新版本的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)已經(jīng)發(fā)布，其中不僅要求商家做好準(zhǔn)備擺脫有問(wèn)題的數(shù)據(jù)加密協(xié)議，還要求提供有關(guān)他們打算如何實(shí)現(xiàn)這種轉(zhuǎn)變的詳細(xì)計(jì)劃。

在2004年，Visa、MasterCard和其他主要銀行卡品牌發(fā)布了基準(zhǔn)安全標(biāo)準(zhǔn)最初版本以保護(hù)支付卡數(shù)據(jù)傳輸和存儲(chǔ)，而在近日PCI安全標(biāo)準(zhǔn)委員會(huì)發(fā)布了最新版本PCI DSS 3.1。

PCI DSS 3.1：到2016年6月，SSL/早期版本TLS必須終止使用

這個(gè)版本包括少量澄清和更新，主要是為了解決安全套接字層(SSL)和傳輸層安全(TLS)加密協(xié)議內(nèi)的高風(fēng)險(xiǎn)漏洞，這些漏洞可能讓支付數(shù)據(jù)面臨威脅。

PCI DSS 3.1更新了三個(gè)特別提到SSL的關(guān)鍵要求：2.2.3(對(duì)VPN、NetBIOS、文件共享、Telnet、FTP和類似服務(wù)的加密)、2.3(對(duì)基于Web的管理和其他非控制臺(tái)管理訪問(wèn)的加密)以及4.1(對(duì)跨開放公開網(wǎng)絡(luò)傳輸?shù)某挚ㄈ藬?shù)據(jù)的加密)--以刪除SSL和“早期版本TLS”作為強(qiáng)加密協(xié)議的示例協(xié)議。SSC定義“早期版本TLS”為1.0版TLS，在某些情況下還包括1.1版，這取決于它在哪里使用以及如何部署。

該版本立即生效，現(xiàn)在商家禁止部署采用SSL和早期版本TLS的新技術(shù);在2016年6月30日，商家將不再允許以任何方式使用SSL和早期版本TLS作為保護(hù)支付數(shù)據(jù)的獨(dú)立安全控制。

此舉是受去年美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)Special Publication 800-52更新的推動(dòng)。在該文件中，NIST指出只有TLS 1.1和1.2足夠安全可供政府使用，這表明SSL 2.0、SSL 3.0和TLS 1.0不再是可行的強(qiáng)加密標(biāo)準(zhǔn)。然而，很多商家仍然在其持卡人數(shù)據(jù)環(huán)境使用第一個(gè)版本的TLS，在某些情況下，甚至在使用SSL。

通常PCI DSS更新時(shí)間間隔為三年，PCI DSS 3.0發(fā)布于2013年11月，原本下一版本的PCI DSS要到2016年秋天才會(huì)發(fā)布。但是，SSC在2月份悄然宣布SSL和TLS中的漏洞問(wèn)題需要一個(gè)計(jì)劃外的PCI DSS版本。

“在委員會(huì)，我們專注于提供最強(qiáng)的標(biāo)準(zhǔn)和資源，以幫助商家及其商業(yè)合作伙伴抵御最新的威脅和漏洞，”PCI SSC總經(jīng)理Stephen Orfei在聲明中稱，“正如我們?cè)赑OODLE和其他攻擊中所看到的，SSL協(xié)議內(nèi)的漏洞對(duì)支付數(shù)據(jù)構(gòu)成風(fēng)險(xiǎn)。通過(guò)PCI DSS 3.1和相應(yīng)指導(dǎo)準(zhǔn)則，我們希望幫助企業(yè)采取務(wù)實(shí)的基于風(fēng)險(xiǎn)的方法來(lái)應(yīng)對(duì)這些威脅。”

合規(guī)和安全服務(wù)公司Trustwave高級(jí)安全工程師Don Brooks表示，他很高興地看到，PCI 3.1為商家提供了足夠的時(shí)間來(lái)逐步淘汰SSL，因?yàn)樵谠摪姹景l(fā)布前業(yè)界猜測(cè)他們可能需要在今年年底前修復(fù)SSL和早期版本TLS。不過(guò)，他認(rèn)為，超過(guò)14個(gè)月的過(guò)渡期可能是一把雙刃劍。

“我主要擔(dān)憂的是這漫長(zhǎng)的時(shí)間，”Brooks表示，“對(duì)于一般商家而言，他們擁有的時(shí)間越長(zhǎng)，他們可能就越?jīng)]那么緊急。商家需要確保他們可以很快解決這個(gè)問(wèn)題。”

新要求：SSL/TLS風(fēng)險(xiǎn)緩解/遷移計(jì)劃

雖然商家有一年多的時(shí)間來(lái)進(jìn)行過(guò)渡，但PCI DSS 3.1規(guī)定，使用SSL和/或早期版本TLS的商家必須立即采取行動(dòng)，還需要立即制定正式的風(fēng)險(xiǎn)緩解和遷移計(jì)劃。

