盡管PCI DSS 3.0版本已經(jīng)全面推出，但仍然有很多關(guān)于企業(yè)難以遵守11.3章節(jié)中列出的PCI滲透測試要求的討論。

[[146993]]

為了幫助企業(yè)充分了解PCI DSS 3.0要求，PCI安全標(biāo)準(zhǔn)委員會在2015年3月發(fā)布了PCI DSS補(bǔ)充信息：滲透測試指南。該文檔詳細(xì)介紹了滲透測試過程的一般方法，從范圍界定到測試不同的網(wǎng)絡(luò)層，再到測試后續(xù)步驟(例如報告)等。

PCI滲透測試文檔以及PCI DSS合規(guī)所要求的方法的優(yōu)點是，并沒有什么新東西。除了提到云計算環(huán)境、網(wǎng)絡(luò)釣魚以及縮小持卡人數(shù)據(jù)環(huán)境范圍等新概念外，這些滲透測試/安全評估其實做法已經(jīng)存在多年。當(dāng)筆者在2003年撰寫《Hacking For Dummies》第一版時，筆者就在研究其中一些主題，當(dāng)時這方面的資源已經(jīng)相當(dāng)普遍，例如像黑客一樣思考到跨不同操作系統(tǒng)平臺的獨特漏洞利用，以及執(zhí)行滲透測試的特定方法等，這些信息主要是以開源安全測試方法(OSSTMM)的形式提供，還有很多白皮書、文章等。

讓我們快進(jìn)到2015年。

筆者不知道是否應(yīng)該將其稱為分析癱瘓、缺乏預(yù)算或只是執(zhí)行管理部分的緩兵之計，但好像很多人都在等待PCI安全標(biāo)準(zhǔn)委員會告訴他們?nèi)绾巫鍪嗄陙硪呀?jīng)良好記錄的事情。

企業(yè)應(yīng)該閱讀完整的PCI滲透測試指南文件，而下面是企業(yè)應(yīng)該注意的六個重要方面：

• 該文檔討論了應(yīng)用環(huán)境身份驗證測試方面的要求—這是滲透測試中經(jīng)常被忽視但非常重要的組成部分。

• 該文檔還介紹了什么被認(rèn)為是對系統(tǒng)的“重大改變”--以便在對持卡人數(shù)據(jù)環(huán)境中任何系統(tǒng)進(jìn)行代碼或相關(guān)更新后可以進(jìn)行后續(xù)滲透測試。

• 該文檔提到了做這項工作的安全專業(yè)人員獲得的證書以及過往的經(jīng)驗的重要性—與其他領(lǐng)域一樣，更多經(jīng)驗往往更好，當(dāng)然還需要漏洞掃描儀、網(wǎng)絡(luò)分析儀和漏洞利用工具包等工具，他們還應(yīng)該知道如何有效地使用它們。

• 另外，滲透測試特定規(guī)則經(jīng)常被忽視，這可能在滲透測試過程中或測試后制造問題，例如漏洞利用需要多么深入以及如何處理在測試中發(fā)現(xiàn)的敏感數(shù)據(jù)等。筆者非常高興該文檔解決了可能阻止測試(WAF和IPSes等)的安全控制，很多人以為他們有這些控制就不會發(fā)現(xiàn)漏洞或出現(xiàn)漏洞利用，一切都很好。對于白名單或禁用這些積極保護(hù)措施，該滲透測試指南明確指出它可“幫助確保服務(wù)本身得到正確配置，并在主動保護(hù)系統(tǒng)出現(xiàn)故障或以某種方式被擊敗或被攻擊者繞過時控制漏洞利用的風(fēng)險。”

• 該文檔中還提供了圍繞社會工程學(xué)的建議，包括網(wǎng)絡(luò)釣魚測試，以檢測持卡人數(shù)據(jù)環(huán)境是否能從這個角度被利用。

• 企業(yè)還應(yīng)該保留測試詳細(xì)信息的證據(jù)(包括具體的調(diào)查結(jié)果)，確?？筛鶕?jù)要求提供。

除了越來越復(fù)雜的網(wǎng)絡(luò)，以及PCI DSS和一般安全測試最佳做法的細(xì)微區(qū)別，這其實與我們過去的做法沒有太多不同。不要試圖下車去尋找新的東西，在賽車運動中，我們知道，如果我們專注于我們前進(jìn)的方向，汽車就會開往該方向。這個道理同樣適用于信息安全領(lǐng)域，在這種情況下，也適用于PCI DSS滲透測試要求。你現(xiàn)在應(yīng)該知道需要做什么事情，你只需要深入閱讀該滲透測試要求，或者完全外包滲透測試功能。

你還可以看看NIST SP800-115—信息安全測試和評估技術(shù)指南，以及OSSTMM和有關(guān)漏洞掃描和滲透測試的其他資源。如果你認(rèn)真研讀這些一般準(zhǔn)則，就不會有太大問題。

展望未來，如果你無法完全遵守新的PCI DSS規(guī)則怎么辦?對于這些要求，無論你做或者不做某些事情，你做的任何決定都會產(chǎn)生后果。我認(rèn)為最重要的事情是你應(yīng)該從今天開始做出合理的一致的努力，以改進(jìn)現(xiàn)有的滲透測試和整體安全計劃。在我看來，執(zhí)行基本漏洞掃描的人將會是最大的審查目標(biāo)，而根本不是測試本身。

你不一定需要部署完美的安全測試計劃，但你肯定不希望被排在最后，你可以保持在中間的位置，并以持續(xù)改進(jìn)作為目標(biāo)。