Безопасность по стандарту PCI DSS не спасла от крупной утечки

[AM_Bot 48]

23 марта гигант карточной системы платежей – компания Visa – нанесла публичный удар компании Хартленд, ведущей системе дебетовых и кредитных платежей США, удалив её из своего списка организаций, предоставляющих услуги электронных платежей, которые соблюдают стандарт безопасности индустрии платежных карт – PCI DSS. Организации, предоставляющие услуги электронных платежей, соответствующие правилам данного стандарта, обязаны обеспечить защиту конфиденциальной информации держателей банковских карт, а также бороться с воровством персональных данных и мошенничеством.читать дальше

[Сергей Ильин 1538]

Интересная новость. Первая утечка из компании, сертифицированной по активно продвигаемому стандарту PCI DSS.

[seevbon 40]

Сергей Ильин ага интересно...

Ситуация щекотливая: компания официально подтвердила своё соответствие стандарту по защите платёжных карт - и уже через месяц случается утечка. Причём, утечка не гипотетическая, когда конфиденциальные данные просто могли стать известны посторонним лицам. А вполне реальная утечка - с мошенническими покупками, арестами и покаяниями злоумышленников. Логически следует признать, что либо сертификация была проведена не должным образом, либо стандарт не гарантирует защиты.

Представители Хартленда открыто указывают на второй вариант, а "Виза", один из разработчиков PCI DSS, естественно, настаивает на первом

Успешное проникновение свидетельствует только о том, что систему можно взломать (о чем известно заранее по-определению, т.к. абсолютно безопасных систем не бывает), а неуспешное проникновение свидетельствует только о том, что исполнитель не смог взломать вашу систему (вам это о чем нибудь говорит? может ему просто времени не хватило? или этот не смог, а другой сможет). Сухой остаток от пентеста - это возможная идентификация и устранение нескольких уязвимостей. Так стоит ли пыжиться исполнителю, а заказчику тратить весьма приличные деньги (работа квалифицированного взломщика стоит от $1000 в день и выше, а там таких взломщиков будет несколько) ради того, чтобы обнаружить и устранить несколько уязвимостей (и остаться с кучей других уязвимостей и в полном неведении относительно реальной защищенности своих систем)?

http://www.iso27000.ru/blogi/aleksandr-ast...vchinka-vydelki

Реальный пример: я служащий компании ХХХ приезжаю к заказчику рассказывать про сетевую безопасность. Заказчик у меня спрашивает что такое пен-тест. Я рассказываю. Мне говорят: а вот тут из вашей компании приезжали (из другого отдела) аудиторы, посмотрели на пен-тест проведённый сторонней конторой (лицензированной на проведение пен-тестов) и сказали что это не пен-тест. Мы их спрашиваем, а что такое пен-тест. Аудиторы отвечают: мы не скажем. Мы, аудиторы, отвечаем на вопрос о том, пен тест у вас проведён или не пен тест. А на вопрос что такое пентест мы не отвечаем.

..., ведь это вымогательство. С ним сталкивается народ и пишет статьи...

Реально информационная безопасность интересна только энтузиастам. Банковские служащие в гробу её видели. Им по*** на финансовые показатели банка, они зарплату получают не за это, а за соответсвие требованиям PCIDSS а это значит, что ничто, даже нормативные акты, которые они постараются формально соблюсти, не способно повысить безопасность их предприятий. И хлеб у нас с вами будет всегда.

http://www.securitylab.ru/opinion/377294.php

Было б интересно узнать мнения здешних аудиторов и экспертов...

[p2u 824]

@ seevbon

Настоящих экспертов, которые могли бы реально тестировать это всё на практике ОЧЕНЬ мало, а те, которые это умеют этим не занимаются. Поэтому в этой области так много понтов со стороны поставщиков услуг, и так много Страха, Неуверенности, и Сомнений со стороны клиентов. Какой ярлык на это всё вешать - пусть этим занимаются другие...

Paul

[alexgr 556]

понравилась и новость, и комментарии. Вердикт - ответит ассессор (аудитор). Ну, и систему в "доверенные" я так просто бы не вносил. п. 5 стандарта читайте внимательно. Ассессор прикинул, что антивирь есть и проигнорировал остальные требования п. 5. А зря...

