بایگانی ماهیانه: آبان ۱۳۹۲

نگارش جدید استانداردهای PCI DSS و PA DSS

نگارش سوم استاندارد های PCI DSS و PA DSS منتشر شده و از ابتدای سال ۲۰۱۴ رسماً اعتبار خواهد داشت. نگارش قبلی (دوم) تا آخر سال ۲۰۱۴ معتبر است تا وقت کافی برای گذار به الزامات جدید استاندارد برای سازمان ها وجود داشته باشد. مجموعه تغییرات این استانداردها نسبت به نگارش قبلی شامل موارد زیر هستند:

PCI DSS

  • Req. 5.1.2 – evaluate evolving malware threats for any systems not considered to be commonly affected
  • Req. 8.2.3 – combined minimum password complexity and strength requirements into one, and increased flexibility for alternatives
  • Req. 8.5.1 – for service providers with remote access to customer premises, use unique authentication credentials for each customer*
  • Req. 8.6 – where other authentication mechanisms are used (for example, physical or logical security tokens, smart cards, certificates, etc.) these must be linked to an individual account and ensure only the intended user can gain access
  • Req. 9.3 – control physical access to sensitive areas for onsite personnel, including a process to authorize access, and revoke access immediately upon termination
  • Req. 9.9 – protect devices that capture payment card data via direct physical interaction with the card from tampering and substitution*
  • Req. 11.3 and 11.3.4 – implement a methodology for penetration testing; if segmentation is used to isolate the cardholder data environment from other networks, perform penetration tests to verify that the segmentation methods are operational and effective*
  • Req. 11.5.1 – implement a process to respond to any alerts generated by the change-detection mechanism
  • Req. 12.8.5 – maintain information about which PCI DSS requirements are managed by each service provider, and which are managed by the entity
  • Req. 12.9 – for service providers, provide the written, agreement/acknowledgment to their customers as specified at requirement 12.8.2*

PA-DSS

  • Req. 5.1.5 – payment application developers to verify integrity of source code during the development process
  • Req. 5.1.6 – payment applications to be developed according to industry best practices for secure coding techniques
  • Req. 5.4 – payment application vendors to incorporate versioning methodology for each payment application
  • Req. 5.5 – payment application vendors to incorporate risk assessment techniques into their software development process
  • Req. 7.3 – application vendor to provide release notes for all application updates
  • Req. 10.2.2 – vendors with remote access to customer premises (for example, to provide support/maintenance services) use unique authentication credentials for each customer
  • Req. 14.1 – provide information security and PA-DSS training for vendor personnel with PA-DSS responsibility at least annually

*Indicates future dated requirements that are best practices until 01 July 2015.

منبع

مجموعه مستندات مربوطه به این استانداردها

اشتراک گذاری

محاسبات ابری و مخاطرات امنیتی

 

یکی از فاکتورهای مهم در اتخاذ  تصمیم  مهاجرت به فضای ابر، مسأله امنیت است. سازمان باید در کنار شناخت فرصتهای بی بدیل استفاده از فضای ابر درک مناسبی نیز از تهدیدهای امنیتی و مخاطرات جدید ناشی از آن داشته باشد. به طور طبیعی امنیت را در سه وجه حفظ محرمانگی، صحت و دسترسپذیری دادهها تعریف میکنیم و از این منظر تفاوتی میان محاسبات ابری با مدلهای دیگر محاسبات وجود ندارد.  

