Стандарт PCI DSS применяется для всех организаций сферы обработки платежных карт. Все торговые точки, процессинговые центры, финансовые учреждения и поставщики услуг, а также другие организации, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные данные должны соблюдать требования Стандарта PCI DSS. Стандарт включает в себя 12 требований (Таблица 1.):
Рынок информационной безопасности богат множеством производителей с необходимыми и современными решениями для контроля и выполнения требований PCI DSS. Компании вынуждены приобретать дорогостоящие продукты, опираясь на отдельные решения от разных производителей, каждое из которых требует серьезные финансовые вложения на интеграцию и дальнейшее сопровождение. Кроме того, необходим штат обученных специалистов для обработки и анализа событий безопасности. Подход «поставил и забыл» в информационной безопасности не допустим. Это связано с тем, что с каждым днем количество угроз возрастает, а технологии модернизируются, и даже маловероятные риски могут привести к утечке информации держателей карт, что повлечет колоссальные потери для бизнеса.
Достаточно сложная задача как для небольших компаний, которые имеют ограниченные ресурсы на внедрение, настройку и управление отдельными решениями, так и для крупных компаний, получающих ежедневно тысячи информационных разнородных событий, которые физически, даже при наличии большого штата специалистов, невозможно проконтролировать.
Как сократить финансовые затраты и автоматизировать процесс? Как получить общую картину об угрозах на критически важные ресурсы? При этом объединить множество решений в единое, легкое в управлении, способное выстроить цепочку событий из разных технологий?
На мировом рынке уже существуют системы, объединяющие несколько решений в единую платформу, что позволяет автоматизировать процесс контроля безопасности и сократить финансовые затраты на внедрение и сопровождение. Среди систем можно выделить несколько лидеров, которые позволяют организовать комплексный подход, но подробнее в статье рассмотрим малоизвестное решение для Российского рынка — AlienVault Unified Security Management (USM).
В первую очередь, на что стоит обратить внимание, это позиция AlienVault USM по оценке Gartner Magic Quadrant среди SIEM за 2014 года. Gartner проводит оценку решений не только ограничиваясь функциональностью, но и проводит оценку разработчика по целому списку показателей. Система находится в разделе «Visionaries», позиция подтверждает миссию компании – предложить организациям всех размеров широкие возможности и простоту использования при этом оставив доступную стоимость приобретения и поддержки.
Комплексность системы заключается в объединении нескольких технологий защиты в единую платформу (в одну консоль управления и отчетности). Стандарт PCI DSS требует выполнения фундаментальных технических и операционных требований для всех организаций сферы обработки платежных данных. Фундаментальные технические требования разработчик, в составе USM, разделяет на пять основных технологий:
• инвентаризация активов (Network Monitoring);
• сбор и корреляция событий (SIEM);
• обнаружение угроз (IDS, HIDS);
• поведенческий мониторинг (Behavioral Monitoring);
• анализ сетевых уязвимостей (Vulnerability Assessment).
Единая консоль управления имеет шаблоны в формате отчетов для аудиторов PCI DSS. Также для удобства администраторов предусмотрена возможность добавления и создания своих шаблонов (графики, диаграммы и т.д.). Стоит отметить ролевую модель управления, благодаря которой, система поможет выстроить отношения между отделами для принятия решений по инцидентам в масштабах корпорации или холдинга (Центр принятия решений).
Для наглядности, рассмотрим таблицу сравнения разнородных («точечных») подсистем безопасности с единой архитектурой AlienVault USM на примере выполнения требований Стандарта PCI DSS (Таблица 2):
Требования PCI DSS 3.0 | AlienVault USM | Intrusion Detection | Monitoring | SIEM | Vulnerability Management | ||
---|---|---|---|---|---|---|---|
1 | Установить и обеспечить функционирование межсетевых экранов для защиты данных держателей карт | 1.1 | yes | yes | yes | yes | yes |
1.1.2 | yes | yes | |||||
1.1.3 | yes | yes | |||||
1.1.5 | yes | yes | |||||
1.1.6 | yes | yes | |||||
1.2 | yes | yes | yes | yes | |||
1.3 | yes | yes | yes | ||||
2 | Не использовать пароли и другие системные параметры, заданные производителем по умолчанию | 2.1 | yes | yes | |||
2.2 | yes | yes | yes | yes | |||
2.3 | yes | yes | yes | ||||
2.4 | yes | yes | |||||
3 | Обеспечить безопасное хранение данных держателей карт | 3.6.7 | yes | yes | |||
4 | Обеспечить шифрование данных держателей карт при их передаче через сети общего пользования | 4.1 | yes | yes | yes | ||
4.1.1 | yes | yes | |||||
5 | Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО | 5.1 | yes | yes | yes | ||
5.1.2 | yes | yes | yes | ||||
5.2 | yes | yes | yes | ||||
5.3 | yes | yes | yes | ||||
6 | Разрабатывать и поддерживать безопасные системы и приложения | 6.1 | yes | yes | yes | ||
6.2 | yes | yes | yes | ||||
6.3 | yes | yes | yes | ||||
6.3.2 | yes | yes | |||||
6.4 | yes | yes | |||||
6.5 | yes | yes | |||||
7 | Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью | 7.1 | yes | yes | yes | ||
7.2 | yes | yes | |||||
8 | Определять и подтверждать доступ к системным компонентам | 8.1 | yes | yes | yes | ||
8.2 | yes | yes | |||||
8.4 | yes | yes | |||||
8.5 | yes | yes | |||||
8.6 | yes | yes | |||||
8.7 | yes | yes | yes | yes | |||
10 | Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт | 10.1 | yes | yes | yes | yes | |
10.2 | yes | yes | yes | yes | |||
10.3 | yes | yes | yes | yes | |||
10.4 | yes | yes | |||||
10.5 | yes | yes | yes | yes | |||
10.6 | yes | yes | yes | yes | |||
10.7 | yes | yes | yes | yes | |||
11 | Регулярно выполнять тестирование систем и процессов обеспечения безопасности | 11.1 | yes | yes | |||
11.2 | yes | yes | yes | ||||
11.3 | yes | yes | |||||
11.4 | yes | yes | yes | ||||
11.5 | yes | yes |
Особое внимание необходимо уделить Threat Intelligence (количеству известных угроз) и периодичности обновлений, для своевременного реагирования на новые атаки и уязвимости. На протяжении многих лет исследовательский центр — AlienVault Labs занимается отслеживанием хакерских форумов и «черных» сетей для своевременного предотвращения и выявления горизонта атак, угроз и киберпреступлений. Эффективность достигается не только своевременным выявлением угроз и уязвимостей, но и информацией об источниках угроз, IP-адресах, признаках компрометации, вредоносных доменах, взаимосвязях и т.д. Кроме того, технология OTX (Open Threat Exchange) позволяет обмениваться информацией об актуальных угрозах и методах защиты между пользователями во всем мире. С помощью USM Вы сможете сократить обнаружение и предотвращение угроз с нескольких дней (недель, месяцев) до миллисекунд.
Еще один важный момент, на который стоит обратить внимание, это выбор схемы внедрения, которая без дополнительных вложений дополнит и со временем не ограничит растущие потребности инфраструктуры. Разработчик предлагает USM в нескольких исполнениях: аппаратный комплекс, виртуальный образ или облачный сервис. Лицензируется USM от 25 активов (хостов), что позволяет даже совсем небольшим компаниям выбрать наиболее рациональный вариант лицензирования.