PCI Kapsamında Sızma Testi
Payment Card Industry Data Security Standard (Kısaca PCI DSS) denetimleri ve Self Assessment Questionnaire (SAQ) formları için sızma testlerinin gerçekleştirilmesi esastır. Sızma testleri sonucu çıkan zafiyetlerin de kısa bir süre içerisinde kapatılarak doğrulama testleri ile doğrulanması sağlanmalıdır.
Payment Card Industry Data Security Standard (Kısaca PCI DSS) denetimleri ve Self Assessment Questionnaire (SAQ) formları için sızma testlerinin gerçekleştirilmesi esastır. Sızma testleri sonucu çıkan zafiyetlerin de kısa bir süre içerisinde kapatılarak doğrulama testleri ile doğrulanması sağlanmalıdır.
Sızma testi ile güvenlik açığı (zaafiyet) taraması arasındaki PCI DSS’nin gerektirdiği farklar aşağıdaki şekilde özetlenebilir:
Zaafiyet testleri İstismar edilmesi durumunda sistemin kasıtlı veya kasıtsız olarak tehlikeye atılmasına yol açabilecek güvenlik açıklarını belirlemek, derecelendirmek ve raporlamak için en az üç ayda bir ve önemli değişikliklerden sonra ve tipik olarak, belirlenen sorunların manuel olarak doğrulanmasıyla birlikte çeşitli otomatik araçlar kullanılarak yapılır.
Sızma testleri ise, sistem bileşenlerinin güvenlik özelliklerini atlatmak veya yenmek için güvenlik açıklarından yararlanmanın yollarını belirleyerek kapsamlı bir raporla sonuçlanan, güvenlik açığı taramasının veya diğer otomatik araçların kullanımını içerebilen manuel bir süreç ile en azından yılda bir kez ve önemli değişiklikler olduğunda yapılır.
PCI DSS, kart sahibi veri ortamını (Card Holder Data Environment – CDE) “kart sahibi verilerini veya hassas kimlik doğrulama verilerini depolayan, işleyen veya ileten kişiler, işlemler ve teknoloji” olarak tanımlar.
Sızma testinin kapsamı CDE çevresinin tamamını ve kritik sistemleri içerir. Bu, CDE’nin hem dış çevresi (halka açık saldırı yüzeyleri) hem de iç çevresi (LAN-LAN saldırı yüzeyleri) için geçerlidir.
Testin kapsamı, kart sahibi verilerinin konumlarını, kart sahibi verilerini depolayan, işleyen veya ileten uygulamaları, kritik ağ bağlantılarını, erişim noktalarını ve kuruluşun karmaşıklığı ve boyutuna uygun diğer hedefleri içerebilir.
Testler, CDE’deki sistemleri korumak veya kart sahibi verilerine erişmek için personel tarafından kullanılan kaynakları ve varlıkları içermelidir; çünkü bu tür varlıkların ele geçirilmesi, bir saldırganın CDE’ye erişim veya CDE’ye giden bir rota ile kimlik bilgileri elde etmesine olanak sağlayabilir.
Dış Sızma Testi
Harici sızma testinin kapsamı, CDE’nin ve genel ağ altyapılarına bağlı veya bunlara erişilebilen kritik sistemlerin açıktaki dış çevresidir. Bireysel dış IP adresleriyle sınırlı erişime sahip hizmetler de dahil olmak üzere, genel ağlardan kapsama her türlü benzersiz erişimi değerlendirmelidir.
Test hem uygulama katmanı hem de ağ katmanı değerlendirmelerini içermelidir. Dış ağ penetrasyon testleri aynı zamanda çevirmeli bağlantı ve VPN bağlantıları gibi uzaktan erişim vektörlerini de içerir.
İç Sızma Testi
Dahili penetrasyon testinin kapsamı, CDE’nin ve kritik sistemlerin iç ağ perspektifinden iç çevresidir. Test hem uygulama katmanı hem de ağ katmanı değerlendirmelerini içermelidir.
CDE’nin aynı zamanda tek dahili ağ olduğu ve dahili bir CDE çevresinin bulunmadığı durumlarda testin kapsamı genellikle kritik sistemlere odaklanacaktır. Örneğin, test faaliyetleri, kart sahibi verisini (Card Holder Data – CHD) saklayan, işleyen veya iletmeyen sistemlere yetkisiz erişimi veya bu sistemlerin kullanımını engellemeyi amaçlayan dahili erişim kontrollerini atlamaya çalışmayı içerebilir.
Dahili bir CDE çevresinin olduğu durumlarda, test kapsamının CDE çevresinin yanı sıra CDE içindeki ve dışındaki kritik sistemleri de dikkate alması gerekecektir. Örneğin, test, dahili bir ağ bölümündeki sistemlerden CDE’ye izin verilen erişim yollarından yararlanmaya çalışabilir.
Test sonucunda CDE’ye erişim elde edildiğinde, sızma testinin kapsamı, test uzmanının ağ içini keşfetmeye devam etmesine ve CDE içindeki diğer sistemlere yönelik saldırıyı ilerletmesine izin verebilir ve ayrıca herhangi bir veri sızıntısı önleme testinin test edilmesini de içerebilir.
Her durumda, iç testlerin kapsamı, spesifik ortamı ve kurumun risk değerlendirmesini dikkate almalıdır. Kuruluşların, sızma testinin kapsamının kendi ortamları için yeterli ve uygun olduğundan emin olmak için değerlendiricilerine ve penetrasyon testi uzmanına danışmaları teşvik edilir.
Segmentasyon Kontrollerini Test Etme
Bölümlendirmenin amacı kapsam dışı sistemlerin CDE’deki sistemlerle iletişim kurmasını veya CDE’nin güvenliğini etkilemesini önlemektir. Düzgün bir şekilde uygulandığında, bölümlere ayrılmış (kapsam dışı) bir sistem bileşeni, bir saldırgan kapsam dışı sistemin kontrolünü ele geçirse bile CDE’nin güvenliğini etkileyemez.
Segmentasyon kontrolleri uygulanırsa, segmentasyon yöntemlerinin amaçlandığı gibi çalıştığını ve kapsam dışı tüm sistem ve ağların CDE’deki sistemlerden izole edildiğini doğrulamak için kontrollerin test edilmesi gerekir. Segmentasyon testinin kapsamı, CDE’ye bağlantıları olmadığını ve CDE’nin güvenliğini etkilemek için kullanılamayacağını doğrulamak amacıyla PCI DSS kapsamı dışında olduğu düşünülen tüm ağları ve sistemleri dikkate almalıdır.
Bu değerlendirmenin amacı, kapsam dışı ortamları CDE’den ayıran bölümleme kontrollerinin etkinliğini doğrulamak ve kontrollerin amaçlandığı gibi çalıştığından emin olmaktır.