Đánh giá bảo mật trong thế giới PCI DSS

Một trong những tiêu chuẩn an ninh có tính ảnh hưởng nhất đối với các tổ chức ngày nay được biết đến với ba chữ "PCI". Viết tắt của "Payment Card Industry - Ngành Công Nghiệp Thẻ Thanh Toán", đây là tiêu chuẩn an ninh được lập ra bởi một liên minh năm thương hiệu thẻ lớn nhất thế giới : Visa, Mastercard, American Express, Discover và JCB.

Vài năm trước đây, những thương hiệu này đã quyết định hợp tác cùng nhau để nâng cao sự an toàn cho dữ liệu thẻ thanh toán cùng với tất cả những đối tượng khác nhau có liên quan trong quá trình thanh toán, hình thành Hội Đồng Tiêu Chuẩn An Ninh Thẻ Thanh Toán (Payment Card Industry Security Standard Council - PCI SSC).

PCI License Security Standards Council Participating organization

Theo các quy tắc của hội đồng, tất cả mọi tổ chức có liên quan đến việc truyền tải, xử lý và lưu trữ dữ liệu thẻ thanh toán (được gọi là "Cardholder Data") đều phải tuân thủ theo tiêu chuẩn PCI DSS.

PCI DSS là một tiêu chuẩn bao gồm 12 yêu cầu chính, chia nhỏ thành 200 yêu cầu phụ. Sự liên quan giữa PCI DSS và Đánh Giá Bảo Mật (Penetration Test) xuất phát từ Yêu cầu số 11 : Đánh giá kiểm tra định kỳ quy trình và các hệ thống an ninh, chính xác hơn là yêu cầu số 11.3 :

 

11.3 Thực hiện đánh giá bảo mật bên ngoài (External) và bên trong nội bộ (Internal) ít nhất một lần trong năm hoặc khi có bất kỳ sự thay đổi đáng kể nào diễn ra đối với cơ sở hạ tầng trọng yếu, khi nâng cấp ứng dụng hoặc sửa đổi (chẳng hạn như nâng cấp HĐH, thêm một mạng lưới phụ vào trong môi trường điện toán, hoặc bổ sung một máy chủ Web mới vào trong mạng). Những lần đánh giá bảo mật này bắt buộc phải bao gồm hai hạng mục :

11.3.1 Đánh giá bảo mật mạng lưới điện toán (Network-layer Penetration Tests)

11.3.2 Đánh giá bảo mật ứng dụng (Application-layer Penetration Tests)

pcidss

Cũng như các yêu cầu khác của PCI DSS, 11.3 đưa ra rất nhiều câu hỏi từ các tổ chức đang tuân thủ theo PCI DSS và các QSA (Qualified Security Assessors - các chuyên gia chịu trách nhiệm kiểm tra sự tuân thủ của một tổ chức đối với tiêu chuẩn PCI DSS). Hầu hết các câu hỏi thường xoay quanh việc ai là người sẽ thực hiện đánh giá ? Phạm vi đánh giá ? Phương pháp đánh giá ? Kết quả được báo cáo như thế nào ?

Một trong số những câu hỏi này đã được đề cập trong các tài liệu hỗ trợ của PCI SSC, chẳng hạn như "Navigating PCI DSS", "RoC Reporting Instructions for PCI DSS v2.0""Information Supplement: Penetration Testing", tất cả đều có thể được tải tại website của PCI SSC.

Phạm vi đánh giá bảo mật có thể là vấn đề chính của cuộc thảo luận về yêu cầu này. Hầu hết các tổ chức tuân thủ theo PCI DSS đều áp dụng việc phân tách mạng lưới (network segmentation) để giảm phạm vi đánh giá PCI DSS. Tiêu chí quan trọng để xác định phạm vi chính là : Nếu một hệ thống có liên quan đến việc truyền tải, xử lý hoặc lưu trữ dữ liệu chủ thẻ (Bảng 1) thì hệ thống đó sẽ nằm trong phạm vi đánh giá.

