盡管PCI DSS 3.0版本已經全面推出，但仍然有很多關于企業難以遵守11.3章節中列出的PCI滲透測試要求的討論。

[[146993]]

為了幫助企業充分了解PCI DSS 3.0要求，PCI安全標準委員會在2015年3月發布了PCI DSS補充信息：滲透測試指南。該文檔詳細介紹了滲透測試過程的一般方法，從范圍界定到測試不同的網絡層，再到測試后續步驟(例如報告)等。

PCI滲透測試文檔以及PCI DSS合規所要求的方法的優點是，并沒有什么新東西。除了提到云計算環境、網絡釣魚以及縮小持卡人數據環境范圍等新概念外，這些滲透測試/安全評估其實做法已經存在多年。當筆者在2003年撰寫《Hacking For Dummies》第一版時，筆者就在研究其中一些主題，當時這方面的資源已經相當普遍，例如像黑客一樣思考到跨不同操作系統平臺的獨特漏洞利用，以及執行滲透測試的特定方法等，這些信息主要是以開源安全測試方法(OSSTMM)的形式提供，還有很多白皮書、文章等。

讓我們快進到2015年。

筆者不知道是否應該將其稱為分析癱瘓、缺乏預算或只是執行管理部分的緩兵之計，但好像很多人都在等待PCI安全標準委員會告訴他們如何做十多年來已經良好記錄的事情。

企業應該閱讀完整的PCI滲透測試指南文件，而下面是企業應該注意的六個重要方面：

• 該文檔討論了應用環境身份驗證測試方面的要求—這是滲透測試中經常被忽視但非常重要的組成部分。

• 該文檔還介紹了什么被認為是對系統的“重大改變”--以便在對持卡人數據環境中任何系統進行代碼或相關更新后可以進行后續滲透測試。

• 該文檔提到了做這項工作的安全專業人員獲得的證書以及過往的經驗的重要性—與其他領域一樣，更多經驗往往更好，當然還需要漏洞掃描儀、網絡分析儀和漏洞利用工具包等工具，他們還應該知道如何有效地使用它們。

• 另外，滲透測試特定規則經常被忽視，這可能在滲透測試過程中或測試后制造問題，例如漏洞利用需要多么深入以及如何處理在測試中發現的敏感數據等。筆者非常高興該文檔解決了可能阻止測試(WAF和IPSes等)的安全控制，很多人以為他們有這些控制就不會發現漏洞或出現漏洞利用，一切都很好。對于白名單或禁用這些積極保護措施，該滲透測試指南明確指出它可“幫助確保服務本身得到正確配置，并在主動保護系統出現故障或以某種方式被擊敗或被攻擊者繞過時控制漏洞利用的風險。”

• 該文檔中還提供了圍繞社會工程學的建議，包括網絡釣魚測試，以檢測持卡人數據環境是否能從這個角度被利用。

• 企業還應該保留測試詳細信息的證據(包括具體的調查結果)，確保可根據要求提供。

除了越來越復雜的網絡，以及PCI DSS和一般安全測試最佳做法的細微區別，這其實與我們過去的做法沒有太多不同。不要試圖下車去尋找新的東西，在賽車運動中，我們知道，如果我們專注于我們前進的方向，汽車就會開往該方向。這個道理同樣適用于信息安全領域，在這種情況下，也適用于PCI DSS滲透測試要求。你現在應該知道需要做什么事情，你只需要深入閱讀該滲透測試要求，或者完全外包滲透測試功能。

你還可以看看NIST SP800-115—信息安全測試和評估技術指南，以及OSSTMM和有關漏洞掃描和滲透測試的其他資源。如果你認真研讀這些一般準則，就不會有太大問題。

展望未來，如果你無法完全遵守新的PCI DSS規則怎么辦?對于這些要求，無論你做或者不做某些事情，你做的任何決定都會產生后果。我認為最重要的事情是你應該從今天開始做出合理的一致的努力，以改進現有的滲透測試和整體安全計劃。在我看來，執行基本漏洞掃描的人將會是最大的審查目標，而根本不是測試本身。

你不一定需要部署完美的安全測試計劃，但你肯定不希望被排在最后，你可以保持在中間的位置，并以持續改進作為目標。