Σε μία περίοδο όπου τα περιβάλλοντα τόσο των επιχειρήσεων όσο και της πληροφορικής συνεχώς αλλάζουν και εξελίσσονται, παρατηρούμε τις εταιρείες να πασχίζουν να διαχειριστούν και να ανταποκριθούν στις αυξανόμενες απαιτήσεις και προκλήσεις της ασφάλειας των πληροφοριών.
Παρά ταύτα, την τελευταία δεκαετία έχει καταγραφεί μία ραγδαία αύξηση των φαινομένων απάτης, η πλειοψηφία των οποίων σχετίζεται με δεδομένα καρτών πληρωμής. Αξιοσημείωτο δε, είναι το γεγονός ότι τα φαινόμενα αυτά παρατηρούνται τόσο σε συναλλαγές όπου ο κάτοχος της κάρτας είναι παρών, όσο και σε εξ αποστάσεως συναλλαγές όπου η φυσική παρουσία του δεν απαιτείται.
Το πρότυπο PCI DSS εστιάζει στην προστασία των δεδομένων καρτών πληρωμής – είτε αυτά βρίσκονται αποθηκευμένα είτε μεταδίδονται. Όταν αναφερόμαστε σε δεδομένα καρτών πληρωμής (χρεωστικές, πιστωτικές, προπληρωμένες) εννοούμε τον πλήρη αριθμό της κάρτας (PAN) (μόνο του ή μαζί με την ημερομηνία λήξης), το όνομα του κατόχου ή τον κωδικό υπηρεσίας. Οποιαδήποτε οντότητα επεξεργάζεται, αποθηκεύει ή μεταδίδει δεδομένα καρτών πληρωμής, πρέπει να συμμορφώνεται με τις απαιτήσεις του προτύπου. Ευαίσθητα δεδομένα αυθεντικοποίησης θεωρούνται οι τιμές επικύρωσης της κάρτας (CAV2/CVC2/CVV2/CID), το PIN, τα PIN blocks και τα δεδομένα Track 1 και Track 2 της μαγνητικής ταινίας. Τα εν λόγω δεδομένα δεν πρέπει να αποθηκεύονται μετά την έγκριση της συναλλαγής, έστω και αν κρυπτογραφούνται .
Βάσει των απαιτήσεων του PCI DSS, μία ολοκληρωμένη αρχιτεκτονική ασφάλειας εταιρικού δικτύου θα πρέπει να περιλαμβάνει την υλοποίηση ορισμένων πρακτικών ασφάλειας και τη χρήση εξειδικευμένων τεχνολογικών μηχανισμών, όπως περιγράφονται στις παραγράφους που ακολουθούν. Πρέπει να σημειωθεί ότι η επιλογή των απαιτούμενων μηχανισμών ασφάλειας εξαρτάται σε μεγάλο βαθμό από το μέγεθος και το αντικείμενο της κάθε επιχείρησης. Ορισμένοι από τους μηχανισμούς που περιγράφονται είναι απολύτως απαραίτητοι προκειμένου να επιτευχθεί συμμόρφωση με το PCI DSS, σχεδόν για κάθε επιχείρηση.