SSC在聲明中稱，在即將發(fā)布的PCI信息補(bǔ)充文件《從SSL和早期版本TLS遷移》中，他們將提供臨時(shí)風(fēng)險(xiǎn)緩解方法的指南、遷移建議以及強(qiáng)加密協(xié)議的替代方案。

在這些補(bǔ)充文件中(副本已經(jīng)提供給SearchSecurity)，提供了詳細(xì)的指導(dǎo)意見(jiàn)以及正式風(fēng)險(xiǎn)緩解和遷移計(jì)劃中應(yīng)該記錄的信息示例。

具體來(lái)說(shuō)，商家必須描述存在漏洞的協(xié)議如何被使用;風(fēng)險(xiǎn)評(píng)估結(jié)果及其部署的風(fēng)險(xiǎn)降低控制;商家為監(jiān)測(cè)與漏洞協(xié)議相關(guān)的新漏洞所部署的程序;商家為確保SSL/早期版本TLS沒(méi)有部署到新環(huán)境所采取的變更控制流程;以及對(duì)企業(yè)遷移項(xiàng)目計(jì)劃的總體概述，包括打算如何在2016年6月30日的最后期限之前完成遷移目標(biāo)。

PCI DSS 3.1規(guī)定商家應(yīng)詳細(xì)描述其遷移到安全協(xié)議的計(jì)劃，并介紹在遷移完成前，為減少與SSL/早期版本TLS相關(guān)風(fēng)險(xiǎn)所采取的控制。

Gartner研究公司副總裁兼著名分析師Avivah Litan表示，盡管商家將需要在短時(shí)間內(nèi)制定這個(gè)新文件，但該信息補(bǔ)充文件的要求是合理的。但她表示，這表明支付卡行業(yè)迫切需要更具戰(zhàn)略性的方法來(lái)確保安全性。

“如果我是零售商，我會(huì)感到很厭煩，但在另一方面，這些都是合理的安全措施，”Litan稱，“商家需要采取更具戰(zhàn)略性的做法。”

具體來(lái)說(shuō)，Litan倡導(dǎo)全行業(yè)對(duì)從POS到發(fā)卡機(jī)構(gòu)的網(wǎng)絡(luò)的PAN數(shù)據(jù)進(jìn)行終端終端加密，以及所有發(fā)卡機(jī)構(gòu)實(shí)行行業(yè)標(biāo)準(zhǔn)令牌化。

“你不能總是指望零售商來(lái)修復(fù)漏洞系統(tǒng)，而這個(gè)修復(fù)是合理的，”Litan稱，“但不合理的地方是，要求零售商對(duì)漏洞支付系統(tǒng)進(jìn)行補(bǔ)償。”

咨詢公司K3DES LLC副總裁兼PCI QSA的Miguel "Mike" Villegas表示，雖然新文件需要商家做些工作，但其實(shí)這類似于報(bào)告合規(guī)(ROC)，其中需要概述并詳細(xì)介紹補(bǔ)償控制，商家應(yīng)該很熟悉這個(gè)過(guò)程。

“我認(rèn)為這不是很費(fèi)事的工作，只是撰寫文檔，”Villegas稱，“而監(jiān)控則可能需要更多工作，但商家監(jiān)控的大部分應(yīng)該是針對(duì)這些協(xié)議。”

在該補(bǔ)充文件中，SSC指出，對(duì)于額外的加密措施，商家有多種部署選擇，其中有些做法不一定要移除SSL/早期版本TLS;這包括升級(jí)到最新的安全版本的TLS，在數(shù)據(jù)通過(guò)SSL/早期版本TLS發(fā)送之前使用字段級(jí)或應(yīng)用級(jí)加密對(duì)數(shù)據(jù)進(jìn)行加密，或者在數(shù)據(jù)通過(guò)SSL發(fā)送之前部署強(qiáng)加密會(huì)話，例如IPsec隧道。

Litan稱，雖然這個(gè)指導(dǎo)準(zhǔn)則為商家緩解風(fēng)險(xiǎn)提供了更多選擇，但這并不意味著工作量的減少。

“你要改變所有支付系統(tǒng)來(lái)在字段級(jí)加密或部署加密隧道，這仍然很麻煩，”Litan稱，“這是不少的工作量，SSC只是提供了更多選擇。”

在補(bǔ)充文件中，SSC重申，所有規(guī)模的商家(甚至是小商家)都必須部署PCI DSS 3.1中的變更，以防止支付數(shù)據(jù)被盜。

“所有實(shí)體類型都受到SSL/早期版本TLS問(wèn)題的影響，包括小商家，”SSL在補(bǔ)充文件中稱，“小商家也必須采取必要的措施來(lái)將SSL/早期版本TLS從其持卡人數(shù)據(jù)環(huán)境移除，以確保其客戶數(shù)據(jù)的安全性。”

