盡管PCI DSS 3.0版本已經(jīng)全面推出，但仍然有很多關(guān)于企業(yè)難以遵守11.3章節(jié)中列出的PCI滲透測(cè)試要求的討論。

為了幫助企業(yè)充分了解PCI DSS 3.0要求，PCI安全標(biāo)準(zhǔn)委員會(huì)在2015年3月發(fā)布了PCI DSS補(bǔ)充信息：滲透測(cè)試指南。該文檔詳細(xì)介紹了滲透測(cè)試過(guò)程的一般方法，從范圍界定到測(cè)試不同的網(wǎng)絡(luò)層，再到測(cè)試后續(xù)步驟(例如報(bào)告)等。

PCI滲透測(cè)試文檔以及PCI DSS合規(guī)所要求的方法的優(yōu)點(diǎn)是，并沒(méi)有什么新東西。除了提到云計(jì)算環(huán)境、網(wǎng)絡(luò)釣魚(yú)以及縮小持卡人數(shù)據(jù)環(huán)境范圍等新概念外，這些滲透測(cè)試/安全評(píng)估其實(shí)做法已經(jīng)存在多年。當(dāng)筆者在2003年撰寫(xiě)《Hacking For Dummies》第一版時(shí)，筆者就在研究其中一些主題，當(dāng)時(shí)這方面的資源已經(jīng)相當(dāng)普遍，例如像黑客一樣思考到跨不同操作系統(tǒng)平臺(tái)的獨(dú)特漏洞利用，以及執(zhí)行滲透測(cè)試的特定方法等，這些信息主要是以開(kāi)源安全測(cè)試方法(OSSTMM)的形式提供，還有很多白皮書(shū)、文章等。

讓我們快進(jìn)到2015年。

筆者不知道是否應(yīng)該將其稱(chēng)為分析癱瘓、缺乏預(yù)算或只是執(zhí)行管理部分的緩兵之計(jì)，但好像很多人都在等待PCI安全標(biāo)準(zhǔn)委員會(huì)告訴他們?nèi)绾巫鍪嗄陙?lái)已經(jīng)良好記錄的事情。

企業(yè)應(yīng)該閱讀完整的PCI滲透測(cè)試指南文件，而下面是企業(yè)應(yīng)該注意的六個(gè)重要方面：

· 該文檔討論了應(yīng)用環(huán)境身份驗(yàn)證測(cè)試方面的要求—這是滲透測(cè)試中經(jīng)常被忽視但非常重要的組成部分。

· 該文檔還介紹了什么被認(rèn)為是對(duì)系統(tǒng)的“重大改變”--以便在對(duì)持卡人數(shù)據(jù)環(huán)境中任何系統(tǒng)進(jìn)行代碼或相關(guān)更新后可以進(jìn)行后續(xù)滲透測(cè)試。

· 該文檔提到了做這項(xiàng)工作的安全專(zhuān)業(yè)人員獲得的證書(shū)以及過(guò)往的經(jīng)驗(yàn)的重要性—與其他領(lǐng)域一樣，更多經(jīng)驗(yàn)往往更好，當(dāng)然還需要漏洞掃描儀、網(wǎng)絡(luò)分析儀和漏洞利用工具包等工具，他們還應(yīng)該知道如何有效地使用它們。

· 另外，滲透測(cè)試特定規(guī)則經(jīng)常被忽視，這可能在滲透測(cè)試過(guò)程中或測(cè)試后制造問(wèn)題，例如漏洞利用需要多么深入以及如何處理在測(cè)試中發(fā)現(xiàn)的敏感數(shù)據(jù)等。筆者非常高興該文檔解決了可能阻止測(cè)試(WAF和IPSes等)的安全控制，很多人以為他們有這些控制就不會(huì)發(fā)現(xiàn)漏洞或出現(xiàn)漏洞利用，一切都很好。對(duì)于白名單或禁用這些積極保護(hù)措施，該滲透測(cè)試指南明確指出它可“幫助確保服務(wù)本身得到正確配置，并在主動(dòng)保護(hù)系統(tǒng)出現(xiàn)故障或以某種方式被擊敗或被攻擊者繞過(guò)時(shí)控制漏洞利用的風(fēng)險(xiǎn)。”

· 該文檔中還提供了圍繞社會(huì)工程學(xué)的建議，包括網(wǎng)絡(luò)釣魚(yú)測(cè)試，以檢測(cè)持卡人數(shù)據(jù)環(huán)境是否能從這個(gè)角度被利用。

· 企業(yè)還應(yīng)該保留測(cè)試詳細(xì)信息的證據(jù)(包括具體的調(diào)查結(jié)果)，確保可根據(jù)要求提供。

除了越來(lái)越復(fù)雜的網(wǎng)絡(luò)，以及PCI DSS和一般安全測(cè)試最佳做法的細(xì)微區(qū)別，這其實(shí)與我們過(guò)去的做法沒(méi)有太多不同。不要試圖下車(chē)去尋找新的東西，在賽車(chē)運(yùn)動(dòng)中，我們知道，如果我們專(zhuān)注于我們前進(jìn)的方向，汽車(chē)就會(huì)開(kāi)往該方向。這個(gè)道理同樣適用于信息安全領(lǐng)域，在這種情況下，也適用于PCI DSS滲透測(cè)試要求。你現(xiàn)在應(yīng)該知道需要做什么事情，你只需要深入閱讀該滲透測(cè)試要求，或者完全外包滲透測(cè)試功能。

你還可以看看NIST SP800-115—信息安全測(cè)試和評(píng)估技術(shù)指南，以及OSSTMM和有關(guān)漏洞掃描和滲透測(cè)試的其他資源。如果你認(rèn)真研讀這些一般準(zhǔn)則，就不會(huì)有太大問(wèn)題。

展望未來(lái)，如果你無(wú)法完全遵守新的PCI DSS規(guī)則怎么辦?對(duì)于這些要求，無(wú)論你做或者不做某些事情，你做的任何決定都會(huì)產(chǎn)生后果。我認(rèn)為最重要的事情是你應(yīng)該從今天開(kāi)始做出合理的一致的努力，以改進(jìn)現(xiàn)有的滲透測(cè)試和整體安全計(jì)劃。在我看來(lái)，執(zhí)行基本漏洞掃描的人將會(huì)是最大的審查目標(biāo)，而根本不是測(cè)試本身。

你不一定需要部署完美的安全測(cè)試計(jì)劃，但你肯定不希望被排在最后，你可以保持在中間的位置，并以持續(xù)改進(jìn)作為目標(biāo)。