Сравнение практик внедрения PCI DSS

Стандарт PCI DSS применяется для всех организаций сферы обработки платежных карт. Все торговые точки, процессинговые центры, финансовые учреждения и поставщики услуг, а также другие организации, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные данные должны соблюдать требования Стандарта PCI DSS. Стандарт включает в себя 12 требований (Таблица 1.):

PCI-DSS-3.0-Требования

Рынок информационной безопасности богат множеством производителей с необходимыми и современными решениями для контроля и выполнения требований PCI DSS. Компании вынуждены приобретать дорогостоящие продукты, опираясь на отдельные решения от разных производителей, каждое из которых требует серьезные финансовые вложения на интеграцию и дальнейшее сопровождение. Кроме того, необходим штат обученных специалистов для обработки и анализа событий безопасности. Подход «поставил и забыл» в информационной безопасности не допустим. Это связано с тем, что с каждым днем количество угроз возрастает, а технологии модернизируются, и даже маловероятные риски могут привести к утечке информации держателей карт, что повлечет колоссальные потери для бизнеса.

Достаточно сложная задача как для небольших компаний, которые имеют ограниченные ресурсы на внедрение, настройку и управление отдельными решениями, так и для крупных компаний, получающих ежедневно тысячи информационных разнородных событий, которые физически, даже при наличии большого штата специалистов, невозможно проконтролировать.

Как сократить финансовые затраты и автоматизировать процесс? Как получить общую картину об угрозах на критически важные ресурсы? При этом объединить множество решений в единое, легкое в управлении, способное выстроить цепочку событий из разных технологий?

На мировом рынке уже существуют системы, объединяющие несколько решений в единую платформу, что позволяет автоматизировать процесс контроля безопасности и сократить финансовые затраты на внедрение и сопровождение. Среди систем можно выделить несколько лидеров, которые позволяют организовать комплексный подход, но подробнее в статье рассмотрим малоизвестное решение для Российского рынка — AlienVault Unified Security Management (USM).

В первую очередь, на что стоит обратить внимание, это позиция AlienVault USM по оценке Gartner Magic Quadrant среди SIEM за 2014 года. Gartner проводит оценку решений не только ограничиваясь функциональностью, но и проводит оценку разработчика по целому списку показателей. Система находится в разделе «Visionaries», позиция подтверждает миссию компании – предложить организациям всех размеров широкие возможности и простоту использования при этом оставив доступную стоимость приобретения и поддержки.

picture-MQ-magic-quadrant-SIEM-gartner-leaders-vendors-list-security-information-event-managem

Комплексность системы заключается в объединении нескольких технологий защиты в единую платформу (в одну консоль управления и отчетности). Стандарт PCI DSS требует выполнения фундаментальных технических и операционных требований для всех организаций сферы обработки платежных данных. Фундаментальные технические требования разработчик, в составе USM, разделяет на пять основных технологий:
• инвентаризация активов (Network Monitoring);
• сбор и корреляция событий (SIEM);
• обнаружение угроз (IDS, HIDS);
• поведенческий мониторинг (Behavioral Monitoring);
• анализ сетевых уязвимостей (Vulnerability Assessment).

Единая консоль управления имеет шаблоны в формате отчетов для аудиторов PCI DSS. Также для удобства администраторов предусмотрена возможность добавления и создания своих шаблонов (графики, диаграммы и т.д.). Стоит отметить ролевую модель управления, благодаря которой, система поможет выстроить отношения между отделами для принятия решений по инцидентам в масштабах корпорации или холдинга (Центр принятия решений).

Для наглядности, рассмотрим таблицу сравнения разнородных («точечных») подсистем безопасности с единой архитектурой AlienVault USM на примере выполнения требований Стандарта PCI DSS (Таблица 2):

Требования PCI DSS 3.0 AlienVault USM Intrusion Detection Monitoring SIEM Vulnerability Management
1 Установить и обеспечить функционирование межсетевых экранов для защиты данных держателей карт 1.1 yes yes yes yes yes
1.1.2 yes yes
1.1.3 yes yes
1.1.5 yes yes
1.1.6 yes yes
1.2 yes yes yes yes
1.3 yes yes yes
2 Не использовать пароли и другие системные параметры, заданные производителем по умолчанию 2.1 yes yes
2.2 yes yes yes yes
2.3 yes yes yes
2.4 yes yes
3 Обеспечить безопасное хранение данных держателей карт 3.6.7 yes yes
4 Обеспечить шифрование данных держателей карт при их передаче через сети общего пользования 4.1 yes yes yes
4.1.1 yes yes
5 Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО 5.1 yes yes yes
5.1.2 yes yes yes
5.2 yes yes yes
5.3 yes yes yes
6 Разрабатывать и поддерживать безопасные системы и приложения 6.1 yes yes yes
6.2 yes yes yes
6.3 yes yes yes
6.3.2 yes yes
6.4 yes yes
6.5 yes yes
7 Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью 7.1 yes yes yes
7.2 yes yes
8 Определять и подтверждать доступ к системным компонентам 8.1 yes yes yes
8.2 yes yes
8.4 yes yes
8.5 yes yes
8.6 yes yes
8.7 yes yes yes yes
10 Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт 10.1 yes yes yes yes
10.2 yes yes yes yes
10.3 yes yes yes yes
10.4 yes yes
10.5 yes yes yes yes
10.6 yes yes yes yes
10.7 yes yes yes yes
11 Регулярно выполнять тестирование систем и процессов обеспечения безопасности 11.1 yes yes
11.2 yes yes yes
11.3 yes yes
11.4 yes yes yes
11.5 yes yes

Особое внимание необходимо уделить Threat Intelligence (количеству известных угроз) и периодичности обновлений, для своевременного реагирования на новые атаки и уязвимости. На протяжении многих лет исследовательский центр — AlienVault Labs занимается отслеживанием хакерских форумов и «черных» сетей для своевременного предотвращения и выявления горизонта атак, угроз и киберпреступлений. Эффективность достигается не только своевременным выявлением угроз и уязвимостей, но и информацией об источниках угроз, IP-адресах, признаках компрометации, вредоносных доменах, взаимосвязях и т.д. Кроме того, технология OTX (Open Threat Exchange) позволяет обмениваться информацией об актуальных угрозах и методах защиты между пользователями во всем мире. С помощью USM Вы сможете сократить обнаружение и предотвращение угроз с нескольких дней (недель, месяцев) до миллисекунд.

Еще один важный момент, на который стоит обратить внимание, это выбор схемы внедрения, которая без дополнительных вложений дополнит и со временем не ограничит растущие потребности инфраструктуры. Разработчик предлагает USM в нескольких исполнениях: аппаратный комплекс, виртуальный образ или облачный сервис. Лицензируется USM от 25 активов (хостов), что позволяет даже совсем небольшим компаниям выбрать наиболее рациональный вариант лицензирования.