滲透測試

<u>網路找來的，僅供參考</u>

概述
PCI DSS 要求 11.3 主要針對滲透測試，此測試與 PCI DSS 要求 11.2 中所要求的外部和內部
漏洞評估有所不同。漏洞評估僅能夠識別並報告已知的漏洞，而滲透測試則嘗試利用這些
漏洞來確定是否有未授權的存取或其他惡意活動。滲透測試應該包含網路和應用層的測試
以及圍繞網路和應用程式的控制和程序，並且應該從網路外部嘗試進入（外部測試）以及
從網路內部進行。

執行滲透測試的人選
PCI DSS 不要求由 QSA 或 ASV 來執行滲透測試—它可由合格的內部人員或合格的第三方
來執行。若由內部人員執行滲透測試，則此類人員需有滲透測試的經驗。執行滲透測試的
人員應該有組織地與正在測試的環境管理工作分離。例如，防火牆的管理員不應該執行防
火牆滲透測試。

報告與記錄
我們建議您記錄滲透測試的方法和結果。PCI SSC 對此類滲透測試沒有任何報告方面的要
求，但是此類結果可保留以用於對已知問題的跟進，還可作為執行 PCI DSS 的評估者要審
核的證據。

範圍
滲透測試的範圍是持卡人資料環境和與之連接的所有系統和網路。若網路區段可以將其他
系統與持卡人資料環境隔離，且此類網路區段已作為 PCI DSS 評估的一部分經過驗證，則
滲透測試的範圍可僅限於持卡人資料環境。

頻率
至少每年應進行一次滲透測試，或在出現任何重要的基礎架構或應用程式升級或修改時
（如安裝新的系統元件、新增子網路或網路伺服器）執行。「重要」的定義與所給定環境
的設定密切相關，PCI SSC 無法對它們進行定義。若升級或修改可能會影響或允許存取持
卡人資料，則可視為重要的變更。在高度分段的網路中，持卡人資料與其他資料和功能完
全隔離，其重要性與任何個人或裝置均可能存取持卡人資料的平面網路有極大的不同。作
為最佳安全實踐，所有的升級與修改需進行滲透測試，以確保控制功能在升級或修改後仍
能夠有效地繼續工作。

準備工作
有幾種可用於滲透測試的方法。第一個需要進行的準備工作是確定測試者對需測試系統的
瞭解程度。沒有任何經驗而進行的測試被稱為「黑箱測試」，測試者必須在進行任何嘗試
前首先找出系統的位置。擁有清晰的知識被稱為「白箱測試」。
若確認測試者對目標預先瞭解將有助於測試，PCI DSS 的其他要求會需要一些項目來產生
可用的資訊。這些 PCI DSS 項目包括：
• 網路圖 (1.1.2)
• QSA 審核或自行評估調查問卷 (SAQ) 的結果
• 年度控制測試，以尋找漏洞並阻止未經授權的存取(11.1)
• 季度性外部和內部漏洞掃描的結果(11.2)
本文件旨在提供補充資訊。此處提供的資訊無法取代 PCI 資料安全標準 (DSS) 的要求 11.3。3
補充資訊：支付卡行業資料安全標準 (PCI DSS) 要求 11.3 滲透測試
• 上次滲透測試的結果(11.3)
• 每年找出的威脅和漏洞，進而進行風險評估(12.1.2)
• 安全政策的年度審核（需要更新的政策可能會識別機構內的新風險）(12.1.3)
以上所有文件均需經過評估，並且應該將正常評估過程中所發現的漏洞和威脅列入考量。

方法
威脅和漏洞一旦經過評估，即需設計測試以解決環境內所有已識別的風險。滲透測試應該
根據機構的複雜性和規模執行。持卡人資料的所有位置，儲存、處理或傳輸持卡人資料的
所有關鍵應用程式，所有關鍵網路連接，以及所有關鍵存取點均需列入考量。滲透測試應
該嘗試利用持卡人資料環境中的漏洞和弱點，以嘗試滲透網路層級和關鍵應用程式。滲透
測試的目標是確定非授權存取是否能夠存取關鍵系統和檔案。若能夠存取，則該漏洞需被
修正，並再次執行滲透測試直到測試成功，非授權存取和其他惡意行為無法達到其目的。

元件
考慮將所有此類滲透測試技術（以及其他）納入方法之中，如社會工程以及對已暴露漏洞
的利用、對關鍵系統和檔案的存取控制、面向網路的應用程式、自訂應用程式以及無線連
接。

重要考量
• 當關係到 PCI 遵從性時，可能會導致 DoS 攻擊（此類攻擊的目標為資源（網路/伺
服器）的可用性）的漏洞或錯誤設定測試不應作為滲透測試考量，因為此類漏洞不
會對持卡人的資料造成威脅。
• 向機構內所有相關各方通報滲透測試的時間和範圍。
• 執行測試需遵守公司重要的程序，包括變更控制、業務連續性和災難復原。
• 所有滲透測試應該在受監控的維護期間進行。