En el año 2006 un grupo de entidades financieras preocupados por el alto índice de fraudes con tarjetas, fundaron un consejo denominado PCI Security Standarsd Council. Este grupo esta formado por American Express, Discover Finalcial Services, JCB International, MasterCard, VISA y otras organizaciones que se han sumado a estos esfuerzos, así nació PCI DSS.
PCI DSS consiste en 12 requisitos de seguridad agrupados en 6 categorías:
- Construir y mantener redes seguras.
- Proteger la información del tarjeta habiente.
- Contar con herramientas de vulnerabilidades
- Implementar controles de acceso robustos.
- Monitorear y probar acceso a la red regularmente.
- Mantener políticas de seguridad de la información.
Para facilitar la vigilancia y apoyo en este cumplimiento del estándar PCI Council se crearon diferentes figuras, de manera que las organizaciones obtengan la ayuda adecuada de expertos en seguridad que les orienten y evalúen el cumplimiento, uno de ellos es ASV (Approved Scannig Vendor).
Hablaremos de ASV ( Approved Scannig Vendor). Es una entidad externa que está homologada por el PCI SSC. Dicha entidad cuenta con profesionales certificados para la realización de Escaneos de Vulnerabilidades. Puede consultar las empresas ASV certificadas a través del sitio web de PCI SSC:
https://listings.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors?search=Netsurion#searchresult
El cumplimiento de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) exige a todos los comercios y proveedores de servicio que almacenan, procesan o transmiten datos de titulares de tarjeta y que tengan expuestos sistemas en Internet, lleven a cabo Escaneos Externos de Vulnerabilidades de manera Trimestral.
El requerimiento 11.3.2 exige lo siguiente:
11.3.2 Los análisis trimestrales de vulnerabilidades externas deben estar a cargo de un ASV (proveedor aprobado de escaneo) que esté certificado por el PCI SSC (PCI Security Standards Council).2.- Definir el entorno que debe ser analizado por los escaneos ASV
Los escaneos ASV requieren que se incluyan todos los componentes de sistema del cliente (o utilizados por el cliente) expuestos a Internet y que forman parte del CDE ( Cardholder Data Environment) o que proporcionan una ruta de acceso al CDE.
Además de proporcionar todas las direcciones IP del alcance, el cliente también debe suministrar todos los nombres completos de dominio ( FQDN) y otras entradas únicas en las aplicaciones para todo el alcance.
Esto incluye, pero no se limita a:
- Dominios de los servidores web
- Dominios de los servidores de correo
- Dominios basados en hosting virtuales
- Las URL de servidor web que estén en directorios "ocultos" y que no se puedan alcanzar rastreando el sitio desde la página de inicio.
- Cualquier dominio público o alias de dominios
En ocasiones al cliente se le dificulta establecer el ámbito PCI, por lo que se recomienda la segmentación, que no es otra cosa más que aislar los componentes del sistema que almacenen, procesen y transmitan datos de tarjeta de los sistemas que no lo hacen.
Una segmentación adecuada puede reducir el ámbito y por lo tanto reducir el alcance de la evaluación de PCI DSS.
3.- Escaneos ASV Trimestrales
Los escaneos deben planificarse trimestralmente durante un período de 12 meses, pero hay que tener a consideración los siguientes puntos:
- Se realiza un escaneo después de cualquier cambio significativo en la red como, por ejemplo:
- Agregar un servidor y dominios al entorno
- Cambios en la topología de la red
- Modificaciones de reglas de firewall
- Actualizaciones de productos y sistemas operativos, etc.
- Si se detectan vulnerabilidades de incumplimiento tras la ejecución de un escaneo trimestral.
- Una vez que se hayan corregido dichas vulnerabilidades, se debe realizar un Escaneo de Verificación (retest) sobre los sistemas.
Cabe mencionar que, si se realizan los escaneos trimestrales y se ha conseguido no tener vulnerabilidades de incumplimiento, no significa que la organización cumpla con PCI DSS hay que cumplir el resto de los requisitos que tiene la norma.
4.- Metodología para la realización de los escaneos ASV
La metodología empleada incluye las siguientes fases:
Alcance
- Se establece comunicación con el cliente para que proporcione todos los componentes del sistema que forman parte del CDE, además de todas las direcciones IP y nombres de dominios.
- Se acuerda con el cliente la fecha y franja horaria para la realización del escaneo.