Δικτυακός Διαχωρισμός & Συστήματα Firewalls / UTM Solution: Τα Firewalls λειτουργούν τόσο ως προδραστικά μέτρα για την προστασία από εισβολές, όσο και ως μέτρα ενάντια σε μια ενδεχόμενη κλιμάκωση μιας επιτυχούς εισβολής, ελέγχοντας τις επικοινωνίες μεταξύ των διακομιστών. Στις μέρες μας, εξελίσσονται σε συστήματα «Ενοποιημένης Διαχείρισης Απειλών» (Unified Threat Management – UTM), ενσωματώνοντας λειτουργικότητες όπως Network IPS κτλ. παρέχοντας με αυτό τον τρόπο ένα ολοκληρωμένο επίπεδο ασφάλειας. Στα πλαίσια του PCI, τα firewalls που προστατεύουν το περιβάλλον δεδομένων καρτούχων (CDE) πρέπει να παραμετροποιούνται έτσι ώστε να αποτρέπουν τις επικοινωνίες μεταξύ μη έμπιστων δικτύων (π.χ. το Internet ) και οποιουδήποτε συστατικού μέρους συστήματος (system component) που βρίσκεται στο περιβάλλον δεδομένων καρτούχων. Με άλλα λόγια, το firewall θα πρέπει να είναι ρυθμισμένο έτσι ώστε να περιορίζει την εισερχόμενη και εξερχόμενη κίνηση σε αυτήν που είναι απαραίτητη για περιβάλλον δεδομένων καρτούχου. Όλη η υπόλοιπη κίνηση πρέπει να απορρίπτεται, για παράδειγμα με τη χρήση ενός κανόνα «απαγόρευση όλων» ή με μία σαφή άρνηση μετά από μία δήλωση αποδοχής. Στην πραγματικότητα, ο διαχωρισμός του δικτύου έχει δύο στόχους:
- το διαχωρισμό οποιουδήποτε εξωτερικού μη έμπιστου δικτύου με το περιβάλλον δεδομένων καρτούχου και
- το διαχωρισμό των συστημάτων του περιβάλλοντος δεδομένων καρτούχου που είναι εκτεθειμένα στο διαδίκτυο, από άλλα δευτερεύοντα συστήματα που είναι εκτεθειμένα στο διαδίκτυο.
Δεδομένων των όσων αναφέρθηκαν παραπάνω, θα πρέπει οποιοδήποτε σύστημα επεξεργάζεται, αποθηκεύει ή μεταδίδει δεδομένα καρτούχων να είναι εγκατεστημένο στο εσωτερικό δίκτυο, το οποίο πρέπει να είναι κατάλληλα διαχωρισμένο από την αποστρατικοποιημένη ζώνη (DMZ) στην οποία θα βρίσκονται συστήματα που επικοινωνούν άμεσα με εξωτερικά μη έμπιστα δίκτυα (Ίντερνετ).
Λαμβάνοντας υπόψη τις ανάγκες που μόλις περιγράφηκαν, μια καλή επιλογή θα ήταν να υλοποιείται πρώτα ένα έργο διαχωρισμού του εσωτερικού δικτύου, έτσι ώστε να μειωθεί το εύρος εφαρμογής του Προτύπου PCI DSS. Μία κατάλληλη στρατηγική διαχωρισμού θα πρέπει να περιλαμβάνει:
- Την αναγνώριση κάθε συστατικού μέρους συστήματος που ανήκει στο περιβάλλον δεδομένων καρτούχου (CDE).
- Την αναγνώριση της απαιτούμενης κίνησης από το περιβάλλον δεδομένων καρτούχου.
- Την αναγνώριση των χρηστών που απαιτείται να έχουν πρόσβαση στο περιβάλλον δεδομένων καρτούχου.
- Τη συνένωση των παραπάνω, έτσι ώστε να σχεδιαστεί το διαχωρισμένο (segmented) περιβάλλον δεδομένων καρτούχου.
Εκτός από την εφαρμογή μιας μελέτης διαχωρισμού του CDE, η μείωση του περιβάλλοντος δεδομένων καρτούχου μπορεί να επιτευχθεί και με την αφαίρεση δεδομένων καρτούχων από τα πληροφοριακά συστήματα για τα οποία δεν υπάρχει σαφής επιχειρηματική ανάγκη να επεξεργάζονται, αποθηκεύουν ή μεταδίδουν δεδομένα καρτούχων. Τέλος, για κάθε πληροφοριακό σύστημα που χρειάζεται να επικοινωνεί με συστήματα του περιβάλλοντος δεδομένων καρτούχου και η επικοινωνία τους δεν περιλαμβάνει την επεξεργασία, μετάδοση ή αποθήκευση δεδομένων καρτούχων, καλό θα είναι να χρησιμοποιείται ένα ενδιάμεσο σύστημα, όπως ένας terminal server και/ή ένα application middleware component σε συνδυασμό με την εφαρμογή μιας λύσης αποκοπής (truncation) των δεδομένων καρτούχων. Κάτι τέτοιο δε θα επηρέαζε τη φυσιολογική λειτουργία αυτών των συστημάτων και ταυτόχρονα θα τα έθετε εκτός εύρους εφαρμογής του Προτύπου.