Brooks稱，所幸的是，還有很多開源和基于Web的工具可以幫助企業(yè)評(píng)估其SSL的使用情況。

“很多人不會(huì)想到SSL的所有使用位置，”Brooks稱，包括VPN、電子郵件數(shù)字簽名和安全即時(shí)通訊，“第一步是風(fēng)險(xiǎn)評(píng)估，從你的供應(yīng)商和軟件提供商了解他們的風(fēng)險(xiǎn)所在。”

PCI DSS 3.1提供了“緩刑期”

對(duì)于銷售終端(POS)系統(tǒng)和交互點(diǎn)(POI)終端(由SSC定義為磁卡讀卡器或芯片讀卡器，例如NFC接觸點(diǎn))，商家還有一定的喘息空間。

PCI 3.1指出，如果使用SSL和早期版本TLS的設(shè)備“被驗(yàn)證為不容易受到所有SSL/早期版本TLS已知漏洞的影響”，那么，商家可以在2016年6月30日之后繼續(xù)使用這些設(shè)備。

在信息補(bǔ)充文件中，SSC解釋說(shuō)目前已知的漏洞通常更難用于攻擊POS系統(tǒng)，所以對(duì)這些系統(tǒng)采取了不太嚴(yán)格的規(guī)定。

“有些現(xiàn)有SSL漏洞被攻擊者用來(lái)攔截客戶端/服務(wù)器通信以及操縱發(fā)到客戶端的信息，”SSC在補(bǔ)充文件中指出，“攻擊者的目標(biāo)是欺騙客戶端來(lái)發(fā)送額外數(shù)據(jù)，讓攻擊者用來(lái)感染會(huì)話。”

然而，銷售終端通常不支持多個(gè)客戶端連接，其使用的協(xié)議限制了可能被暴露的數(shù)據(jù)量，并且沒(méi)有使用Web瀏覽器軟件、JavaScript或安全相關(guān)的會(huì)話cookie;這些都是利用SSL和早期版本TLS漏洞必要的因素。

“同樣重要的是要記住，漏洞利用還在不斷發(fā)展，企業(yè)必須做好準(zhǔn)備應(yīng)對(duì)新威脅，”SSC補(bǔ)充說(shuō)，“所有使用SSL和/或早期版本TLS的企業(yè)都應(yīng)該計(jì)劃盡快升級(jí)到強(qiáng)加密協(xié)議。”

然而，Litan質(zhì)疑SSC的決定是否純粹是基于風(fēng)險(xiǎn)，他指出，銷售終端供應(yīng)商能否在2016年6月前重做其產(chǎn)品也是一個(gè)考慮因素。

“在Target和Home Depot等商家遭受的攻擊中，大多數(shù)惡意軟件都位于連接到銷售終端的支付應(yīng)用中，”Litan稱，“從理論上講，攻擊者很難進(jìn)入POS系統(tǒng)，因?yàn)樗鼈兺ǔＪ欠忾]的操作系統(tǒng)，但這并不意味著他們無(wú)法進(jìn)入。”

她補(bǔ)充說(shuō)，SSC可能是比較實(shí)際，他們?cè)噲D避免大型零售商爭(zhēng)搶更新沒(méi)有經(jīng)過(guò)完全測(cè)試的POS系統(tǒng)的情況。

Brooks稱，Trustware在評(píng)估POS系統(tǒng)對(duì)支付應(yīng)用數(shù)據(jù)安全標(biāo)準(zhǔn)(PA-DSS)的合規(guī)情況后發(fā)現(xiàn)，在POS系統(tǒng)中存在對(duì)SSL/早期版本TLS的“一些薄弱環(huán)節(jié)”，POS供應(yīng)商正在與SSC合作來(lái)了解這些情況，并制定具體措施來(lái)解決問(wèn)題。

“最終，POS供應(yīng)商將修復(fù)這個(gè)問(wèn)題，并在最后期限之前推出新版本代碼，可能正是這在推動(dòng)著14個(gè)月過(guò)渡期限，”Brooks稱，“SSC可能希望這可以帶動(dòng)下一版本的PA-DSS。”

為此，SSC表示將立即發(fā)布新版本的PA-DSS以反映PCI DSS 3.1中的變更。

PCI 3.1中其他顯著變更包括導(dǎo)語(yǔ)部分中“保護(hù)持卡人數(shù)據(jù)”變?yōu)?ldquo;保護(hù)賬戶數(shù)據(jù)”，11.3.4要求中指出滲透測(cè)試的目的是驗(yàn)證所有范圍外系統(tǒng)與“CDE”中的系統(tǒng)分隔(隔離)，以及圍繞測(cè)試程序語(yǔ)言的多個(gè)變更。