- Se notifica que, en caso de que dispongan de dispositivos que puedan ser reactivos (IPS, WAF, FW, 1&1 SiteLock, etc.,), es necesario que estén configurados para no bloquear las direcciones IP origen de las pruebas y así evitar escaneos inválidos.
Escaneo
- El ASV realiza el escaneo de vulnerabilidades a través de su solución homologada por PCI SSC.
Análisis de Resultados
- Los resultados obtenidos en el escaneo son analizados, verificando si han existido interferencias durante el escaneo. En caso afirmativo, se comunica al cliente y se planifica una nueva ejecución del escaneo.
- Se identifica la existencia de Falsos Positivos.
Informes Preliminares
- Se generan informes preliminares con los resultados obtenidos utilizando las plantillas predeterminadas por PCI SSC y se envían al cliente para su revisión siguiendo las medidas de seguridad requeridas.
Remediación y resolución de controversias
- El cliente procede a la remediación de las vulnerabilidades detectadas en el informe.
- El cliente y el ASV trabajan juntos para resolver los resultados del escaneo que son objeto de controversias como, por ejemplo, falsos positivos o la criticidad de una vulnerabilidad.
Re-escaneo (según sea necesario)
- Se procede a un re-escaneo para verificar que se han remediado las vulnerabilidades reportadas.
Informes Finales
- Se generan los informes finales utilizando las plantillas predeterminadas y se facilitan al cliente siguiendo las medidas de seguridad requeridas. Estos informes se componen de 3 documentos: Attestation Report, Executive Report y Technical report.
5.- Interferencia durante el Escaneo ASV
Para garantizar que se puedan realizar los escaneos ASV de forma confiable, no deben detectarse interferencias por sistemas de protección “activos”, si un ASV detecta que un sistema de protección activo ha bloqueado o filtrado une escaneo, entonces los resultados serán considerados incompletos y no cumplirán con lo exigido por PCI DSS, por lo que se deberá de repetir nuevamente el escaneo. Figura 1.
Algunos ejemplos de estos sistemas activos son:
- Sistemas de Prevención de Intrusiones (IPS), que pueden rechazar tráfico no malicioso con base en el comportamiento previo de la dirección IP origen.
- Web Application Firewalls (WAF), que pueden bloquear todo el tráfico desde una dirección IP con base en la cantidad de eventos realizados durante un periodo de tiempo específico
- Cortafuegos (firewalls), que pueden bloquear una direccción IP o un rango si se detecta un escaneo de puertos.
- Sistemas de control de tráfico (Quality of Service – QoS), que pueden limitar la cantidad de tráfico asignado a una dirección IP o a un rango con base en la cantidad de ancho de banda empleado.
- Filtros de spam, que pueden bloquear (blacklist) una dirección IP con base en determinados comandos de SMTP originados desde dicha IP.
Los sistemas de seguridad que no modifican dinámicamente su comportamiento, sino que mantienen un comportamiento estático basado en reglas se define como “pasivo” e incluye entre otros:
- Sistemas de Detección de Intrusiones (IDS).
- Firewalls, que están configurados para bloquear siempre determinados puertos, pero mantienen abiertos otros previamente autorizados.
- Servidores de VPN, que rechazan autenticaciones con credenciales inválidas, pero permiten accesos con credenciales válidas.
- Software antivirus, que bloquea, pone en cuarentena o elimina malware conocido basado en una base de datos o en firmas, pero permite todos los demás archivos.
Para evitar este tipo de interferencias es necesario que, durante el tiempo de ejecución del escaneo, se desactiven las protecciones temporalmente y sólo para la(s) dirección(es) IP origen del escaneo. Por tanto, se deberán realizar las siguientes acciones:
- En caso de que el cliente disponga de dispositivos que puedan ser reactivos (IPS, WAF, FW, 1&1 SiteLock, etc.,) es necesario que estén configurados para no bloquear las direcciones IP que facilite el Proveedor de Escaneos como origen de las pruebas.
6.- Pruebas que se realizan en los escaneos ASV
Las pruebas se realizan tanto a nivel de sistemas como de aplicación. No obstante, y para garantizar la seguridad del entorno del cliente durante el escaneo, PCI DSS prohíbe que se realicen las siguientes pruebas: denegación de servicio (DoS, incluyendo DDoS), explotación de buffer overflow, ataques de fuerza bruta, así como un uso excesivo del ancho de banda.