Αναφορικά με τις ασύρματες συσκευές (έμπιστες ή μη), είναι φανερό ότι θα μπορούσαν να θέσουν σε κίνδυνο το περιβάλλον δεδομένων καρτούχου. Σε αυτό το πλαίσιο, τα περιμετρικά firewalls πρέπει να εγκαθίστανται και να απαγορεύουν οποιαδήποτε τέτοια κίνηση, αφήνοντας μόνο εκείνη η οποία είναι απαραίτητη για το περιβάλλον δεδομένων καρτούχου.
Μηχανισμοί Ασφάλειας Κρίσιμων Διακομιστών & Τερματικών (Critical Servers & Endpoint Security): Η επίτευξη συνολικής προστασίας για τους κρίσιμους εταιρικούς διακομιστές δεν μπορεί να πραγματοποιηθεί με την υλοποίηση μίας μόνο λύσης. Ο συνδυασμός εξειδικευμένων μηχανισμών ασφάλειας είναι αυτό που απαιτείται. Για την κάλυψη των απαιτήσεων προστασίας του εξυπηρετητή που βρίσκεται στο περιβάλλον δεδομένων καρτούχου, χρειάζονται οι παρακάτω λύσεις:
- Network IPS, που να παρέχει την απαραίτητη προστασία στους εταιρικούς εξυπηρετητές από δικτυακές απειλές και επιθέσεις.
- Εξειδικευμένη προστασία από κακόβουλο λογισμικό & host IPS.
- Πλήρης έλεγχος και διαχείριση των αλλαγών, καθώς επίσης και παρακολούθηση της συμμόρφωσης.
Κάθε σταθμός εργασίας που αποκτά πρόσβαση στο εταιρικό δίκτυο του Οργανισμού αποτελεί ένα πιθανό στόχο για την εξάπλωση μιας σειράς απειλών για την ασφάλεια του εταιρικού δικτύου, όπως worms, Trojan horses, spyware και άλλου κακόβουλου λογισμικού. Η υλοποίηση μιας εξειδικευμένης λύσης αποτελεί προστασία του εταιρικού δικτύου και ταυτόχρονα συνδυάζει την προδραστική προστασία, παρέχοντας παράλληλα δυνατότητες κεντρικής διαχείρισης και επιβολής της πολιτικής που έχει αποφασισθεί να εφαρμοστεί. Τα πλεονεκτήματα σχετικά με την ασφάλεια για το εσωτερικό δίκτυο με την επιλογή μιας τέτοιας λύσης είναι:
- Προδραστική ασφάλεια των τερματικών.
- Επιβολή της πολιτικής πρόσβασης.
- Εύκολη και ευέλικτη κεντρική διαχείριση.
- Συνολική προστασία πρόσβασης.
Ο συγκεκριμένος μηχανισμός ασφάλειας παίζει τον κυριότερο ρόλο σχετικά με την ασφάλεια των τερματικών. Διαβεβαιώνει ότι ακολουθείται η εταιρική πολιτική, ότι όλα τα τερματικά έχουν ενημερωμένο λογισμικό προστασίας από ιούς, έχει τις τελευταίες ενημερώσεις των εφαρμογών που χρησιμοποιούν (φυλλομετρητές, VPN κτλ), όλες τις απαραίτητες ανανεώσεις ασφάλειας (patches, service packs κ.ά.), ότι δεν εκτελούν κάποιο απαγορευμένο λογισμικό και γενικά ότι πληρούν όλα τα κριτήρια πριν τους επιτραπεί να αποκτήσουν πρόσβαση στο δίκτυο.
Διαχείριση Προνομιακών Λογαριασμών (Privileged Account Management): Ο σκοπός της υλοποίησης ενός τέτοιου συστήματος ασφάλειας στο εσωτερικό δίκτυο είναι η ασφαλής αποθήκευση, διανομή και χρήση των κωδικών των διαχειριστών των συστημάτων, έτσι ώστε να εκτελείται με αποτελεσματικό τρόπο η προνομιακή πρόσβαση στα συστήματα. Πιο συγκεκριμένα, το σύστημα θα πρέπει να πληροί τις ακόλουθες απαιτήσεις ασφάλειας:
- Επιβολή μιας αυστηρής πολιτικής ασφάλειας για τους κωδικούς των διαχειριστών, αντιμετωπίζοντας κάποια σημαντικά θέματα, όπως:
- Χρήση των ίδιων κωδικών από πολλαπλούς διαχειριστές (password sharing).