آنچه فضای ابر را برای سازمان مشتری از لحاظ امنیتی نسبت به مدلهای سنتی متمایز میکند، از دست دادن کنترل مستقیم داراییها و احتمال عدم مدیریت مناسب آنها توسط سرویسدهنده ابر است، که آن را میتوان مهمترین تهدید موجود در این مدل محاسبات نامید. این مسأله در مدلهای هیبرید و عمومی خدمات ابر، همچنین در مدل خدمات خصوصی در صورت ارائه توسط شرکت ثالث، مهمترین مخاطره امنیتی موجود است. در این حالتها، استفاده از خدمات ابر مستلزم انتقال مسئولیت و البته کنترل بخشی از اطلاعات و سیستمهای سازمان به سرویسدهنده ای خارج سازمان ـ به طور فیزیکی یا منطقی ـ  است. بدیهی است که انتقال مسئولیت عملیات به ارائه دهنده خدمات ابر، نافی مسئولیت سازمان در قبال حریم خصوصی مشتریان، محرمانگی اطلاعات کسب و کار، تداوم خدمات و غیره نیست. برای رفع این نگرانی، استفاده از توافقنامه سطح خدمات (SLA) به شکل مناسب بسیار ضروری است. در واقع سازمان باید کلیه ملاحظات امنیتی و نیازمندیهای قانونی مربوطه را به طور شفاف در این توافقنامه با ارائه دهنده خدمات ابر تنظیم نماید. به عنوان مثال، اگر یک بانک بخواهد از خدمات محاسبات ابر استفاده نماید و این خدمات مستلزم هرگونه پردازش اطلاعات کارت مشتری باشد، ارائه دهنده خدمات ابر باید با الزامات استانداردهایی چون PCI DSS تطابق داشته باشد. باید توجه داشت که بسیاری از جزئیات مربوط به مدیریت داراییهای سازمان در داخل خدمات دهنده از دید سازمان مشتری پنهان است. مثلاً خدمات دهنده ممکن است بخشی از خدمات خود را به شرکت ثالث برونسپاری کند، یا دادههای مشتریان را از مرکز دادهای به مرکز داده دیگر، حتی در کشوری دیگر، منتقل کند و سازمان را با مخاطرات جدی روبرو سازد. اینگونه موارد باید در تنظیم SLA به دقت لحاظ شود.

علاوه بر این، سازمان ممکن است وابستگی بیش از حد به یک خدماتدهنده پیدا کند و به خصوص در زمینه انتقال دادهها و خدمات به داخل سازمان یا به سرویسدهنده دیگر با چالش مواجه شود. در واقع استفاده از مزایای محاسبات ابری ممکن است منجر به ایجاد لَختی در تغییرات یا ایجاد خدمات جدید شود و در زمان بروز حوادث امنیتی، چابکی لازم را از سازمان سلب کند.

اگرچه اشتراک منابع یکی از فواید اساسی محاسبات ابر است. همین موضوع میتواند زمینهساز یک مخاطره امنیتی بزرگ برای سازمان شود. زیرا فعالیتهای غیرقانونی که ممکن است توسط دیگران با استفاده از منابع مشترک انجام شود، مستقیماً به شهرت و اعتبار سازمان آسیب وارد میکند. مخاطره شدیدتر آن است که یکی از سازمانهای مشتری خدمات ابر، به دلیل رخداد یک حمله یا در دیگر شرایط غیر عادی، به داراییهای دیگر مشتریان دسترسی پیدا کند.   

ارائه خدمات در فضای ابر الزاماً نیاز به استفاده از راه حلهای مجازی ندارد، اما مجازیسازی فناوری غالب در اینگونه خدمات است. راهحلهای مجازی، یک ماشین مجازی که Hypervisor نام دارد را به بستر محاسبات اضافه میکنند. اضافه شدن هر لایه، به معنای ورود ملاحظات جدید امنیتی و تهدیدهای خاص آن لایه است. بخش عمده حملاتی که امروزه برای دور زدن حفاظهای امنیتی در محیط مجازی متداول است، بر آسیبپذیریهای Hypervisor استوار هستند. اگر چه تنوع این حملات نسبت به حملات متداول سیستم عاملهای شناخته شده بسیار کمتر است، سازمان باید در مدیریت مخاطرات امنیتی فضای ابر، مخاطرات مربوط به مجازیسازی را نیز در نظر بگیرد.

