盡管PCI DSS 3.0版本已經(jīng)全面推出，但仍然有很多關于企業(yè)難以遵守11.3章節(jié)中列出的PCI滲透測試要求的討論。

[[146993]]

為了幫助企業(yè)充分了解PCI DSS 3.0要求，PCI安全標準委員會在2015年3月發(fā)布了PCI DSS補充信息：滲透測試指南。該文檔詳細介紹了滲透測試過程的一般方法，從范圍界定到測試不同的網(wǎng)絡層，再到測試后續(xù)步驟(例如報告)等。

PCI滲透測試文檔以及PCI DSS合規(guī)所要求的方法的優(yōu)點是，并沒有什么新東西。除了提到云計算環(huán)境、網(wǎng)絡釣魚以及縮小持卡人數(shù)據(jù)環(huán)境范圍等新概念外，這些滲透測試/安全評估其實做法已經(jīng)存在多年。當筆者在2003年撰寫《Hacking For Dummies》第一版時，筆者就在研究其中一些主題，當時這方面的資源已經(jīng)相當普遍，例如像黑客一樣思考到跨不同操作系統(tǒng)平臺的獨特漏洞利用，以及執(zhí)行滲透測試的特定方法等，這些信息主要是以開源安全測試方法(OSSTMM)的形式提供，還有很多白皮書、文章等。

讓我們快進到2015年。

筆者不知道是否應該將其稱為分析癱瘓、缺乏預算或只是執(zhí)行管理部分的緩兵之計，但好像很多人都在等待PCI安全標準委員會告訴他們?nèi)绾巫鍪嗄陙硪呀?jīng)良好記錄的事情。

企業(yè)應該閱讀完整的PCI滲透測試指南文件，而下面是企業(yè)應該注意的六個重要方面：

• 該文檔討論了應用環(huán)境身份驗證測試方面的要求—這是滲透測試中經(jīng)常被忽視但非常重要的組成部分。

• 該文檔還介紹了什么被認為是對系統(tǒng)的“重大改變”--以便在對持卡人數(shù)據(jù)環(huán)境中任何系統(tǒng)進行代碼或相關更新后可以進行后續(xù)滲透測試。

• 該文檔提到了做這項工作的安全專業(yè)人員獲得的證書以及過往的經(jīng)驗的重要性—與其他領域一樣，更多經(jīng)驗往往更好，當然還需要漏洞掃描儀、網(wǎng)絡分析儀和漏洞利用工具包等工具，他們還應該知道如何有效地使用它們。

• 另外，滲透測試特定規(guī)則經(jīng)常被忽視，這可能在滲透測試過程中或測試后制造問題，例如漏洞利用需要多么深入以及如何處理在測試中發(fā)現(xiàn)的敏感數(shù)據(jù)等。筆者非常高興該文檔解決了可能阻止測試(WAF和IPSes等)的安全控制，很多人以為他們有這些控制就不會發(fā)現(xiàn)漏洞或出現(xiàn)漏洞利用，一切都很好。對于白名單或禁用這些積極保護措施，該滲透測試指南明確指出它可“幫助確保服務本身得到正確配置，并在主動保護系統(tǒng)出現(xiàn)故障或以某種方式被擊敗或被攻擊者繞過時控制漏洞利用的風險。”

• 該文檔中還提供了圍繞社會工程學的建議，包括網(wǎng)絡釣魚測試，以檢測持卡人數(shù)據(jù)環(huán)境是否能從這個角度被利用。

• 企業(yè)還應該保留測試詳細信息的證據(jù)(包括具體的調(diào)查結(jié)果)，確?？筛鶕?jù)要求提供。

除了越來越復雜的網(wǎng)絡，以及PCI DSS和一般安全測試最佳做法的細微區(qū)別，這其實與我們過去的做法沒有太多不同。不要試圖下車去尋找新的東西，在賽車運動中，我們知道，如果我們專注于我們前進的方向，汽車就會開往該方向。這個道理同樣適用于信息安全領域，在這種情況下，也適用于PCI DSS滲透測試要求。你現(xiàn)在應該知道需要做什么事情，你只需要深入閱讀該滲透測試要求，或者完全外包滲透測試功能。

你還可以看看NIST SP800-115—信息安全測試和評估技術指南，以及OSSTMM和有關漏洞掃描和滲透測試的其他資源。如果你認真研讀這些一般準則，就不會有太大問題。

展望未來，如果你無法完全遵守新的PCI DSS規(guī)則怎么辦?對于這些要求，無論你做或者不做某些事情，你做的任何決定都會產(chǎn)生后果。我認為最重要的事情是你應該從今天開始做出合理的一致的努力，以改進現(xiàn)有的滲透測試和整體安全計劃。在我看來，執(zhí)行基本漏洞掃描的人將會是最大的審查目標，而根本不是測試本身。

你不一定需要部署完美的安全測試計劃，但你肯定不希望被排在最后，你可以保持在中間的位置，并以持續(xù)改進作為目標。