Pruebas de penetración de PCI: ¿Es necesario volver a probar toda la infraestructura en un cambio significativo?

Question

Pruebas de penetración de PCI: ¿Es necesario volver a probar toda la infraestructura en un cambio significativo?

#1 de gowenfawr (1 votos)

1

El PCI SCC establece lo siguiente en su guía de pruebas de penetración :

Por PCI DSS Requirements 11.3.1 y 11.3.2, las pruebas de penetración deben realizarse al menos una vez al año y después de cualquier cambio significativo, por ejemplo, actualización o modificación de la infraestructura o de la aplicación, o nueva Instalaciones de componentes del sistema. Lo que se considera "significativo" es altamente dependiente del proceso de evaluación de riesgos de una entidad y en la configuración de un entorno determinado. Debido a esta variabilidad, una significativa el cambio no es prescrito por PCI DSS. Si el cambio pudiera impactar el seguridad de la red o permitir el acceso a los datos del titular de la tarjeta, puede ser considerado significativo por la entidad. Pruebas de penetración de Se realizan cambios significativos para garantizar que los controles se supone que son en su lugar siguen funcionando efectivamente después de la actualización o modificación

Por lo tanto, depende de cada organización definir qué constituye un cambio significativo en su documentación. Sin embargo, como la prueba de penetración debe incluir evaluaciones de seguridad en cualquier aplicación dentro del alcance presente, una organización puede haber especificado que las nuevas características en estas aplicaciones constituyen un cambio significativo.

Si ese es el caso, ¿está permitido bajo PCI DSS solo "probar a lápiz" las aplicaciones modificadas, o PCI ordena que también se vuelva a probar toda la infraestructura, incluso aunque estos servidores individuales no hayan cambiado? Sí, en cualquier ecosistema está la ley de consecuencias no deseadas , sin embargo, si se puede razonablemente implicar que los cambios no afectarán ¿Algo más tiene que repetirse la prueba?

Por supuesto, si está permitido, esto debe documentarse como tal, que esta es la línea que está tomando la organización. Además, dado que hay una prueba de penetración anual de todo lo que está dentro del alcance, esto cubriría cualquier nueva vulnerabilidad que pueda afectar al resto de la red.

penetration-test pci-dss

pregunta SilverlightFox 13.01.2016 - 13:27

fuente

1 respuesta

Lea otras preguntas en las etiquetas penetration-test pci-dss

intento MitM que resulta en redirecciones ICMP Preocupaciones de seguridad del punto final de eco HTML

score 1 · Accepted Answer

Versión corta:

Los documentos PCI dejan espacio para apoyar cualquiera de las posiciones
La aprobación o desaprobación de su QSA supera todo lo que cree que dicen los documentos (¡como siempre!)
En la práctica, he visto a los QSA aceptar pentest de alcance limitado cuando los "cambios significativos" tenían un alcance limitado para el medio ambiente

Versión larga:

A primera vista, la redacción de DSS parece absoluta; que se requiere un pentest completo anualmente y ante un cambio significativo:

11.3 Implemente una metodología para las pruebas de penetración que incluya lo siguiente:

...


Incluye cobertura para todo el perímetro CDE y sistemas críticos

Incluye pruebas tanto dentro como fuera de la red


...

11.3.1 Realice pruebas de penetración externas al menos una vez al año y después de cualquier actualización significativa de la infraestructura o aplicación o   modificación ...

...

11.3.2 Realice pruebas de penetración internas al menos una vez al año y luego de cualquier actualización significativa de la infraestructura o aplicación o   modificación ...

Sin embargo, cuando se habla de "cambio significativo", las Pautas de pruebas de penetración 2015 son claras de que esto es un área donde el juicio es necesario:

Lo que se considera "significativo" es altamente dependiente de la entidad proceso de evaluación de riesgos y en la configuración de un determinado ambiente. Debido a esta variabilidad, un cambio significativo no es prescrito por PCI DSS.

Si regresa a las Pautas de pruebas de penetración 2008 , la sección equivalente parece aún más receptiva a el argumento de que no todos los requisitos de pentest son iguales:

Significación dentro de una red altamente segmentada donde los datos del titular de la tarjeta Está claramente aislado de otros datos y funciones es muy diferente importancia en una red plana donde cada persona y dispositivo pueden potencialmente acceder a los datos del titular de la tarjeta. Como una buena práctica de seguridad, todos Las actualizaciones y modificaciones deben ser probadas para garantizar la penetración. Los controles que se supone que están en su lugar siguen funcionando efectivamente después de la actualización o modificación.

Creo que la última oración puede interpretarse como que los controles que no se supone que se ven afectados por un "cambio significativo" no tienen que volver a probarse junto con ese cambio.

Uno de los estudios de caso en las Pautas de Pruebas de Penetración de 2015 también respalda la idea de que el alcance de la evaluación puede variar según el criterio de lo que el sujeto (y su QSA) consideran dentro del alcance de la prueba de penetración:

Las aplicaciones web para Marca A y Marca B estarán completamente en alcance. La aplicación web para la Marca C se presume que es una exacta Copia, exclusiva de la información del producto y apariencia. El probador muestreará la aplicación web de la Marca C para verificar que la las aplicaciones son las mismas que las de la Marca B. Si se determina que existen son diferencias materiales entre la marca B y las aplicaciones web de la marca C, La marca C entrará en pleno alcance.

Y cuando se trata de volver a probar las vulnerabilidades que se identificaron en la prueba de penetración, las Directrices de 2015 dejan claro que se espera cierta latitud en la superficie de prueba:

El alcance de una nueva prueba debe considerar si algún cambio ocurre como un resultado de remediación identificado en la prueba se clasifica como significativo. Todos los cambios deben ser reexaminados; sin embargo, si un La re-prueba completa del sistema es necesaria, será determinada por el riesgo. evaluación de esos cambios.

Entonces, mientras que nada dice explícitamente "Usted puede limitar razonablemente las pruebas de penetración de 'cambio significativo'", está en línea con las declaraciones que reconocen la variabilidad de los entornos y los perfiles de riesgo. Al igual que con muchas cosas en el PCI DSS, si puede convencer a su QSA para que acepte que es razonable, entonces se acepta.