С 1 июля 2015 года вступила в силу внеочередная версия стандарта PCI DSS 3.1, в которой Совет по стандартам безопасности данных индустрии платежных карт (PCI SSC) для предотвращения потенциальных утечек данных владельцев платежных карт ввел ограничения на использование протоколов Secure Sockets Layer (SSL) и Transport Layer Security (TLS) ранних версий.
Ранее специалисты Национального института стандартов и технологий США (NIST) рекомендовали отказаться от использования протоколов SSL и ранних версий Transport Layer Security (TLS) вследствие выявленных уязвимостей (недостаточно защищенными считаются версия TLS 1.0 и некоторые реализации версии 1.1.).
PCI SSC выпустил также информационное дополнение, отвечающее на ряд актуальных вопросов, объясняющее причины появления внеочередной версии стандарта и разъясняющее порядок миграции с SSL и ранних версий TLS. В настоящей статье приводится краткий обзор данной публикации.
Что изменилось в PCI DSS
Основные изменения в PCI DSS 3.1 коснулись пунктов, в которых SSL упоминался в качестве примера алгоритма, использующего стойкое шифрование. По требованиям новой версии стандарта компании, обрабатывающие данные владельцев платежных карт, должны отказаться от уязвимых версий протоколов до 30 июня 2016 года.
Возможность использования уязвимых протоколов наравне с защищенными должна быть отключена незамедлительно, при этом использование клиентами сайтов электронной коммерции устаревших версий веб-браузеров не является достаточным основанием для использования уязвимых протоколов.
Решения, в которых нет обоснованной необходимости применять уязвимые версии протоколов, должны использовать только безопасные протоколы и стойкую криптографию, а также не допускать использование уязвимых версий протоколов. Для решений, в которых есть обоснованная необходимость использования уязвимых версий протоколов, должен быть разработан план снижения рисков и миграции.
Что делать
Для планомерного отказа от уязвимых версий протоколов прежде всего необходимо определить, где и для какой цели они используются, оценить необходимость их дальнейшего применения и возможности организации миграции на более защищенные решения.
Если немедленный отказ от небезопасных протоколов объективно невозможен, следует разработать план миграции, предусматривающий окончание работ не позднее 30 июня 2016 года. Кроме того, на период миграции необходимо разработать и внедрить план снижения рисков.
Несмотря на жесткие сроки миграции, PCI SSC признает, что среда использования терминалов в точках продаж и точках взаимодействия (POS и POI терминалы) менее уязвима для атак злоумышленников на устаревшие протоколы, поэтому для POS- и POI-терминалов, а также для точек их подключения допускается использовать уязвимые проколы (в том числе после 30 июня 2016 года) при условии, что эти уязвимости не могут быть использованы злоумышленником.
В информационном дополнении приводятся подробные инструкции по составу плана снижения рисков и миграции. На основе этих инструкций специалисты УЦСБ разработали алгоритм действий, приведенный на рисунке.
Чем заменить SSL
Альтернатив уязвимым версиям протоколов немного. PCI SSC рекомендует при выборе вариантов миграции учитывать технические и бизнес-особенности конкретной среды. В качестве вариантов миграции предлагаются:
• обновление до последней версии TLS (1.2) и настройка конфигурации, не допускающей возврат к SSL или ранним версиям TLS;
• шифрование данных стойкими алгоритмами перед отправкой по уязвимым протоколам (например, использование дополнительного шифрования полей или шифрования на уровне приложений перед передачей данных);
Компании, обрабатывающие данные владельцев платежных карт, по требованиям новой версии стандарта PCI DSS должны отказаться от уязвимых версий протоколов до 30 июня 2016 года
установка зашифрованного сеанса (например, IPsec-туннеля) с последующей передачей данных через SSL по защищенному туннелю.
Дополнительно для обеспечения надежной аутентификации пользователей может применяться двухфакторная аутентификация.