برخی دیگر از مشکلات امنیتی که در فضای ابر متوجه سازمان مشتری میباشد عبارتند از:

  • عدم اطمینان از مدیریت امن دادهها در داخل شبکه سرویسدهنده

  • قابل اتکا نبودن بستر شبکه ارتباطی سازمان و سرویس دهنده

  • مدیریت راه دور ناامن منابع فضای ابر توسط سازمان مشتری

  • تهدید ناشی از پرسنل داخلی ارائه دهنده خدمات

باید توجه داشت که مدیریت مخاطرات امنیت در این فضا را باید با توجه به مدل خدمات (PaaS, IaaS, SaaS) مورد استفاده انجام داد. زیرا احتمال رخداد یک تهدید امنیتی در سه مدل فوق لزوماً یکسان نیست. علاوه بر این، لازم است مسئولیت برقراری امنیت فیزیکی، داده، زیرساخت، سیستم و برنامه در هر مدل به صورت شفاف بین خدمات دهنده و مشتری تقسیم شود. همچنین نحوه تعامل دو طرف در زمان رخداد حادثه امنیتی باید دقیقاً مشخص شود. به عنوان مثال، آیا خدمات دهنده در پاسخ به یک حادثه امنیتی، اطلاعات و دسترسیهای مورد نیاز را برای جمع آوری شواهد و پیگیری حادثه در اختیار مشتری قرار خواهد داد؟    

با توجه به مطالب فوق، ممیزی امنیت ارائه دهندگان خدمات ابر یکی از نیازهای حیاتی مشتریان در راستای مدیریت امنیت محاسبات ابر است. به همین دلیل تلاشهای فراوانی برای تطبیق استانداردهای امنیتی موجود یا تدوین استانداردهای جدید امنیت در محاسبات ابری در حال انجام است.

* این یادداشت در شماره چهل و چهار مجله بانکداری الکترونیک چاپ شده است.

اشتراک گذاری

شناسایی در پشتی (Backdoor) در سرور لینوکس

نفوذگرها از روش های مختلفی برای آپلود کردن در پشتی (Backdoor) روی سرور هدف استفاده می کنند. مثلاً ممکن است از آسیب پذیری Remote File Inclusion در برنامه های وب یا از اکانت FTP به دست آمده روی سرور استفاده نمایند. با این حال معمولاً Backdoor را به شکلی پنهان می کنند تا نتوان به راحتی آن را در سیستم شناسایی کرد. 

 MalDetect ابزاری است که فایل های سرور لینوکس را بررسی کرده و اگر آلوده به Backdoor های شناخته شده باشند، آنها را گزارش می کند.  البته با توجه به بار پردازشی این روش شناسایی، معمولاً برخی از انواع فایل ها را از دامنه اسکن این ابزار استثنا (exclude) می کنند. این کار باید با دقت صورت گیرد چون ممکن است Backdoor پنهان شده در انواع خاصی از فایل ها از دست برود. این یادداشت مثال خوبی از این مورد است، Backdoor ای که در هدر یک تصویر پنهان شده است!

اشتراک گذاری

سیستم های امنیتی آینده

مسابقه ای که نشان دهنده بخشی از ویژگی های سیستم های امنیتی آینده است:

http://www.darpa.mil/NewsEvents/Releases/2013/10/22.aspx

DARPA در این مسابقه که احتمالاً مرحله نهایی آن در سال ۲۰۱۶ برگزار می شود به دنبال راه حل های کاملاً اتوماتیک ارزیابی و امن سازی است:

For the first time, a cyber competition would take place on a network framework purpose-built to interface with automatic systems. Competitors would navigate a series of challenges, starting with a qualifying event in which a collection of software must be automatically analyzed. Competitors would qualify by automatically identifying, analyzing and repairing software flaws.

DARPA intends to invite a select group of top competitors s from the qualifying event to the Cyber Grand Challenge final event, slated for early to mid-2016. In that competition, each team’s system would automatically identify software flaws, scanning the network to identify affected hosts. Teams would score based on how capably their systems could protect hosts, scan the network for vulnerabilities and maintain the correct function of software. The winning team from the CGC finals would receive a cash prize of $2 million, with second place earning $1 million and third place taking home $750,000.

اشتراک گذاری