Screen Shot 2013-05-07 at 3.55.05 PM

 Bảng 1: Định nghĩa về dữ liệu chủ thẻ (PCI DSS v2.0)

Những hệ thống này thường được đặt trong các phân đoạn mạng được phân tách bởi Firewalls, tạo thành Cardholder Data Environment (CDE) - Môi trường dữ liệu chủ thẻ. Khi thảo luận về phạm vi đánh giá bảo mật thường sẽ liên đới đến phạm vi đánh giá PCI DSS, tuy nhiên chúng không nhất thiết phải giống nhau. Sự khác biệt sẽ trở nên rõ ràng hơn khi các phương pháp đánh giá được xác định cụ thể.

MEW Security 0910

PCI DSS yêu cầu việc đánh giá bảo mật phải được tiến hành ở bên ngoài (Outside) lẫn bên trong (Inside) mạng lưới của tổ chức. Đối với yêu cầu ở bên ngoài, ta có thể giả định rằng đó là môi trường Internet, còn việc xác định điểm bắt đầu để đánh giá bên trong mạng nội bộ có thể gây ra sự nhầm lẫn.

Thông thường giả định được sử dụng nhiều nhất đối với môi trường bên trong mạng nội bộ chính là mạng lưới điện toán thông thường của tổ chức, hoặc bất kỳ mạng lưới nào khác mà người dùng nội bộ được kết nối đến.

Môi trường dữ liệu chủ thẻ (CDE) thường được tách biệt hoàn toàn so với mạng lưới người dùng đầu cuối, điều này sẽ gây khó khăn cho việc tiến hành đánh giá bảo mật khi xuất phát điểm của chúng ta nằm ở mạng lưới người dùng đầu cuối, khía cạnh này là điều rất quan trọng mà chúng ta cần phải cân nhắc. Vì các Firewall đã được triển khai chịu trách nhiệm phân tách môi trường CDE và mạng lưới người dùng đầu cuối sẽ làm giảm bớt khả năng thu thập thông tin về hệ thống (Footprinting) của các chuyên gia đánh giá.

Tổ chức thực hiện loại hình đánh giá này cần phải lưu ý rằng, kết quả của cuộc kiểm tra có thể sẽ không cho thấy được một bức tranh toàn diện về các lỗ hổng trong phạm vi đánh giá.

Phương pháp đánh giá bảo mật truyền thống bao gồm 2 cách tiếp cận : WhiteBoxBlackBox. PCI DSS cũng khá cởi mở về những cách tiếp cận này : Cả hai cách tiếp cận đều được chấp nhận là cách đánh giá bảo mật hợp lệ để đáp ứng yêu cầu 11.3.

Tuy nhiên đối với cách tiếp cận BlackBox, tổ chức bắt buộc phải đảm bảo chuyên gia đánh giá ít nhất phải có thể truy cập được đến tất cả các địa chỉ IP nằm trong phạm vi đánh giá từ xuất phát điểm của anh ta.

testing whitebox dan Blackbox

Ví dụ đối với loại hình đánh giá bảo mật bên ngoài (External), chuyên gia đánh giá bắt buộc phải biết dãy địa chỉ Public IP nằm trong phạm vi đánh giá. Còn một cách tiếp cận đánh giá đặc biệt khác là Blind BlackBox, đây là cách tiếp cận mà gần như tổ chức sẽ không cung cấp bất kỳ thông tin nào cho các chuyên gia đánh giá, cách tiếp cận này phù hợp trong một số hoàn cảnh nhất định.

Tuy nhiên cách tiếp cận này cần phải tránh hoàn toàn đối với PCI DSS, vì các QSAs có thể thấy rằng phạm vi đánh giá chưa bao gồm tất cả các hệ thống có liên quan (Do các chuyên gia đánh giá có thể không tìm thấy được mục tiêu).

Một khía cạnh khác cần phải chú ý trong phạm vi đánh giá đó chính là loại hình đánh giá. Yêu cầu 11.3 đòi hỏi một cách rõ ràng việc đánh giá phải được tiến hành với cả hai loại hình Network-layer Penetration Test (Đánh giá bảo mật mạng lưới điện toán)Application-layer Penetration Test (Đánh giá bảo mật ứng dụng).


Liên hệ DNA

 

Mobile  +84 (28) 38 266 877
  +84 (28) 39 401 619

 

Location  DNA Headquarter
  60 Nguyễn Đình Chiểu

  F1 Rosana Tower, Quận 1
         TP.Hồ Chí Minh, Việt Nam