Pemantauan Integritas File – Persyaratan PCI DSS 10, 10.5.5 dan 11.5

Meskipun FIM atau Pemantauan Integritas File hanya disebutkan secara khusus dalam dua sub-persyaratan PCI DSS (10.5.5 dan 11.5), sebenarnya ini adalah salah satu langkah yang lebih penting dalam mengamankan sistem bisnis dari pencurian data kartu.

Apa itu, dan mengapa itu penting?

Sistem pemantauan Integritas File dirancang untuk melindungi data kartu dari pencurian. Tujuan utama FIM adalah untuk mendeteksi perubahan pada file dan atribut yang terkait. Namun, artikel ini memberikan latar belakang tiga dimensi berbeda untuk pemantauan integritas file, yaitu:

– FIM berbasis hash yang aman, digunakan terutama untuk pemantauan integritas file sistem

– Pemantauan integritas konten file, berguna untuk file konfigurasi dari firewall, router, dan server web

– Pemantauan akses file dan / atau folder, penting untuk melindungi data sensitif

Amankan FIM Berbasis Hash

Dalam konteks PCI DSS, file utama yang menjadi perhatian meliputi:

– File sistem misalnya apa pun yang berada di folder Windows / System32 atau SysWOW64, file program, atau untuk file kernel kunci Linux / Unix

Tujuan dari setiap sistem pemantauan integritas file berbasis hash sebagai ukuran keamanan adalah untuk memastikan bahwa hanya perubahan yang diharapkan, diinginkan dan direncanakan yang dibuat pada perangkat lingkup. Alasan melakukan ini adalah untuk mencegah pencurian data kartu melalui malware atau modifikasi program.

Bayangkan Trojan diinstal ke server Transaksi Kartu – Trojan dapat digunakan untuk mentransfer detail kartu dari server. Demikian pula, program packet sniffer dapat ditempatkan pada perangkat EPoS untuk menangkap data kartu – jika disamarkan sebagai proses Windows atau Unix yang umum dengan program dan nama proses yang sama maka akan sulit untuk dideteksi. Untuk peretasan yang lebih canggih, bagaimana dengan menanamkan ‘pintu belakang’ ke dalam file program kunci untuk memungkinkan akses ke data kartu ??

Ini semua adalah contoh insiden keamanan di mana pemantauan Integritas File sangat penting dalam mengidentifikasi ancaman.

Ingatlah bahwa pertahanan anti-virus biasanya hanya mengetahui 70% dari malware dunia dan sebuah organisasi yang terkena serangan zero-day (zero-day menandai titik waktu ketika bentuk malware baru pertama kali diidentifikasi – hanya dengan begitu sebuah remediasi atau strategi mitigasi dirumuskan tetapi perlu beberapa hari atau minggu sebelum semua perangkat diperbarui untuk melindunginya.

Seberapa jauh langkah-langkah FIM harus diambil?

Sebagai titik awal, penting untuk memantau folder Windows / System32 atau SysWOW64, ditambah Folder Program Aplikasi Pemrosesan Data Kartu utama. Untuk lokasi ini, menjalankan inventaris harian semua file sistem dalam folder ini dan mengidentifikasi semua penambahan, penghapusan, dan perubahan. Penambahan dan Penghapusan relatif mudah untuk diidentifikasi dan dievaluasi, tetapi bagaimana seharusnya perubahan diperlakukan, dan bagaimana Anda menilai signifikansi perubahan halus, seperti atribut file? Jawabannya adalah bahwa SETIAP perubahan file di lokasi kritis ini harus diperlakukan sama pentingnya. Sebagian besar pelanggaran keamanan PCI DSS profil tinggi telah dipicu melalui ‘orang dalam’ – biasanya karyawan tepercaya dengan hak admin istimewa. Untuk kejahatan dunia maya saat ini tidak ada aturan.