- Χρήση του ίδιου κωδικού σε πολλαπλά συστήματα.
- Απώλεια ή έλλειψη γνώσης του κωδικού.
- Κεντρική διαχείριση και ασφαλής αποθήκευση των κρίσιμων κωδικών διαχειριστή, σε ειδικά προστατευμένα συστήματα.
- Ασφαλής διανομή των κωδικών μέσω κρυπτογραφημένου καναλιού.
- Απαίτηση εξουσιοδότησης (μαζί με αυθεντικοποίηση) πριν τη γνωστοποίηση του κωδικού.
- Λεπτομερής καταγραφή της διαδικασίας αιτήματος κωδικού πρόσβασης, συμπεριλαμβανομένων και των προσωπικών στοιχείων του χρήστη στον οποίο παραδόθηκε ο κωδικός.
- Αυτόματη αλλαγή των κωδικών διαχειριστή στα συστήματα που έχουν επιλεγεί, σε συγκεκριμένα χρονικά διαστήματα ή μετά από κάθε χρήση.
Ασφάλεια Δικτυακών Εφαρμογών (Web Application Security): Οι δικτυακές εφαρμογές είναι ένα εξαιρετικό μέσο παροχής πρόσβασης σε δεδομένα. Παρόλα αυτά, υπάρχουν και πολλοί κίνδυνοι που ελλοχεύουν. Η εγκατάσταση ενός Web Application Firewall μπροστά από κάθε εφαρμογή που είναι εκτεθειμένη στο διαδίκτυο, θα ήταν μια λύση έτσι ώστε να φιλτράρεται και να αποτρέπεται οποιαδήποτε επικίνδυνη κίνηση. Το firewall παρέχει προστασία από απειλές όπως SQL injection, cookie poisoning, parameter tampering, directory traversal κ.ά. Ένα σημαντικό χαρακτηριστικό των συστημάτων αυτών είναι πως δεν περιορίζονται απλά στον εντοπισμό και τη διαχείριση γνωστών τεχνικών παραβίασης, αλλά προχωρούν στη δημιουργία «προφίλ» αποδεκτής χρήσης των εφαρμογών, αποτρέποντας κατά αυτόν τον τρόπο τη μη εξουσιοδοτημένη χρήση των εφαρμογών. Καθώς ο χρήστης αλληλεπιδρά με την εφαρμογή, το web application firewall παρακολουθεί τις ενέργειες και τις συγκρίνει με το προφίλ που έχει δημιουργηθεί – και όχι μόνο βάσει γνωστών attack signatures στα οποία συνήθως βασίζονται οι παραδοσιακοί μηχανισμοί IDS/IPS (π.χ. την αντιγραφή όλης της βάσης των καρτούχων μέσω ερωτήματος στη βάση δεδομένων). Οποιαδήποτε πιθανή προσπάθεια επίθεσης ανιχνεύεται και υπάρχει η δυνατότητα να μπλοκάρεται.
Η απαίτηση του προτύπου σχετικά με την επισκόπηση των εφαρμογών ή την εγκατάσταση web-application firewall έχει ως σκοπό να μειώσει τον αριθμό των εισβολών που είχαν ως αποτέλεσμα την παραβίαση δεδομένων καρτούχων.