Las principales pruebas que se realizan incluyen las siguientes:
- Pruebas sobre Firewall, Routers, Switches.
- Identificación de SQL Injection.
- Pruebas sobre Servidores Web, Mail, Base de Datos, DNS.
- Identificación de Cross Site Scripting (XSS).
- Descubrimiento de puertos abiertos y servicios asociados.
- Identificación de Directory Transversal.
- Detección de Troyanos y Backdoor.
- Identificación de HTTP Splitting/header Injection.
- Identificación de sistema operativo
- Detección de software obsoleto.
- Detección de protocolos y servicios inseguros
- Análisis de la gestión de sesiones de usuario
- Análisis del mecanismo de autenticación
- Detección de software de acceso remoto
- Identificación de defectos de configuración
- Detección de falta de actualización de software
- Identificación de código inseguro en las aplicaciones web
- Detección de puntos de acceso inalámbricos
- Detección de puntos de venta (POS)
7.- Categorización de Vulnerabilidades
Las vulnerabilidades detectadas por los escaneos ASV se categorizan y se clasifican empleando dos herramientas principalmente:
-
Common Vulnerability Scoring System (CVSS). Proporciona un marco común para comunicar las características e impacto de las vulnerabilidades de TI.
-
National Vulnerability Database (NVD). Contiene los detalles de las vulnerabilidades conocidas basadas en CVE.
Puntuación CVSS |
Nivel de Severidad |
Resultados Escaneos |
Descripción |
7.0 hasta 10.0 |
Severidad Alta |
Fail | Para lograr un escaneo aprobado, estas vulnerabilidades deben corregirse, una vez corregidas se volverá a escanearse para obtener un informe aprobado. Las organizaciones deben adoptar un enfoque basado en el riesgo para corregir este tipo de vulnerabilidades, comenzando con las más críticas (calificadas con 10.0), luego las calificadas con 9, seguidas por las calificadas con 8, 7, etc., hasta que todas las vulnerabilidades calificadas de 4.0 a 10.0 sean corregido. |
4.0 hasta 6.9 |
Severidad Media |
Fail | |
0.0 hasta 3.9 |
Severidad Baja |
Pass | Se pueden lograr resultados aprobados con vulnerabilidades calificadas de 0.0 a 3.9, se alienta a las organizaciones a corregirlas, pero no es obligatorio. |
En la siguiente tabla se muestran distintas casuísticas que pueden presentarse a la hora de evaluar una vulnerabilidad identificada durante el escaneo ASV:
Vulnerabilidad | Status | Descripción |
Regla general: CVSS 0.0 - 3.9 |
PASS | Severidad Baja |
Regla general: CVSS 4.0 - 6.9 |
FAIL | Severidad Media |
Regla general: CVSS 7.0 - 10.0 |
FAIL | Severidad Alta |
Vulnerabilidades de tipo: - Denegación de Servicio (DoS, DDoS) |
PASS | No afectan al cumplimiento de PCI DSS, independientemente de su nivel de criticidad y su puntuación CVSS. |
Vulnerabilidades de tipo: - Sistemas Operativos Obsoletos - Bases de Datos abiertas a Internet - Password y Cuentas Predeterminadas - Transferencia de Zonas DNS - SQL Injection - Cross Site Scriptin (XSS) - Directory Transversal - HTTP response splitting/header injection - Backdoors/Malware - Uso de Protocolo SSL, TLS (v1.0) |
FAIL | Son considerados incumplimientos directos por parte de PCI. |
Falsos Positivos | PASS | Vulnerabilidades detectadas que no aplican al entorno o que simplemente son errores del motor de escaneo. En estos casos el cliente argumenta que la vulnerabilidad no aplica en su entorno y proporciona evidencia escrita de su justificación (captura de pantalla, archivos de configuración, etc.) El proveedor ASV realiza las verificaciones oportunas y actualiza el informe si es necesario. |
Vulnerabilidad que ha visto incrementada su puntuación CVSS respecto el anterior informe de escaneo, cambiando su status de PASS a FAIL. |
FAIL | PCI SSC define unos requerimientos mínimos de seguridad. Dichos requerimientos se actualizan periódicamente, por lo que puede provocar que las vulnerabilidades cambien su status debido a su nueva puntuación CVSS. |
8.- PCI PASS/PCI FAIL como resultado en un escaneo ASV
Para cumplir con los requerimientos de PCI SSC, el informe final de un escaneo ASV no debe contener ninguna vulnerabilidad identificada como PCI FAIL.
