PCI DSS 1.2: готовим ритейл-клиента к аудиту
Вышел PCI DSS 1.2 с уточнениями по беспроводным сетям и шифрованию. Помогаем ритейлеру разобраться с сегментацией, логированием и пентестом - составляем план.
Выход PCI DSS версии 1.2 в октябре 2008 года с уточнением требований к беспроводным сетям и шифрованию
В октябре PCI SSC выпустил версию 1.2 стандарта PCI DSS. Изменения точечные: уточнения по беспроводным сетям, скорректированные формулировки по шифрованию и несколько правок, которые убирали двусмысленность из 1.1. Не революция, но несколько требований теперь читаются иначе, и это меняет список обязательных мероприятий.
Как раз в этот момент к нам обратился клиент из продуктового ритейла - несколько магазинов в Москве, центральный офис, собственный процессинг карточных платежей на кассах. Готовятся к сертификационному аудиту QSA. Срок - начало следующего года. Попросили помочь разобраться, что именно надо закрыть.
Мы взялись за аудит. Ниже - что увидели и как выстраиваем план.
Первое - сегментация сети, и это больно
Самое болезненное место почти у любого ритейлера: кассы, бэк-офис, бухгалтерия и Wi-Fi для сотрудников живут в одной плоской сети. PCI DSS это не запрещает формально, но тогда в периметр CDE (Cardholder Data Environment) попадает всё - и аудит становится в разы шире и дороже.
У клиента - именно такая история. Кассовые терминалы в одном VLAN с принтерами, рабочими станциями менеджеров и точками доступа Wi-Fi. Мы честно сказали: либо мы делаем нормальную сегментацию, либо аудит будет охватывать буквально каждое устройство в сети.
Решение - выделить CDE в отдельный VLAN, ограничить трафик через межсетевой экран, документировать все потоки данных в этот сегмент и из него. По версии 1.2 требования к беспроводным сетям стали чуть строже: если Wi-Fi никак не связан с CDE, это надо явно подтвердить конфигурацией и сканированием. У клиента в одном из магазинов Wi-Fi-точка физически стоит рядом с кассой - это не автоматически проблема, но придётся доказать, что сети изолированы.
Второе - логирование: что писать, куда писать, сколько хранить
Требование 10 PCI DSS - журналы аудита. Звучит просто, на практике всегда есть нюансы. У клиента логи с касс пишутся в базу на том же сервере. Это нарушает принцип целостности: если сервер скомпрометирован, атакующий может чистить логи. Надо централизованное хранилище, отдельное от систем, которые оно журналирует.
Минимальный набор событий по стандарту - доступ к данным держателей карт, попытки аутентификации (успешные и нет), изменения в настройках систем CDE, запуск и остановка процессов аудита. По 1.2 список чуть уточнён, но по сути не изменился.
Хранение - минимум год, из которых три месяца должны быть доступны для оперативного анализа. У клиента логи ротировались раз в месяц и не архивировались вообще. Это надо исправить до аудита - без дискуссий.
Мы рекомендовали поднять централизованный syslog с TLS (у нас есть опыт с rsyslog, писали про это раньше). Плюс - минимальная корреляция по критичным событиям: несколько неудачных попыток входа подряд должны поднимать алерт, а не тихо падать в файл.
Третье - тестирование на проникновение
Требование 11.3 - пентест минимум раз в год и после значимых изменений в инфраструктуре. Не сканирование уязвимостей, а именно пентест с имитацией атаки. Клиент до этого ни разу не заказывал ничего подобного. Первая реакция - «а это обязательно?». Да, обязательно, QSA это проверяет.
Пентест надо провести до сертификационного аудита - чтобы найти проблемы самим и успеть закрыть. Если аудитор найдёт критичную уязвимость первым - это несоответствие и срыв сертификации.
Внешний и внутренний пентест - разные задачи. Внешний проверяет периметр: что видно из интернета, насколько прощупываем платёжный шлюз. Внутренний - что может сделать условный злоумышленник, попавший внутрь сети, до CDE. При плоской сети, как у клиента, ответ на второй вопрос очевиден и неприятен, поэтому сегментация - приоритет номер один.
Как выглядит план мероприятий
Мы разбили работу на три блока:
- Сетевая сегментация. Проект VLAN под CDE, правила межсетевого экрана, документирование потоков данных, проверка изоляции Wi-Fi. Это самое долгое - оцениваем в шесть-восемь недель с учётом того, что переключать надо без остановки торговли.
- Логирование и мониторинг. Централизованный syslog, настройка источников на кассах и серверах, правила хранения, минимальные алерты. Три-четыре недели параллельно с сетевым блоком.
- Пентест и сканирование. После завершения сегментации - внутренний пентест силами внешнего подрядчика, плюс сканирование ASV (одобренным вендором) для внешнего периметра. Результаты - в отчёт, который покажем QSA.
Плюс документация: политики, процедуры, матрица ответственности. Без бумаги аудитору неинтересно, что всё фактически работает.
Где сейчас
Сетевой аудит закончен, схема CDE с разметкой потоков данных готова. Клиент согласовал план - начинаем с VLAN. Про пентест договариваемся с подрядчиком, которому доверяем.
До аудита QSA - примерно три месяца. Реально, если не будет сюрпризов при сегментации. Сюрпризы при переключении сетей в торговых точках бывают почти всегда - закладываем буфер.
- ISO 27001: помогаем клиенту готовиться к сертификации · 24 апреля 2008
- 152-ФЗ: клиент попросил аудит - начинаем с инвентаризации · 14 февраля 2008