Что такое план снижения рисков и миграции
План снижения рисков и миграции детализирует процесс миграции на безопасные протоколы, а также описывает меры, принятые для снижения рисков, связанных с использованием уязвимых протоколов на период миграции. PCI SSC рекомендует включить в план снижения рисков и миграции следующую информацию:
• как используются уязвимые протоколы: указываются тип среды использования (например, способ приема платежей); данные, которые передаются; количество и типы систем, использующих уязвимые протоколы;
• результаты оценки рисков и меры по снижению рисков, которые должны быть документированы, меры по снижению рисков должны быть внедрены и применяться до полного устранения уязвимых версий протоколов;
АТАКИ С УЯЗВИМОСТЯМИ SSL И TLS
POODLE позволяет извлечь и расшифровать идентификаторы сеанса и коды доступа из защищенного канала связи; BREACH извлекает информацию из архивированного и зашифрованного HTTPS-трафика; CRIME позволяет декодировать HTTPS-сессии; BEAST дешифрует Cookie, передаваемую по защищенному соединению SSL 3.0 или TLS 1.0
• описание процессов, реализованных для отслеживания новых уязвимостей, связанных с использованием SSL и ранних версий TLS (необходимо отслеживать появление новых уязвимостей и при их появлении оценивать риски информационной безопасности и необходимость внедрения дополнительных мер по снижению рисков, пока процесс миграции не будет завершен);
• описание процессов управления изменениями, обеспечивающих отсутствие поддержки уязвимых протоколов, в решениях, в которых они не требуются (процесс управления изменениями должен включать оценку влияния изменений, чтобы убедиться в том, что изменения не образовали брешь в системе безопасности);
• обзор плана миграции (описание плана миграции включает перечень уязвимых информационных систем или их компонентов и сроки их миграции, а также планируемую дату завершения миграции, — не позднее 30 июня 2016 года).
Миграция должна быть завершена не позднее 30 июня 2016 года. Дата миграции не зависит от количества данных платежных карт, которые были (будут) скомпрометированы. Политика PCI DSS направлена на принятие эффективных мер по обеспечению информационной безопасности, прежде чем возникнут потенциальные нарушения.
Как снизить риски
При использовании уязвимых протоколов внедрение и последующее использование мер по снижению рисков помогает защитить уязвимую информационную систему до завершения миграции.
PCI SSC предлагает следующие меры, которые помогут уменьшить риски:
• минимизация поверхности атаки за счет сохранения функций, использующих уязвимые протоколы, на меньшем количестве систем и сокращение количества систем, поддерживающих уязвимые протоколы;
• удаление или отключение веб-браузеров, JavaScript и сеансовых куки (Cookies) там, где это возможно;
PCI SSC рекомендует при выборе вариантов миграции учитывать технические и бизнес-особенности конкретной среды
ограничение количества соединений, использующих уязвимые протоколы, при помощи обнаружения и блокирования запросов на понижение версии протокола;
• ограничение использования уязвимых протоколов конкретными объектами (например, настройкой межсетевого экрана разрешить SSL и ранние версии TLS только определенным IP-адресам и заблокировать указанный трафик для остальных);
• повышение эффективности обнаружения (предотвращения) вторжений путем расширения зоны действия систем обнаружения и предотвращения вторжений (IDS и IPS), обновления сигнатур и блокирования вредоносной активности;
• активный мониторинг подозрительных действий (например, обнаружение увеличения количества запросов на возврат к уязвимым версиям) и адекватное реагирование на них.
Как быть с ASV-сканированием
ASV-сканирование — это автоматизированная проверка точек подключения информационных систем к сети Интернет на наличие уязвимостей. SSL и ранние версии TLS содержат ряд уязвимостей с оценкой 4.3 по единой системе оценки уязвимостей (CVSS). Любые уязвимости со средним или высоким уровнем риска (то есть уязвимости с оценкой 4.0 и выше) должны быть устранены, и должно быть проведено повторное сканирование для подтверждения, что проблема решена.
Однако, поскольку не существует возможности исправить некоторые уязвимости, PCI SSC рекомендует перейти на безопасные альтернативы. Организациям, которые не могут незамедлительно отказаться от использования уязвимых проколов, рекомендуется воспользоваться следующими сценариями:
• до 30 июня 2016 года: организации, не завершившие миграцию, должны предоставить ASV документальное подтверждение того, что они разработали план снижения рисков и миграции и работают над его внедрением в срок. Полученное подтверждение должно быть документировано ASV как «исключение» в соответствии с разделом «Исключения, ложные срабатывания или компенсирующие меры»;
• после 30 июня 2016 года: наличие уязвимостей можно оспорить лишь при наличии компенсирующих мер.