che le nuove funzionalità in queste applicazioni costituiscono un cambiamento significativo.

In questo caso, è consentito sotto PCI DSS solo "testare" le applicazioni modificate, oppure PCI impone di ritestare anche l'intera infrastruttura, anche se questi singoli server potrebbero non essere stati modificati? Sì, in qualsiasi ecosistema esiste la legge delle conseguenze non intenzionali , tuttavia se può essere ragionevolmente implicito che le modifiche non influenzeranno qualcos'altro il test deve essere completamente ripetuto?

Naturalmente, se è consentito, questo dovrebbe essere documentato come tale che questa è la linea che l'organizzazione sta prendendo. Inoltre, poiché esiste un test di penetrazione annuale di tutto ciò che è in ambito, ciò coprirebbe eventuali nuove vulnerabilità che potrebbero interessare il resto della rete.

    
posta SilverlightFox 13.01.2016 - 13:27
fonte

1 risposta

1

Versione breve:

  • I documenti PCI lasciano spazio per supportare entrambe le posizioni
  • L'approvazione o la disapprovazione di QSA supera qualsiasi cosa tu ritenga che i documenti dicano (come sempre!)
  • In pratica, ho visto i QSA accettare pentests a portata limitata quando "cambiamenti significativi" erano limitati per quanto riguarda l'ambiente

Versione lunga:

A prima vista, la formulazione del DSS sembra assoluta; che un pentest completo è richiesto annualmente e in seguito a cambiamenti significativi:

11.3 Implement a methodology for penetration testing that includes the following:

...

  • Includes coverage for the entire CDE perimeter and critical systems
  • Includes testing from both inside and outside the network

...

11.3.1 Perform external penetration testing at least annually and after any significant infrastructure or application upgrade or modification...

...

11.3.2 Perform internal penetration testing at least annually and after any significant infrastructure or application upgrade or modification...

Tuttavia, quando si parla di "cambiamenti significativi", le Linee guida per i test di penetrazione del 2015 sono chiari che questo è un'area in cui è necessario un giudizio:

What is deemed “significant” is highly dependent an entity’s risk assessment process and on the configuration of a given environment. Because of this variability, a significant change is not prescribed by PCI DSS.

Se torni alle Linee guida per i test di penetrazione 2008 , la sezione equivalente sembra ancora più ricettiva a l'argomento secondo cui non tutti i requisiti del pentest sono uguali:

Significance within a highly segmented network where cardholder data is clearly isolated from other data and functions is very different than significance in a flat network where every person and device can potentially access cardholder data. As a security best practice, all upgrades and modifications should be penetration-tested to ensure that controls assumed to be in place are still working effectively after the upgrade or modification.

Penso che l'ultima frase possa essere interpretata nel senso che i controlli non considerati influenzati da un "cambiamento significativo" non hanno bisogno di essere ritestati insieme a quel cambiamento.

Uno dei casi di studio nelle Linee guida per le prove di penetrazione del 2015 supporta anche l'idea che l'ambito della valutazione può variare in base al giudizio di ciò che il soggetto (e il loro QSA) considerano nell'ambito del test di penetrazione:

The web applications for Brand A and Brand B will be completely in scope. The web application for Brand C is presumed to be an exact copy, exclusive of product information and look and feel. The tester will sample the web application for Brand C to verify that the applications are the same as Brand B. If it is determined that there are material differences between Brand B and Brand C web applications, Brand C will be brought fully into scope.

E quando si tratta di testare nuovamente le vulnerabilità identificate nel test di penetrazione, le Linee guida 2015 chiariscono che è prevista una certa latitudine nella superficie di prova:

The scope of a retest should consider whether any changes occurring as a result of remediation identified from the test are classified as significant. All changes should be retested; however, whether a complete system retest is necessary will be determined by the risk assessment of those changes.

Quindi, mentre nulla dice esplicitamente "È possibile limitare ragionevolmente 'test di penetrazione' significativi cambiamenti", è in linea con le dichiarazioni che riconoscono la variabilità di ambienti e profili di rischio. Come con molte cose nello standard PCI DSS, se riesci a convincere il tuo QSA ad accettare che è ragionevole, allora è accettato.

    
risposta data 15.01.2016 - 18:48
fonte

Leggi altre domande sui tag