Esto implica, que en el informe no debe existir:
- Ninguna vulnerabilidad con un valor CVSS igual o superior a 4.0.
- Ninguna vulnerabilidad que se considere automáticamente PCI FAIL, independientemente de su puntuación CVSS (como, por ejemplo, la detección de backboor).
PCI PASS: Cuando el escaneo no ha detectado ninguna vulnerabilidad identificada como PCI FAIL en todos los componentes del alcance. Las vulnerabilidades reportadas con un CVSS inferior a 4.0 no afectan al cumplimiento.
PCI FAIL: Cuando el escaneo ha detectado, al menos, una vulnerabilidad PCI FAIL en un componente provocará automáticamente un PCI FAIL. Si esto ocurre, se debe proceder con la remediación inmediata de la(s) vulnerabilidad(s) afectada(s) y la ejecución de un nuevo escaneo ASV hasta que el informe final sea valorado como PCI PASS.
9.- Informes que se obtienen al finalizar un escaneo ASV
Al finalizar un escaneo ASV, el Proveedor Aprobado de Escaneos genera tres informes:
- Executive Report. Resumen ejecutivo de los resultados obtenidos tras el escaneo. Se identifica, para cada IP, si cumple o no los requerimientos de validación según PCI. Asimismo, se recoge el nivel global de cumplimiento (teniendo en cuenta todos los sistemas analizados) en este escaneo.
- Technical Report. Informe técnico de los resultados obtenidos tras el escaneo. Describe, para cada IP, el nivel de criticidad de las distintas vulnerabilidades identificadas, el estado de cumplimiento de cada vulnerabilidad (Pass/Fail), así como una descripción detallada de la vulnerabilidad y las recomendaciones para su solución o mitigación.
- Attestation of Scan Compliance Report. Documento que recoge, entre otra información, los datos de las personas de contacto por parte de Cliente y del ASV, número de sistemas analizados, valoración global en cuanto a nivel de cumplimiento con PCI del escaneo realizado.
10 .- Notas Especiales en Executive Report.
En el Executive Report se podrá encontrar un apartado que indica las notas especiales, estas se usan para revelar la presencia de algún software o configuraciones que pueden suponer un riesgo para el entorno PCI del cliente.
El enfoque que se le da es de una configuración o implementación insegura en lugar de una vulnerabilidad explotable.
Las notas especiales son:
Payment page scripts that are loaded and executed in the consumer’s browser - Note to scan customer: Due to increased risk to the cardholder data environment when payment page scripts are present, 1) justify the business need for the script(s) to the ASV and confirm it is implemented securely, or 2) confirm it is disabled/removed. Consult your ASV if you have questions about this Special Note.
Remote Access - Note to scan customer: Due to increased risk to the cardholder data environment when remote access software is present, 1) justify the business need for this software to the ASV and confirm it is implemented securely, or 2) confirm it is disabled/ removed. Consult your ASV if you have questions about this Special Note.
Anonymous (non-authenticated) key-agreement protocols - Note to scan customer: Due to increased risk of “man in the middle” attacks when anonymous (non-authenticated) key-agreement protocols are used, 1) justify the business need for this protocol or service to the ASV, or 2) confirm it is disabled/removed. Consult your ASV if you have questions about this Special Note.
Embedded links or code from out-of-scope domains - Note to scan customer: Due to increased risk to the cardholder data environment when embedded links redirect traffic to domains outside the merchant’s CDE scope, 1) confirm that this code is obtained from a trusted source, that the embedded links redirect to a trusted source, and that the code is implemented securely, or 2) confirm that the code has been removed. Consult your ASV if you have questions about this Special Note.
Pont-of-sale (POS) Point-of-interaction (POI) software - Note to scan customer: Due to increased risk to the cardholder data environment when a POS POI system is visible on the Internet, 1) confirm that this system needs to be visible on the Internet, that the system is implemented securely, and that original default passwords have been changed to complex passwords, or 2) confirm that the system has been reconfigured and is no longer visible to the Internet. Consult your ASV if you have questions about this Special Note.
