新版本的支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)已經發(fā)布，其中不僅要求商家做好準備擺脫有問題的數(shù)據(jù)加密協(xié)議，還要求提供有關他們打算如何實現(xiàn)這種轉變的詳細計劃。

在2004年，Visa、MasterCard和其他主要銀行卡品牌發(fā)布了基準安全標準最初版本以保護支付卡數(shù)據(jù)傳輸和存儲，而在近日PCI安全標準委員會發(fā)布了最新版本PCI DSS 3.1。

PCI DSS 3.1：到2016年6月，SSL/早期版本TLS必須終止使用

這個版本包括少量澄清和更新，主要是為了解決安全套接字層(SSL)和傳輸層安全(TLS)加密協(xié)議內的高風險漏洞，這些漏洞可能讓支付數(shù)據(jù)面臨威脅。

PCI DSS 3.1更新了三個特別提到SSL的關鍵要求：2.2.3(對VPN、NetBIOS、文件共享、Telnet、FTP和類似服務的加密)、2.3(對基于Web的管理和其他非控制臺管理訪問的加密)以及4.1(對跨開放公開網絡傳輸?shù)某挚ㄈ藬?shù)據(jù)的加密)--以刪除SSL和“早期版本TLS”作為強加密協(xié)議的示例協(xié)議。SSC定義“早期版本TLS”為1.0版TLS，在某些情況下還包括1.1版，這取決于它在哪里使用以及如何部署。

該版本立即生效，現(xiàn)在商家禁止部署采用SSL和早期版本TLS的新技術;在2016年6月30日，商家將不再允許以任何方式使用SSL和早期版本TLS作為保護支付數(shù)據(jù)的獨立安全控制。

此舉是受去年美國國家標準與技術研究院(NIST)Special Publication 800-52更新的推動。在該文件中，NIST指出只有TLS 1.1和1.2足夠安全可供政府使用，這表明SSL 2.0、SSL 3.0和TLS 1.0不再是可行的強加密標準。然而，很多商家仍然在其持卡人數(shù)據(jù)環(huán)境使用第一個版本的TLS，在某些情況下，甚至在使用SSL。

通常PCI DSS更新時間間隔為三年，PCI DSS 3.0發(fā)布于2013年11月，原本下一版本的PCI DSS要到2016年秋天才會發(fā)布。但是，SSC在2月份悄然宣布SSL和TLS中的漏洞問題需要一個計劃外的PCI DSS版本。

“在委員會，我們專注于提供最強的標準和資源，以幫助商家及其商業(yè)合作伙伴抵御最新的威脅和漏洞，”PCI SSC總經理Stephen Orfei在聲明中稱，“正如我們在POODLE和其他攻擊中所看到的，SSL協(xié)議內的漏洞對支付數(shù)據(jù)構成風險。通過PCI DSS 3.1和相應指導準則，我們希望幫助企業(yè)采取務實的基于風險的方法來應對這些威脅。”

合規(guī)和安全服務公司Trustwave高級安全工程師Don Brooks表示，他很高興地看到，PCI 3.1為商家提供了足夠的時間來逐步淘汰SSL，因為在該版本發(fā)布前業(yè)界猜測他們可能需要在今年年底前修復SSL和早期版本TLS。不過，他認為，超過14個月的過渡期可能是一把雙刃劍。

“我主要擔憂的是這漫長的時間，”Brooks表示，“對于一般商家而言，他們擁有的時間越長，他們可能就越沒那么緊急。商家需要確保他們可以很快解決這個問題。”

新要求：SSL/TLS風險緩解/遷移計劃

雖然商家有一年多的時間來進行過渡，但PCI DSS 3.1規(guī)定，使用SSL和/或早期版本TLS的商家必須立即采取行動，還需要立即制定正式的風險緩解和遷移計劃。

SSC在聲明中稱，在即將發(fā)布的PCI信息補充文件《從SSL和早期版本TLS遷移》中，他們將提供臨時風險緩解方法的指南、遷移建議以及強加密協(xié)議的替代方案。

在這些補充文件中(副本已經提供給SearchSecurity)，提供了詳細的指導意見以及正式風險緩解和遷移計劃中應該記錄的信息示例。

具體來說，商家必須描述存在漏洞的協(xié)議如何被使用;風險評估結果及其部署的風險降低控制;商家為監(jiān)測與漏洞協(xié)議相關的新漏洞所部署的程序;商家為確保SSL/早期版本TLS沒有部署到新環(huán)境所采取的變更控制流程;以及對企業(yè)遷移項目計劃的總體概述，包括打算如何在2016年6月30日的最后期限之前完成遷移目標。

PCI DSS 3.1規(guī)定商家應詳細描述其遷移到安全協(xié)議的計劃，并介紹在遷移完成前，為減少與SSL/早期版本TLS相關風險所采取的控制。

Gartner研究公司副總裁兼著名分析師Avivah Litan表示，盡管商家將需要在短時間內制定這個新文件，但該信息補充文件的要求是合理的。但她表示，這表明支付卡行業(yè)迫切需要更具戰(zhàn)略性的方法來確保安全性。

“如果我是零售商，我會感到很厭煩，但在另一方面，這些都是合理的安全措施，”Litan稱，“商家需要采取更具戰(zhàn)略性的做法。”

具體來說，Litan倡導全行業(yè)對從POS到發(fā)卡機構的網絡的PAN數(shù)據(jù)進行終端終端加密，以及所有發(fā)卡機構實行行業(yè)標準令牌化。

