Wie man die Anforderung 5 der PCI-DSS erfüllt

vPierre Automation, Continuous Delivery, Datenschutz, DevOps, DevSecOps, Infrastruktur / Infrastructure, Sicherheit / Security Leave a Comment

Die 12 PCI DSS-Anforderungen sind unter dem Dach von 6 Kontrollzielen festgelegt, wobei jede Anforderung eine Reihe weiterer Unteranforderungen enthält. Die Anforderung 5 aus der PCI-DSS 3.2xbeziehen sich auf die Wartung eines Programms für das Schwachstellenmanagement.

Auszug aus PCI-DSS 3.2:
Anforderung 5: Schützen Sie alle Systeme vor Malware und aktualisieren Sie regelmäßig Antivirensoftware oder -programme.

Bösartige Software oder Malware kann leicht in ein Unternehmensnetz mit einfachen organisatorischen Funktionen wie Internetnutzung, Mitarbeiter-E-Mails, Speicherhardware usw. gelangen. Malware umfasst verschiedene Arten: Trojanern, Würmern, Viren, Spyware, Rootkits, Adware usw., die verwendet werden können, um Schwachstellen im System auszunutzen. Aus diesem Grund muss auf jedem System eine Anti-Malwaresoftware installiert sein, um es vor Malware-Bedrohungen zu schützen. Diese Software muss regelmäßig aktualisiert werden, da täglich neue Bedrohungen auftauchen.

Beschreibung der Malware

Makrovirus

Diese Viren werden hauptsächlich in Microsoft-Anwendungen gefunden. Sie werden an die Initialisierungssequenz einer Anwendung angehängt und replizieren sich selbst. Beim Öffnen der Anwendung verbinden sie sich mit anderen Bereichen des Netzs oder des Systems.

Wurm

Würmer replizieren sich innerhalb eines gesamten Netzs und müssen sich nicht unbedingt mit einer entsprechenden Anwendung anhängen.

Trojanische Pferde

Trojaner replizieren sich nicht, sondern schaffen Schwachstellen in einem Netz oder einem System, indem sie ein „Backdoor-Programm“ installieren.
Datei-Infektor Diese Viren befinden sich hauptsächlich in .exe-Dateien. Wenn solche Dateien geöffnet werden, repliziert sich der Virus selbst und wird an andere Bereiche des Systems oder Netzs angehängt.
Stealth Virus Diese Viren sind die gefährlichsten, da sie Antivirensoftware austricksen, indem sie eine infizierte Datei fälschlicherweise als sauber darstellen.

Ransomware

Über eine Sicherheitslücke dringt die Ransomware ein und fängt an die Daten zu verschlüsseln. Die Erpresser entschlüsseln die Daten gegen Zahlung von Lösegeld.

Auszug aus PCI-DSS 3.2:
5.1 Setzen Sie Anti-Malwaresoftware auf allen Systemen ein, die häufig von bösartiger Software betroffen sind (insbesondere PCs und Server).

https://www.pcisecuritystandards.org/document_library

Selbst gesicherte Systeme werden regelmäßig angegriffen, wenn neue Schwachstellen entdeckt werden und sich neue Viren ständig weiterentwickeln. Wenn der Malwareschutz nicht regelmäßig aktualisiert wird, können diese Malware-Entitäten ein System angreifen und ausnutzen, um wichtige Daten zu extrahieren. Die Einhaltung dieser Anforderung sollte durch eine Stichprobe von Systemkomponenten und die Überprüfung, ob eine aktualisierte Version von Anti-Malwaresoftware eingesetzt wird und voll funktionsfähig ist, erreicht werden.

Tip: Nutzen Sie EICAR Dateien: https://www.eicar.org/ um die Wirksamkeit ihres Schutzes zu prüfen.

Hinweis
Es gibt fortlaufend Angriffe unter Ausnutzung bekannter Sicherheitslücken. Bei diesen häufig als „0 Day“-Angriffe bezeichneten Angriffen werden ansonsten gesicherte Systeme über bislang unbekannte Sicherheitslücken angegriffen. Ohne eine regelmäßig aktualisierte Antimalwaresoftware sind diese neuen Arten von Malware in der Lage, Ihre Systeme anzugreifen, ein Netz zu deaktivieren oder Daten zu beschädigen.

Sobald der Einsatz von Antivirensoftware verifiziert ist, müssen sie auf Erkennung, Entfernung und Schutz vor den neuesten Malware-Produkten getestet werden.

Legacy IT wie Mittlere Datentechnik wie IBM AS/400 und Großrechner werden heute in der Regel nicht mehr von Malware erfasst. Selbst dann entstehen täglich neue Bedrohungen, und Branchentrends können sich jederzeit ändern. Es wird daher empfohlen, über neue Bedrohungen auf dem Laufenden zu bleiben und bei potenziellen Bedrohungen für solche Systeme proaktiv zu handeln. Das Personal sollte zur Überwachung solcher Systeme befragt und neue Trends bei bösartiger Software mitgeteilt werden, damit angemessene Schutzmechanismen implementiert werden können.