Insecure services/industry-deprecated protocols - Note to scan customer: Insecure services and industry-deprecated protocols can lead to information disclosure or potential exploit. Due to increased risk to the cardholder data environment, 1) justify the business need for this service and confirm additional controls are in place to secure use of the service, or 2) confirm that it is disabled. Consult your ASV if you have questions about this Special Note.
Unknown services- Note to scan customer: Unidentified services have been detected. Due to increased risk to the cardholder data environment, identify the service, then either 1) justify the business need for this service and confirm it is securely implemented, or 2) identify the service and confirm that it is disabled. Consult your ASV if you have questions about this Special Note.
Gestión un Informe PCI Fail
Cuando un informe final tiene una valoración global de PCI Fail, el cliente tiene que corregir las vulnerabilidades de incumplimiento y lograr una valoración global de PCI Pass siguiendo los siguientes pasos:
Gestión de Falsos Positivos
Los Falsos Positivos son Vulnerabilidades detectadas que no aplican al entorno o que simplemente son errores del motor de escaneo.
Los exploradores de vulnerabilidades no siempre pueden acceder a la información que necesitan para determinar con precisión si existe una vulnerabilidad. Esta limitación suele dar como resultados falsos positivos.
Al finalizar un escaneo, el ASV analizará las vulnerabilidades detectadas, hará comprobaciones manuales para detectar en forma remota si alguna vulnerabilidad fuese un Falso Positivo por lo que:
- El ASV investigará ESTRICTAMENTE los falsos positivos con una puntuación base del CVSS igual o superior a 4,0.
- El ASV investigara los falsos positivos con una puntuación base del CVSS igual o inferior a 3,9.
El cliente recibirá los informes, y podrá apelar los resultados si detecta vulnerabilidades que son Falsos Positivos y solicitar la disputa de los resultados con el ASV.
Durante la investigación de disputas, el cliente está obligado a:
- Proporcionar evidencia por escrito de los hallazgos en disputa.
- Los clientes deben enviar las evidencias de que se trata de un falso positivo como: capturas de pantalla, archivos de configuración, versiones del sistema, versiones de archivos, listas de parches instalados, etc. Dichas pruebas generadas por el sistema deben ir acompañadas de una descripción de cuándo, dónde y cómo se obtuvieron (cadena de evidencia).
Durante la investigación de la disputa, el ASV está obligado a:
- Determinar si la disputa se puede validar de forma remota, si es el caso, se valida y se actualizan los informes.
- Si la validación remota no es posible, entonces el ASV debe determinar si la evidencia escrita presentada por el cliente es suficiente válida para resolver la disputa. Si la evidencia es suficiente, el ASV actualizara los informes.
- El ASV documentara la evidencia en el informe en la sección de "Excepciones, falsos positivos o controles de compensación".
- El ASV no eliminara de los informes los Falsos Positivos detectados.
- El ASV no permitirá que el cliente edite los informes.
¿Qué herramientas automáticas se utilizan para realizar los escaneos ASV?
Para realizar estos escaneos se debe utilizar herramientas homologadas por PCI DSS, en su caso Internet Security Auditors utiliza Qualys y Nessus, ya que son herramientas que cumplen con los requisitos establecidos por PCI DSS.
Las ventajas de utilizar estas herramientas son:
- Cumplen con los requisitos de PCI.
- No realizan pruebas peligrosas que pongan en riesgo el funcionamiento o la interrupción de los sistemas.
-
Realizan pruebas a nivel de red y a nivel web.
- Cuentan con el perfil adecuado para pruebas PCI ASV.
- Rastrean y descubren aplicaciones web y API.
- Detectan vulnerabilidades a través de escaneos no autenticados.
- Priorizan las vulnerabilidades utilizando OWASP Top 10 y WASC-TC.
Como conclusión, el PCI SSC requiere que todos los niveles de comerciantes realicen escaneos trimestrales mediante un ASV, no sólo para lograr cubrir el requerimiento 11, sino, para mejorar la protección contra ataques desde Internet que puedan llegar a comprometer los datos de tarjetas.
Referencias:
- PCI DSS (Payment Card Industry Data Security Standard) v4-0r2:
https://listings.pcisecuritystandards.org/documents/PCI-DSS-v4_0-LA.pdf - PCI SSI (Payment Card Industry Security Standards Council):
https://www.pcisecuritystandards.org/
Autor: Karen Sánchez - CEH
Dpto. de Auditoría