Σύστημα Διαχείρισης Περιστατικών Ασφάλειας (Security Event/Information Management System): Παρόλο που πολλά συστήματα παρέχουν χρήσιμη πληροφορία σχετικά με την κατάσταση ασφάλειας του περιβάλλοντός τους, ταυτόχρονα παρέχουν μεγάλο όγκο γεγονότων, χωρίς αυτά να έχουν ενοποιηθεί, κανονικοποιηθεί και συσχετιστεί ώστε να παραχθεί μια ξεκάθαρη και συνολική εικόνα για την κατάσταση ασφάλειας. Για το λόγο αυτό πρέπει να χρησιμοποιούνται συστήματα διαχείρισης περιστατικών ασφάλειας που έχουν τη δυνατότητα να ενοποιήσουν αρχεία καταγραφής (logs) από διάφορες πηγές, να τα φιλτράρουν και να δώσουν μια καλύτερη και σαφή εικόνα της κατάστασης ασφάλειας των συστημάτων που παρακολουθούνται.
Πρέπει να τονισθεί ότι ένα τέτοιο σύστημα δεν είναι μία «λύση ενός σημείου» αλλά πρέπει να αντιμετωπισθεί ως μία υποδομή που καλύπτει και περιλαμβάνει κάθετα όλο το περιβάλλον της επιχείρησης. Για το λόγο αυτό η επιλογή ενός τέτοιου συστήματος πρέπει να λαμβάνει υπόψη όλο το πληροφοριακό περιβάλλον της εταιρείας. Η υλοποίηση και παραμετροποίηση τέτοιων συστημάτων πρέπει να διέπεται από τις παρακάτω αρχές:
- Δυνατότητα συλλογής γεγονότων σχετικά με την ασφάλεια από διαφορετικές πηγές – και όχι μόνο συστήματα ασφάλειας, servers, βάσεις δεδομένων κτλ.
- Δυνατότητα φιλτραρίσματος γεγονότων τόσο πριν όσο και κατά τη φάση της συλλογής, έτσι ώστε να αποτραπούν συνθήκες δικτυακής συμφόρησης και μεγάλος όγκος πληροφορίας, που καθιστούν δύσκολη την ανάλυση των γεγονότων.
- Δυνατότητα συσχετισμού των συλλεχθέντων γεγονότων, ώστε να ελαχιστοποιηθεί η πιθανότητα λανθασμένων συναγερμών (false positives).
- Ιεραρχική αρχιτεκτονική που θα είναι δίνει τη δυνατότητα επέκτασης ανάλογα με τις επιχειρηματικές ανάγκες.
Configuration Audit & Control / File Integrity Monitoring: Η καταγραφή και ο έλεγχος παραμετροποιήσεων είναι η διαδικασία επιβεβαίωσης ότι τα συστατικά μέρη της πληροφοριακής υποδομής συντηρούνται με τον προκαθορισμένο και ενδεδειγμένο τρόπο. Αυτό επιτυγχάνεται διασφαλίζοντας ότι όλες οι αλλαγές ανιχνεύονται και αναλύονται προκειμένου να επαληθευτεί ότι ήταν εξουσιοδοτημένες και ότι το σύστημα εξακολουθεί να συμμορφώνεται με τα οργανωτικά και κανονιστικά πρότυπα.
Ορίζοντας μόνο τις παραμετροποιήσεις που πρέπει να εκτελούνται στα συστήματα και περιγράφοντας τη διαδικασία της αλλαγής, θεωρείται ανεπαρκές για τη διατήρηση του ελέγχου σε ένα δυναμικό περιβάλλον που επηρεάζεται συνεχώς από την αλληλεπίδραση με άλλες πηγές. Οι διάφορες επιδιορθώσεις (patches) εγκαθίστανται αυτόματα, αναβαθμίσεις εφαρμογών λαμβάνουν χώρα και οι χρήστες πραγματοποιούν χειροκίνητα διάφορες αλλαγές στις ρυθμίσεις των συστημάτων. Οι διευθυντές πληροφορικής και ασφάλειας θέλουν να είναι σίγουροι ότι τα περιβάλλοντα που έχουν υπό τη διαχείρισή τους διατηρούν την απαραίτητη λειτουργικότητα και ταυτόχρονα συμμορφώνονται με τα αποδεκτά πρότυπα ασφάλειας. Η Καταγραφή και ο Έλεγχος Παραμετροποιήσεων καθώς και ο Έλεγχος Ακεραιότητας παρέχουν τα απαραίτητα εργαλεία για τη συλλογή έγκυρων δεδομένων παραμετροποίησης, την παρακολούθηση των αλλαγών σε πραγματικό χρόνο, την ταχεία αποκατάσταση των προβλημάτων και τη διαβεβαίωση ύπαρξης ενός σταθερού και παραγωγικού πληροφοριακού περιβάλλοντος.
