РЕШЕНИЯ И УСЛУГИ

Межсетевые экраны Palo Alto Networks и PCI DSS 3.0

13/05/2015
Сергей Синиченко

pci-dss-3.0-compliant.jpgВ ноябре 2014 года был обновлен стандарт PCI DSS – опубликована версия 3.0. Этот стандарт обязателен для выполнения всеми компаниями, которые работают с данными пластиковых карт: банки, ритейл, онлайн сервисы, принимающие платежи и многие другие.
PCI DSS версии 3.0 включает в себя порядка трёхсот требований, сгруппированных в двенадцать категорий:

Направления

Требования

Построение и обслуживание защищенной сети и систем

1. Установить и обеспечить функционирование межсетевых экранов для защиты данных держателей карт

2. Не использовать пароли и другие системные параметры, заданные производителем по умолчанию

Защита данных держателей карт

3. Обеспечить безопасное хранение данных держателей карт

4. Обеспечить шифрование данных держателей карт при их передаче через сети общего пользования

Программа управления уязвимостями

5. Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО

6. Разрабатывать и поддерживать безопасные системы и приложения

Внедрение строгих мер контроля доступа

7. Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью

8. Определять и подтверждать доступ к системным компонентам

9. Ограничить физический доступ к данным держателей карт

Регулярный мониторинг и тестирование сети

10. Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт

11. Регулярно выполнять тестирование систем и процессов обеспечения безопасности

Поддержание политики информационной безопасности

12. Разработать и поддерживать политику информационной безопасности для всего персонала организации

Цель всех этих правил – дальнейшее повышение уровня безопасности, согласование и упорядочивание свода единых правил взаимодействия между организациями, участвующими в проведении операций по кредитным картам.

К сожалению, сейчас требования стандартов, зачастую, развиваются медленнее чем технологии, особенно, если речь идёт об устремлениях киберпреступников.

С точки зрения специалистов компании Palo Alto Networks, в PCI DSS – 3.0 есть несколько областей, которым нужно уделить повышенное внимание и внедрить дополнительные меры защиты, так как они наиболее уязвимы для кибер-атак. Рассмотрим основные из них:

Требование 1.

«Установить и обеспечить функционирование межсетевых экранов для защиты данных держателей карт» (стр. 19-30 PCI DSS – 3.0)»

Это требование слишком общее для внедрения на межсетевых экранах. Это так же было отмечено и в отчете о соответствии требованиям PCI DSS – 3.0 компании Verizon :
«A problem regularly encountered during PCI-DSS assessments is firewalls and routers being configured more “generally” allowing a wide range of ports to ensure that applications function»
«The DSS still specifies stateful-inspection firewalls, first launched in 1994. As the threats to the CDE become more complex, these devices are less able to identify all unauthorized traffic and often get overloaded with thousands of out-of-date rules. To address this, vendors are now offering “next generation” firewalls that can validate the traffic at layers 2 to 7, potentially allowing far greater levels of granularity in the rules. Many of these devices integrate a number of network controls — for example firewall, intrusion prevention system (IPS), and malware detection — into a single platform, allowing any potential threats detected by one component to trigger changes in the behavior of the other components, and a more thorough analysis»

Межсетевые экраны нового поколения Palo Alto Networks предоставляют глубокий уровень детализации правил, а также позволяют включать дополнительные элементы контроля (как для межсетевого экрана, так и для IPS, системы обнаружения вредоносного кода). Контролируя трафик на уровне приложений, они обеспечивают прохождение только легитимного трафика и блокируют всё остальное.

Сегментация сети.

Отсутствие рекомендаций по сегментации в перечне лучших практик Стандарта – серьезное упущение. Специалисты компании Palo Alto Networks рекомендуют сегментировать сеть для сокращения области внедрения Стандарта. Также, это хороший способ снижения последствий от атак на инфраструктуру. Сегментация, осуществлённая на высоком уровне (разграничивая приложения, пользователи и контент, а не «old-school» - порты и IP адреса), позволит значительно сократить усилия по демонстрации соответствия Стандарту в ходе аудита и поддержании её актуальности в дальнейшем. Компания Palo Alto Networks выпустила экспертный доклад на тему соответствия PCI DSS, в котором подробно описаны преимущества сегментации сети на уровне приложений для PCI DSS.

Требование 5.

«Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО» (стр. 56-60 PCI DSS – 3.0)»

Это требование в PCI DSS целиком посвящено антивирусной защите. К сожалению, рынок защиты конечных пользователей в настоящий момент претерпевает большие изменения, значение антивирусов для них существенно снижается, так как они не могут противостоять большинству кибер атак. Антивирус «конечной точки» теперь не может являться достаточной защитой рабочих станций от заражения вредоносным кодом, как следствие необходимо дополнять выбор решений, удовлетворяющих требованиям PCI DSS, в сторону эшелонированной антивирусной защиты, расширяя ее более современными архитектурными решениями. Одним из таких решений может служить решение Traps компании Palo Alto Networks, использующее в своей работе альтернативный подход, выявляя способы, которые используют злоумышленники для атак, а не анализируя сам вредоносный код. Преимущество такого подхода заключается не в поиске конкретного вредоносного кода, а выявления одного из ограниченного количества способов доставки фрагмента вредоносной программы, что злоумышленник обязан использовать и которые хорошо изучены. Выявляя именно процесс активации и работы этих способов, Traps блокирует атаку до того, как она успеет нанести какой-либо вред.

Администрация
сайта

Тема: Межсетевые экраны Palo Alto Networks и PCI DSS 3.0

Задайте мне Ваш вопрос