Pruebas de penetración de PCI: ¿Es necesario volver a probar toda la infraestructura en un cambio significativo?

1

El PCI SCC establece lo siguiente en su guía de pruebas de penetración :

  

Por PCI DSS Requirements 11.3.1 y 11.3.2, las pruebas de penetración deben   realizarse al menos una vez al año y después de cualquier cambio significativo, por   ejemplo, actualización o modificación de la infraestructura o de la aplicación, o nueva   Instalaciones de componentes del sistema. Lo que se considera "significativo" es altamente   dependiente del proceso de evaluación de riesgos de una entidad y en la configuración   de un entorno determinado. Debido a esta variabilidad, una significativa   el cambio no es prescrito por PCI DSS. Si el cambio pudiera impactar el   seguridad de la red o permitir el acceso a los datos del titular de la tarjeta, puede ser   considerado significativo por la entidad. Pruebas de penetración de   Se realizan cambios significativos para garantizar que los controles se supone que son   en su lugar siguen funcionando efectivamente después de la actualización o   modificación

Por lo tanto, depende de cada organización definir qué constituye un cambio significativo en su documentación. Sin embargo, como la prueba de penetración debe incluir evaluaciones de seguridad en cualquier aplicación dentro del alcance presente, una organización puede haber especificado que las nuevas características en estas aplicaciones constituyen un cambio significativo.

Si ese es el caso, ¿está permitido bajo PCI DSS solo "probar a lápiz" las aplicaciones modificadas, o PCI ordena que también se vuelva a probar toda la infraestructura, incluso aunque estos servidores individuales no hayan cambiado? Sí, en cualquier ecosistema está la ley de consecuencias no deseadas , sin embargo, si se puede razonablemente implicar que los cambios no afectarán ¿Algo más tiene que repetirse la prueba?

Por supuesto, si está permitido, esto debe documentarse como tal, que esta es la línea que está tomando la organización. Además, dado que hay una prueba de penetración anual de todo lo que está dentro del alcance, esto cubriría cualquier nueva vulnerabilidad que pueda afectar al resto de la red.

    
pregunta SilverlightFox 13.01.2016 - 13:27
fuente

1 respuesta

1

Versión corta:

  • Los documentos PCI dejan espacio para apoyar cualquiera de las posiciones
  • La aprobación o desaprobación de su QSA supera todo lo que cree que dicen los documentos (¡como siempre!)
  • En la práctica, he visto a los QSA aceptar pentest de alcance limitado cuando los "cambios significativos" tenían un alcance limitado para el medio ambiente

Versión larga:

A primera vista, la redacción de DSS parece absoluta; que se requiere un pentest completo anualmente y ante un cambio significativo:

  

11.3 Implemente una metodología para las pruebas de penetración que incluya lo siguiente:

     

...

     
  • Incluye cobertura para todo el perímetro CDE y sistemas críticos
  •   
  • Incluye pruebas tanto dentro como fuera de la red
  •   

...

     

11.3.1 Realice pruebas de penetración externas al menos una vez al año y después de cualquier actualización significativa de la infraestructura o aplicación o   modificación ...

     

...

     

11.3.2 Realice pruebas de penetración internas al menos una vez al año y luego de cualquier actualización significativa de la infraestructura o aplicación o   modificación ...

Sin embargo, cuando se habla de "cambio significativo", las Pautas de pruebas de penetración 2015 son claras de que esto es un área donde el juicio es necesario:

  

Lo que se considera "significativo" es altamente dependiente de la entidad   proceso de evaluación de riesgos y en la configuración de un determinado   ambiente. Debido a esta variabilidad, un cambio significativo no es   prescrito por PCI DSS.

Si regresa a las Pautas de pruebas de penetración 2008 , la sección equivalente parece aún más receptiva a el argumento de que no todos los requisitos de pentest son iguales:

  

Significación dentro de una red altamente segmentada donde los datos del titular de la tarjeta   Está claramente aislado de otros datos y funciones es muy diferente   importancia en una red plana donde cada persona y dispositivo pueden   potencialmente acceder a los datos del titular de la tarjeta. Como una buena práctica de seguridad, todos   Las actualizaciones y modificaciones deben ser probadas para garantizar la penetración.   Los controles que se supone que están en su lugar siguen funcionando efectivamente después de   la actualización o modificación.

Creo que la última oración puede interpretarse como que los controles que no se supone que se ven afectados por un "cambio significativo" no tienen que volver a probarse junto con ese cambio.

Uno de los estudios de caso en las Pautas de Pruebas de Penetración de 2015 también respalda la idea de que el alcance de la evaluación puede variar según el criterio de lo que el sujeto (y su QSA) consideran dentro del alcance de la prueba de penetración:

  

Las aplicaciones web para Marca A y Marca B estarán completamente en   alcance. La aplicación web para la Marca C se presume que es una exacta   Copia, exclusiva de la información del producto y apariencia. El probador   muestreará la aplicación web de la Marca C para verificar que la   las aplicaciones son las mismas que las de la Marca B. Si se determina que existen   son diferencias materiales entre la marca B y las aplicaciones web de la marca C,   La marca C entrará en pleno alcance.

Y cuando se trata de volver a probar las vulnerabilidades que se identificaron en la prueba de penetración, las Directrices de 2015 dejan claro que se espera cierta latitud en la superficie de prueba:

  

El alcance de una nueva prueba debe considerar si algún cambio ocurre como   un resultado de remediación identificado en la prueba se clasifica como   significativo. Todos los cambios deben ser reexaminados; sin embargo, si un   La re-prueba completa del sistema es necesaria, será determinada por el riesgo.   evaluación de esos cambios.

Entonces, mientras que nada dice explícitamente "Usted puede limitar razonablemente las pruebas de penetración de 'cambio significativo'", está en línea con las declaraciones que reconocen la variabilidad de los entornos y los perfiles de riesgo. Al igual que con muchas cosas en el PCI DSS, si puede convencer a su QSA para que acepte que es razonable, entonces se acepta.

    
respondido por el gowenfawr 15.01.2016 - 18:48
fuente

Lea otras preguntas en las etiquetas