Pendekatan FIM yang diakui industri adalah melacak semua atribut file dan merekam hash yang aman. Setiap perubahan pada hash saat pemeriksaan integritas file dijalankan ulang adalah situasi peringatan merah – menggunakan SHA1 atau MD5, bahkan perubahan mikroskopis pada file sistem akan menunjukkan perubahan yang jelas pada nilai hash. Saat menggunakan FIM untuk mengatur keamanan file sistem kunci, tidak boleh ada perubahan yang tidak direncanakan atau tidak terduga – jika ada, itu bisa berupa file sistem versi Trojan atau backdoor-enabled.

Itulah sebabnya mengapa juga penting untuk menggunakan FIM bersama dengan sistem manajemen perubahan ‘loop tertutup’ – perubahan yang direncanakan harus dijadwalkan dan perubahan Integritas File terkait dicatat dan ditambahkan ke catatan Perubahan yang Direncanakan.

Pemantauan Integritas Konten File / File Konfigurasi

Meskipun aman hash checksum adalah cara yang sempurna untuk mengidentifikasi setiap perubahan file sistem, ini hanya memberitahu kita bahwa perubahan telah dilakukan pada file, bukan apa perubahan itu. Tentu, untuk eksekusi format biner ini adalah satu-satunya cara yang berarti untuk menyampaikan bahwa perubahan telah dibuat, tetapi cara yang lebih berharga dari pemantauan integritas file untuk file yang ‘dapat dibaca’ adalah dengan menyimpan catatan konten file. Dengan cara ini, jika ada perubahan pada file, perubahan persis yang dilakukan pada konten yang dapat dibaca dapat dilaporkan.

Misalnya, file konfigurasi web (php, aspnet, js atau javascript, XML config) dapat ditangkap oleh sistem FIM dan direkam sebagai teks yang dapat dibaca; setelah itu perubahan akan terdeteksi dan dilaporkan secara langsung.

Demikian pula, jika daftar kontrol akses firewall diedit untuk memungkinkan akses ke server kunci, atau konfigurasi startup router Cisco diubah, maka ini dapat memungkinkan peretas sepanjang waktu yang diperlukan untuk masuk ke server data kartu.

Satu poin terakhir pada pemantauan integritas konten file – Dalam area Kebijakan Keamanan / Kepatuhan, kunci dan nilai Windows Registry sering kali disertakan di bawah judul FIM. Ini perlu dipantau untuk perubahan karena banyak peretasan melibatkan modifikasi pengaturan registri. Demikian pula, sejumlah kerentanan umum dapat diidentifikasi dengan analisis pengaturan registri.

Pemantauan Akses File dan / atau Folder

Pertimbangan terakhir untuk pemantauan integritas file adalah bagaimana menangani jenis file lain yang tidak sesuai untuk nilai hash yang aman atau pelacakan konten. Misalnya, karena file log, file database dll akan selalu berubah, baik konten maupun hash juga akan terus berubah. Teknologi pemantauan integritas file yang baik akan memungkinkan file-file ini dikecualikan dari template FIM mana pun.

Namun, data kartu masih dapat dicuri tanpa deteksi kecuali tindakan lain dilakukan. Sebagai contoh skenario, dalam sistem ritel EPoS, transaksi kartu atau file rekonsiliasi dibuat dan diteruskan ke server pembayaran pusat secara terjadwal sepanjang hari perdagangan. File akan selalu berubah – mungkin file baru dibuat setiap saat dengan nama yang dicap waktu sehingga segala sesuatu tentang file tersebut selalu berubah.

File tersebut akan disimpan di perangkat EPoS dalam folder aman untuk mencegah akses pengguna ke konten. Namun, ‘orang dalam’ dengan Hak Admin ke folder dapat melihat file transaksi dan menyalin data tanpa perlu mengubah file atau atributnya. Oleh karena itu, dimensi terakhir untuk Pemantauan Integritas File adalah menghasilkan peringatan ketika ada akses ke file atau folder ini terdeteksi, dan untuk memberikan jejak audit lengkap berdasarkan nama akun yang memiliki akses ke data.

Banyak dari PCI DSS Requirement 10 berkaitan dengan pencatatan jejak audit untuk memungkinkan analisis forensik dari setiap pelanggaran setelah kejadian dan menetapkan vektor dan pelaku serangan apapun.



Source by Mark Kedgley

bnsp
%d blogger menyukai ini: