Etiquetado: 

Este debate contiene 5 respuestas, tiene 4 mensajes y lo actualizó David Acosta David Acosta hace 2 meses, 1 semana.

  • Autor
    Publicaciones
  • #48892
    Avatar
    Marcia
    Participante

    Hola, por favor, su ayuda con esta duda.
    En la definición de nuestra arquitectura para PCI, se tiene cierta configuración de puertos.
    Donde tenemos dudas es si en la ejecución del pentest, se deben abrir todos esos puertos o no.

    Gracias
    Marcia.

  • #48895
    Avatar
    Pablo Garcia
    Participante

    Hola Marcia no entiendo muy bien la pregunta, pero el pentesting hay que hacerlo sobre los elementos dentro de PCI, tal como estén configurados y se usen, en este caso debes hacer el pentesting sobre los puertos que uses y en el estado en el que los tengas, por cierto té recuerdo que deben estar documentados y autorizados en tus reglas de firewall dentro de lo establecido en el dominio 1.

    Espero haberte resuelto la duda.

    Slds

  • #48903
    Avatar
    Marcia
    Participante

    Muchas gracias Pablo, quizás no se entendió la pregunta, pero la respuesta es justo lo que necesitaba saber.
    Saludos!

  • #48978
    David Acosta
    David Acosta
    Participante

    Buenas tardes Marcia:

    Complementando la respuesta de Pablo, puedes echarle un vistazo al artículo «10 cosas que debes saber del nuevo documento de pruebas de penetración (Penetration Testing)» (https://www.pcihispano.com/10-cosas-que-debes-saber-del-nuevo-documento-de-pruebas-de-penetracion-penetration-testing/). Precisamente, el pentest debe realizarse de la forma más real posible para simular la superficie de ataque verdadera que podría tener un atacante (ya sea interno o externo). Por esto, el entorno debería estar «tal cual» como está en la operación normal, sin ningún cambio adicional.

    No obstante, el requisito 11.3 te pide desarrollar una metodología. Si en esa metodología tu acuerdas que, por ejemplo, en los controles de seguridad perimetral (como firewalls, IDS/IPS, WAF, etc.) se crearán listas blancas de las direcciones IP de quien está ejecutando el ataque (con el fin de comprobar la efectividad de «la seguridad en profundidad»), es totalmente aceptable. Precisamente, lo que hará el asesor QSA será validar que esa metodología y que los informes otorgan suficiente información para garantizar que el entorno ha sido revisado de forma correcta.

    Igualmente, ten presente que tienes a tu disposición diferentes tipos de pentest: caja negra, caja gris y caja blanca. Cada uno de ellos asume que quien ejecuta las pruebas no tiene conocimiento del entorno, tiene poco conocimiento o conoce el entorno. Siempre se puede jugar con estas variables.

    Espero que esta información te sirva.

    Saludos,

    David Acosta

  • #49454
    Avatar
    SV007
    Participante

    buenas tardes,

    con respecto al análisis de vulnerabilidades internas (req. 11.2.1) y a las pruebas de penetración internas y externas (req. 11.3.1 y 11.3.2).

    debo de hacerlo en cada uno de los equipos alcanzados o puedo tomar una muestra significativa de ellos y realizar las pruebas.

    por ejemplo tengo 10 – Windows Server 2012 R2 (5 con IIS y 5 con diferentes aplicaciones alcanzadas), podría realizar las pruebas de penetración o los análisis de vulnerabilidades a 2 servidores IIS y a los 5 servidores con app diferentes.

    Saludos,

  • #49485
    David Acosta
    David Acosta
    Participante

    Buenas tardes:

    De forma explícita no existe ninguna referencia en la documentación del PCI Council en la que se indique si en los pentest/escaneos de vulnerabilidades se puede usar o no un muestreo.

    Desde mi perspectiva, el uso de un muestreo es aplicable cuando existe una gran cantidad de equipos con configuraciones altamente estandarizadas y en entornos muy similares (por ejemplo una cadena de supermercados con múltiples tiendas, cada una de ellas siguiendo un mismo modelo de TI). Pero para el escenario que me indicas, no lo vería viable ya que son pocos equipos y tampoco veo clara una justificación para aplicar un muestreo.

    No obstante, si puedes garantizar que los equipos en el muestreo son muy similares en términos de configuración (por ejemplo, máquinas virtuales con origen en una misma imagen y con pocos o ningún cambio entre ellos o equipos en autoescalado (autoscaling) en entornos cloud), se podría revisar esta opción y agregarla dentro de la metodología de pentest exigida en el req. 11.3. Pero si son servidores independientes, con configuraciones heterogéneas y con servicios/protocolos/aplicaciones/usuarios diferentes, dudo mucho que se pueda equiparar el riesgo de cada uno de estos equipos con el resultado de un pentest proveniente de una muestra.

    Échale un vistazo al artículo «10 cosas que debes saber del nuevo documento de pruebas de penetración (Penetration Testing)» https://www.pcihispano.com/10-cosas-que-debes-saber-del-nuevo-documento-de-pruebas-de-penetracion-penetration-testing/ que contiene más información respecto al pentest.

    Saludos,

    David

Debes estar registrado para responder a este debate.