Теперь о пен - тесте. Многие пишут. Кстати, при всем уважении к Позитиву- продукт не СЕРТИФИЦИРОВАН. Поэтому писание обидок от них неинтересно. Третье-ассессор обязан его провести. Квалификация - вопрос второй. Третье - все "банкиры" от ИТ так любят "безопасность" , что промолчу - сам знаю. теперь - для лошариков - стандарт не только требует обеспечения требований, но и облегчает расследования инцидентов. И ежели нефтяники и алюминиевые пацаны (ссылки см. выше) сотворят нечто- те же "ненужно-липовые" документы (при желании владельца) обеспечат им место пошивщика рукавиц на несколько лет. Хотя -может, для них круто шить рукавицы рядом с опальными олигархами? последнее - чистое ИМХО

И последнее - стандарт хреновый? ОБЫЧНО ТАК ГОВОРЯТ ТЕ, КОТОРЫЕ ЕГО НЕ СОБЛЮДАЮТ

[nremezov 5]

На данный момент PCI SSC (организация, ответственная за продвижение и развитие стандарта) начала шерстить компании-аудиторов на предмет качества их работы.

По Хартленду - по информации, которую я собрал - к ним был внедрён зловред, причём куда-то очень близко к процессингу (выпуску карт).Причём данный зловред сливал информацию наружу.

Поэтому потенциально я вижу тут уже 3 нарушения требований стандарта:

1. Требования по межсетевому экранированию

2. Требования по антивирусному ПО

3. Требования по IPS и контролю целостности

Почему, что и как?

Лично у меня два основных варианта:

1. Схалтурила компания-аудитор.

2. После аудита, произошли какие-либо изменения.

Естественно это всё спекуляции на основе собранной публичной информации.

[Сергей Ильин 1538]

Поэтому потенциально я вижу тут уже 3 нарушения требований стандарта:

Не в качестве оправдания пострадавшей компании, но все же хотелось бы понять каким образом компания могла защититься. Атака явно целевая. Троян писали конкретно под эту компанию, знали, что делают. Иначе атака бы с большой вероятностью провалилась.

[alexgr 556]

даже целевая атака при соблюдении требований малоэффективна. Здесь стоит говорить о несоблюдении-я уже об этом говорил. Либо-соглашусь с nremezov - ассессор отработал не полностью

[Илья Рабинович 521]

1. Требования по межсетевому экранированию

2. Требования по антивирусному ПО

3. Требования по IPS и контролю целостности

Трой, скорее всего был целевым. Поэтому он просто не был (да и не мог быть в принципе) задетектирован ни антивирусом, ни IPS.

даже целевая атака при соблюдении требований малоэффективна.

Не соглашусь. Как раз наоборот- целевая атака всегда высокоэффективна. Это бомбёжки по площадям малоэффективны, а "умная" бомба практически всегда (с вероятностью 99%) попадает в цель.

[alexgr 556]

повторюсь-при соблюдении ВСЕХ требований. Второе - кстати для вас - есть требование наличия HIPS,которое обычно пропускают

[Сергей Ильин 1538]

Я тут порылся и нашел более раннюю утечку из организации, сертифицированной по PCI DSS. Инциденту не один месяц, выводов как мы видим выше не сделано или этого оказалось недостаточно.

http://www.anti-malware.ru/node/618

Информация о транзакциях компании Forever 21 по банковским картам была похищена в результате нескольких хакерских атак в течение 2003-2007 гг.

[alexgr 556]

ну, я так понимаю эту статью - в 2003 году начались атаки (стандарта не было), в 2007 получен статус соответствия и дата прекращения утечек - 2007. И статуса соответствия никто никого не лишал. Это немного в пользу сертификации

[nremezov 5]

Трой, скорее всего был целевым. Поэтому он просто не был (да и не мог быть в принципе) задетектирован ни антивирусом, ни IPS.

Илья, естественно целевые атаки эффективнее. Но в стандарте есть жёсткие требования по межсетевому экранированию - трояну же надо было как-то сливать инфу... а это уже лишний трафик из доверенной сети в недоверенные.

[seevbon 40]

Почему то у меня сложилось впечатление, что те компании которые предоставляют услуги электронных платежей и которые даже прошли сертификацию по PCI DSS не любят в этом сознаваться. Особенно российские. Не считают это конкурентным преимуществом? Можно прочесть про защиту клиентов например через гос. страхование вкладов. А про защиту клиентов соответствием стандарту разве что через поиск по сайтам этих компаний можно узнать. Может быть глядя на стандарт изнутри обладатели сертификата понимают что гордиться особенно нечем? Или не хотят дразнить конкурентов которые сертификата еще не имеют?

[alexgr 556]

Про Россию мне трудно судить. По Украине

http://www.portmone.com.ua/v2/ru/security/

http://upc.ua/ua/news-ua/980.htm

http://diamantbank.ua/uk/press_centre/#news_342

Что охватывает примерно всех