¿Cómo satisfacer el requisito 10.6 de PCI DSS?

4

La empresa para la que trabajo está solicitando el cumplimiento de PCI y estoy a cargo de escribir la mayoría de los procedimientos y políticas requeridos. El problema es que no tengo ninguna experiencia con la seguridad de TI, por lo que la mayor parte de lo que está escrito en PCI DSS no tiene mucho sentido para mi Para mantener el alcance de esta pregunta lo suficientemente pequeño, concentrémonos en el requisito 10.6:

  

Revise los registros de todos los componentes del sistema al menos diariamente. Las revisiones de registro deben incluir aquellos servidores que realizan funciones de seguridad como el sistema de detección de intrusos (IDS) y los servidores de autenticación, autorización y protocolo de contabilidad (AAA) (por ejemplo, RADIUS).

Y los correspondientes procedimientos de prueba:

  

10.6.a Obtenga y examine las políticas y procedimientos de seguridad para verificar que incluyen procedimientos para revisar los registros de seguridad al menos diariamente y que se requiere un seguimiento de las excepciones.   

     

10.6.b A través de la observación y las entrevistas, verifique que se realicen revisiones periódicas de todos los componentes del sistema.

  • ¿Qué significa, exactamente, revisar los registros?
  • ¿Qué constituye una excepción ?
  • ¿Qué suelen hacer las empresas en caso de excepciones?
pregunta Otavio Macedo 29.01.2013 - 14:29
fuente

2 respuestas

3

Primero, es mejor instalar una utilidad como Splunk que reúna todos sus registros en un solo lugar. Sus registros del sistema, sus registros de errores, sus registros de aplicaciones, sus registros de W3, sus registros de AV, sus registros de firewall, etc. También le recomendamos que comience un nuevo tipo de registro de todas sus revisiones de registros diarios en donde registra cada uno Revisión del registro del día a su propio registro. Necesita una prueba de que está haciendo una revisión diaria de todos sus registros.

Busque eventos como fallos de instalación de software o éxitos (¡gracias!) que no inició. Ataques revelados por sus registros de AV o firewall que le muestran qué áreas necesita para fortalecer su seguridad. Si tiene una entrada de registro de una instalación o actualización de software exitosa, debe anotar en su propio registro que el evento fue autorizado y ocurrió bajo su supervisión (de modo que su QA de PCI-DSS tenga la seguridad de que anotó el evento y que ocurrió bajo su control).

Comience a pensar en esas líneas (y muchas otras) y tendrá la idea correcta.

    
respondido por el Ron Robinson 30.01.2013 - 02:10
fuente
5

Revisar los registros esencialmente significa leerlos y buscar cualquier cosa que pueda constituir un ataque o un riesgo de seguridad. En general estás buscando algo inusual. Puede usar varias herramientas de filtrado de registros para ayudarlo en esta actividad, o priorizar sus eventos por gravedad si está viendo los registros de IDS.

Una excepción, en este contexto, es cualquier registro que esté fuera del patrón normal de actividad. Lo que están diciendo es que no puede simplemente revisar los registros y luego no hacer nada por sus hallazgos; debe hacer un seguimiento de cualquier tráfico inusual, y hacer una investigación de la fuente y la causa. Si su investigación en una excepción revela algo significativo, también debe actuar en consecuencia. Normalmente, esto implica documentar el evento y proponer una mitigación.

Básicamente, el objetivo de esto es asegurarse de que está supervisando activamente cualquier posible intento de intrusión.

Como ejemplo, supongamos que tiene un IDS que se encuentra en el perímetro de su DMZ. Para cumplir con la norma PCI-DSS 10.6.a, debe leer todos los registros y alertas al menos diariamente e investigar la fuente de ellos. Podría encontrar que un dispositivo realizó un escaneo de puerto, que tendría que documentar, y hacer una investigación sobre su procedencia. Si identifica que el dispositivo no está en su lista de activos, puede decidir agregar una regla de firewall para bloquearlo. Sin embargo, tenga en cuenta que esto es solo un ejemplo un : PCI DSS deja esto intencionalmente impreciso para cubrir todo tipo de eventos y registros.

    
respondido por el Polynomial 29.01.2013 - 14:38
fuente

Lea otras preguntas en las etiquetas