Intrusion Detection Systeme haben daher an Bedeutung gewonnen, da sie keine regelmäßigen Patches benötigen, im Gegensatz zu Anti-Malwaresoftware, die regelmäßige Patches erfordert. Ein weiterer Vorteil solcher Systeme ist, dass sie sowohl auf Systemen als auch im Netz installiert werden können. Diese Präventionssysteme sollten vor Geräten installiert werden, die Karteninhaberdaten speichern, um einen maximalen Schutz zu gewährleisten. Wenn Sie Antivirensoftware anstelle eines Einbruchsmeldesystems verwenden, stellen Sie sicher, dass Ihre Software gepatcht ist, indem Sie die Gesamtzahl der angeschlossenen Geräte mit den zu aktualisierenden Geräten vergleichen. Der Network Access Control (NAC)-Mechanismus kann auch dazu beitragen, sicherzustellen, dass auf allen einzelnen Systemen die neuesten Patches installiert sind.

Auszug aus PCI-DSS 3.2:
5.2 Bei sämtlichen Antivirensysteme muss Folgendes beachtet werden:
* Die Systeme müssen auf dem neuesten Stand gehalten werden.
* Es müssen regelmäßige Suchläufe stattfinden.
* Es sind Prüfprotokolle zu erstellen,die gemäß PCI-DSS-Anforderung 10.7 aufbewahrt werden müssen.

https://www.pcisecuritystandards.org/document_library

Es ist sehr wichtig, dass alle Antivirenprogramme regelmäßig aktualisiert werden, um den Verlust von Daten durch eine unadressierte Bedrohung zu vermeiden. Wenn es nicht regelmäßig aktualisiert wird, kann sich auch ein sehr effektiver Antivirus nicht mehr als effizient erweisen, da er nicht mit dem Wissen um neue Viren aktualisiert wird. Auditprotokolle sind ebenfalls hilfreich, da sie bei der Überwachung der Viren- und/oder Malware-Aktivität und der Reaktion des Antivirus oder der Antimalware helfen. Daher müssen Auditprotokolle gemäß der Anforderung 10 des PCI DSS aktiviert und verwaltet werden.

Auszug aus PCI-DSS 3.2:

5.3 Stellen Sie sicher, dass die Antivirensysteme aktiv ausgeführt werden und von den Benutzern weder deaktiviert noch verändert werden können, sofern keine fallweise Ausnahmegenehmigung der Geschäftsführung für einen beschränkten Zeitraum vorliegt.

https://www.pcisecuritystandards.org/document_library

Um die Einhaltung zu erreichen, müssen die folgenden Maßnahmen ergriffen werden:

  • Überprüfen Sie die Richtlinien und Verfahren des Unternehmens, um sicherzustellen, dass sie den Bedarf an aktualisierter Antivirensoftware erwähnen und bestätigen, dass sie gemäß den Richtlinien und Verfahren angewendet wird.
  • Überprüfen Sie die Antiviren-Konfiguration, um sicherzustellen, dass die Antiviren-Scans so eingestellt sind, dass sie nach bestimmten Zeiträumen automatisch gestartet werden und sich im Auto-Update-Modus befinden.
  • Überprüfen Sie durch Überprüfen der Antiviren-Konfiguration, ob die Protokollerstellung von Antiviren aktiviert ist und der Anforderung 10 entspricht.

Der Virenschutz sollte so eingerichtet sein, dass seine Einstellungen von keinem Benutzer außer dem autorisierten Personal deaktiviert oder geändert werden können. Wenn ein Antivirenprogramm kontinuierlich im Hintergrund läuft, kann es einen Virus in Echtzeit erkennen und wird ständig nach Malware-Bedrohungen suchen. Eine strenge Richtlinie, die die Änderung oder Deaktivierung des Antivirenprogramms verbietet, sollte den Mitarbeitern mitgeteilt werden, um etwaige Schwachstellen durch eine mögliche Ausnutzung zu verhindern.

Wenn der Antivirus aus irgendeinem Grund für einige Zeit deaktiviert ist, sollten zusätzliche Sicherheitsmaßnahmen ergriffen werden, wie z.B. die Deaktivierung der Internetverbindung vor der Deaktivierung des Antivirus und die Durchführung eines System-Scans nach erneuter Aktivierung. Wenn ein Antivirenprogramm aus technischen Gründen deaktiviert werden muss, muss eine Genehmigung der IT Sicherheit eingeholt werden.

Um sicherzustellen, dass alle Systeme diese Anforderung erfüllen, untersuchen Sie eine Auswahl von Systemen und vergewissern Sie sich, dass alle ihre Antivirenprogramme in Echtzeit ausgeführt werden. Stellen Sie außerdem sicher, dass keines der Antivirenprogramme der entnommenen Probe von normalen Benutzern deaktiviert oder geändert werden kann und dass nur von der Geschäftsleitung autorisiertes Personal diese Änderungen in speziellen Szenarien vornehmen kann.

Auszug aus PCI-DSS 3.2:
5.4 Sicherheitsrichtlinien und betriebliche Verfahren zum Schutz von Systemen vor Malware müssen dokumentiert sein, verwendet werden und allen Beteiligten bekannt sein.

https://www.pcisecuritystandards.org/document_library

Um sicherzustellen, dass jeder Einzelne über die Sicherheitsrichtlinien und Betriebsverfahren eines Unternehmens informiert ist und um einen maximalen Schutz des Netzs vor Malware zu gewährleisten, sollten dem Personal die Unternehmensrichtlinien und -verfahren zum Schutz vor Malware mitgeteilt werden. Um die Einhaltung der Vorschriften zu gewährleisten, sollten diese Festlegungen regelmäßig überprüft und die Mitarbeiter darauf hingewiesen werden, ihr Sicherheitsbewusstsein zu schärfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.