Ο έλεγχος της πρόσβασης του χρήστη σε κρίσιμα συστήματα μπορεί να ενισχυθεί σημαντικά με την υλοποίηση ενός προηγμένου μηχανισμού καταγραφής και ελέγχου παραμετροποιήσεων, ο οποίος θα επιτρέπει τη συνεχή παρακολούθηση οποιωνδήποτε αλλαγών πραγματοποιούνται σε κρίσιμα συστήματα σε επίπεδο λειτουργικού συστήματος, file system, βάσης δεδομένων και εφαρμογής, καθώς επίσης και σε δικτυακές συσκευές και firewall. Η λύση περιλαμβάνει ένα σημείο καταγραφής και ελέγχου παραμετροποιήσεων μέσα στο περιβάλλον του Οργανισμού. Διατηρώντας μια βάση παραμετροποιήσεων με τις παρούσες και τις παρελθοντικές εκδόσεις, η λύση μπορεί να εντοπίσει οποιαδήποτε αλλαγή ή μη συμμορφούμενη παραμετροποίηση για κάθε σύστημα που έχει υπό την εποπτεία του. Όταν εντοπίζεται κάποια αλλαγή, το σύστημα συλλέγει αναλυτικές πληροφορίες, συγκρίνει την αλλαγή σε σχέση με γνωστές και εξουσιοδοτημένες αλλαγές και αν κριθεί απαραίτητο ειδοποιεί το κατάλληλο άτομο ώστε να ξεκινήσει περαιτέρω έρευνα.
Διαχείριση Ευπαθειών (Vulnerability Management): Μία λύση ανίχνευσης ευπαθειών μπορεί να χρησιμοποιηθεί για να ανακαλύψει, απαριθμήσει, αναλύσει και εκτιμήσει γνωστές τεχνικές αδυναμίες που υπάρχουν σε πληροφοριακά συστήματα, δίκτυα υπολογιστών και εφαρμογές. Εσωτερικός έλεγχος ανεύρεσης ευπαθειών πρέπει να διεξάγεται σε τριμηνιαία βάση και μετά από κάθε σημαντική αλλαγή στο περιβάλλον δεδομένων καρτούχου.
Απομακρυσμένη Πρόσβαση (Remote Access): Η απομακρυσμένη πρόσβαση στα συστατικά μέρη του περιβάλλοντος δεδομένων καρτούχου πρέπει να παρέχεται σε εργαζόμενους, διαχειριστές και τρίτα μέρη, αφότου έχει πραγματοποιηθεί αυθεντικοποίηση δύο παραγόντων (π.χ. κάτι που έχεις και κάτι που γνωρίζεις). Μία εξειδικευμένη λύση αυθεντικοποίησης δύο παραγόντων αποτελείται από μία κεντρική υποδομή και OTP tokens, που λειτουργώντας μαζί, επιτυγχάνουν την αυτόματη αλλαγή του κωδικού πρόσβασης του χρήστη κάθε 60 δευτερόλεπτα.
Προηγμένες τεχνολογίες απομακρυσμένης πρόσβασης έχουν δημιουργηθεί ώστε να επιτρέπουν την επέκταση της εσωτερικής υποδομής ενός Οργανισμού στο διαδίκτυο, χρησιμοποιώντας τεχνολογίες VPN όπως IPSec, SSL VPN, L2TP over IPSec κτλ. Κάθε τεχνολογία παρέχει την απαιτούμενη ασφάλεια και τα χαρακτηριστικά, ανάλογα με τη φύση της απομακρυσμένης πρόσβασης.
Δημήτρης Εργαζάκης
Manager, Security Strategy Services
d.ergazakis@encodegroup.com
Αχιλλέας Κουτσούκος
Information Security Consultant
a.koutsoukos@encodegroup.com
PCI DSS Services Team
ENCODE
Λ. Μεσογείων 182,
Αθήνα – 15561