“你不能總是指望零售商來修復漏洞系統(tǒng)，而這個修復是合理的，”Litan稱，“但不合理的地方是，要求零售商對漏洞支付系統(tǒng)進行補償。”

咨詢公司K3DES LLC副總裁兼PCI QSA的Miguel "Mike" Villegas表示，雖然新文件需要商家做些工作，但其實這類似于報告合規(guī)(ROC)，其中需要概述并詳細介紹補償控制，商家應該很熟悉這個過程。

“我認為這不是很費事的工作，只是撰寫文檔，”Villegas稱，“而監(jiān)控則可能需要更多工作，但商家監(jiān)控的大部分應該是針對這些協(xié)議。”

在該補充文件中，SSC指出，對于額外的加密措施，商家有多種部署選擇，其中有些做法不一定要移除SSL/早期版本TLS;這包括升級到最新的安全版本的TLS，在數(shù)據(jù)通過SSL/早期版本TLS發(fā)送之前使用字段級或應用級加密對數(shù)據(jù)進行加密，或者在數(shù)據(jù)通過SSL發(fā)送之前部署強加密會話，例如IPsec隧道。

Litan稱，雖然這個指導準則為商家緩解風險提供了更多選擇，但這并不意味著工作量的減少。

“你要改變所有支付系統(tǒng)來在字段級加密或部署加密隧道，這仍然很麻煩，”Litan稱，“這是不少的工作量，SSC只是提供了更多選擇。”

在補充文件中，SSC重申，所有規(guī)模的商家(甚至是小商家)都必須部署PCI DSS 3.1中的變更，以防止支付數(shù)據(jù)被盜。

“所有實體類型都受到SSL/早期版本TLS問題的影響，包括小商家，”SSL在補充文件中稱，“小商家也必須采取必要的措施來將SSL/早期版本TLS從其持卡人數(shù)據(jù)環(huán)境移除，以確保其客戶數(shù)據(jù)的安全性。”

Brooks稱，所幸的是，還有很多開源和基于Web的工具可以幫助企業(yè)評估其SSL的使用情況。

“很多人不會想到SSL的所有使用位置，”Brooks稱，包括VPN、電子郵件數(shù)字簽名和安全即時通訊，“第一步是風險評估，從你的供應商和軟件提供商了解他們的風險所在。”

PCI DSS 3.1提供了“緩刑期”

對于銷售終端(POS)系統(tǒng)和交互點(POI)終端(由SSC定義為磁卡讀卡器或芯片讀卡器，例如NFC接觸點)，商家還有一定的喘息空間。

PCI 3.1指出，如果使用SSL和早期版本TLS的設備“被驗證為不容易受到所有SSL/早期版本TLS已知漏洞的影響”，那么，商家可以在2016年6月30日之后繼續(xù)使用這些設備。

在信息補充文件中，SSC解釋說目前已知的漏洞通常更難用于攻擊POS系統(tǒng)，所以對這些系統(tǒng)采取了不太嚴格的規(guī)定。

“有些現(xiàn)有SSL漏洞被攻擊者用來攔截客戶端/服務器通信以及操縱發(fā)到客戶端的信息，”SSC在補充文件中指出，“攻擊者的目標是欺騙客戶端來發(fā)送額外數(shù)據(jù)，讓攻擊者用來感染會話。”

然而，銷售終端通常不支持多個客戶端連接，其使用的協(xié)議限制了可能被暴露的數(shù)據(jù)量，并且沒有使用Web瀏覽器軟件、JavaScript或安全相關的會話cookie;這些都是利用SSL和早期版本TLS漏洞必要的因素。

“同樣重要的是要記住，漏洞利用還在不斷發(fā)展，企業(yè)必須做好準備應對新威脅，”SSC補充說，“所有使用SSL和/或早期版本TLS的企業(yè)都應該計劃盡快升級到強加密協(xié)議。”

然而，Litan質疑SSC的決定是否純粹是基于風險，他指出，銷售終端供應商能否在2016年6月前重做其產品也是一個考慮因素。

“在Target和Home Depot等商家遭受的攻擊中，大多數(shù)惡意軟件都位于連接到銷售終端的支付應用中，”Litan稱，“從理論上講，攻擊者很難進入POS系統(tǒng)，因為它們通常是封閉的操作系統(tǒng)，但這并不意味著他們無法進入。”

她補充說，SSC可能是比較實際，他們試圖避免大型零售商爭搶更新沒有經過完全測試的POS系統(tǒng)的情況。

Brooks稱，Trustware在評估POS系統(tǒng)對支付應用數(shù)據(jù)安全標準(PA-DSS)的合規(guī)情況后發(fā)現(xiàn)，在POS系統(tǒng)中存在對SSL/早期版本TLS的“一些薄弱環(huán)節(jié)”，POS供應商正在與SSC合作來了解這些情況，并制定具體措施來解決問題。

“最終，POS供應商將修復這個問題，并在最后期限之前推出新版本代碼，可能正是這在推動著14個月過渡期限，”Brooks稱，“SSC可能希望這可以帶動下一版本的PA-DSS。”

為此，SSC表示將立即發(fā)布新版本的PA-DSS以反映PCI DSS 3.1中的變更。

PCI 3.1中其他顯著變更包括導語部分中“保護持卡人數(shù)據(jù)”變?yōu)?ldquo;保護賬戶數(shù)據(jù)”，11.3.4要求中指出滲透測試的目的是驗證所有范圍外系統(tǒng)與“CDE”中的系統(tǒng)分隔(隔離)，以及圍繞測試程序語言的多個變更。