PCI DSS uyumluluğu için Uygulama Programlama Arayüzü (API) testi


[ This article was originally published here ]

Bu, bir AT&T Siber Güvenlik danışmanı tarafından yazılan, PCI DSS’ye odaklanan serideki dördüncü blogdur. IAM ve PCI DSS ile ilgili ilk bloga bakın . Üç ayda bir CDE testleri sözleşmesi yaparken emin olmak için PCI DSS raporlama ayrıntılarıyla ilgili ikinci bloga bakın . PCI DSS uyumluluğu için ağ ve veri akış şemaları hakkındaki üçüncü blog.

Ödeme Kartı Endüstrisi (PCI) Veri Güvenliği Standardı (DSS) v3.2.1’in Gereksinim 6’sı, API’ler uygulamalarda büyük bir şey haline gelmeden önce yazılmıştır ve bu nedenle onları büyük ölçüde görmezden gelir.

Ancak, ve PCI’den gelenler, bunları ele almanın önemini anlamaya başladılar.

Açık Web Uygulaması Güvenliği Projesi (OWASP), 2019’da alt gruplarından biri olan API’ler için özel olarak en iyi 10 kusur listesini yayınladı. API’ler CDE’de mevcutsa veya CDE’nin güvenliğini etkileyebiliyorsa, bunlar bir kapsam dahilindedir. değerlendirme.

API testi, geleneksel güvenlik duvarını, web uygulaması güvenlik duvarını ve birlikte var olan birden çok oturumu ele aldığı ve bir uygulamanın uğraştığını belirttiği testi aşar. Durum bilgileri ve verileri de dahil olmak üzere bu oturumların birbirinden yeterince ayrıldığını doğrulamak için bulanıklaştırma teknikleri (oturum tanımlayıcıları gibi veri alanlarının otomatik manipülasyonu) kullanır.

Örnek olarak: tüketici-A, tüketici-B’nin oturum verilerine erişememeli veya tüketici-A’nın muhtemelen kimliği doğrulanmamış oturumunu uygulama veya sunucuların daha ilerisine taşımak için tüketici-B’nin oturumundaki bilgileri sırtına koyamamalıdır. API testi ayrıca, API’ler aracılığıyla kullanılabilen herhangi bir yönetim görevinin (yeni hesap oluşturma gibi) yeterince doğrulanmış, yetkilendirilmiş ve ele geçirilmeye karşı dayanıklı olmasını sağlayacaktır.

Yalnızca 10 yöntem içeren bir API’de bile OWASP’ın en önemli 10 sorununun tümünün korunduğundan emin olmak için yürütülmesi gereken 1.000’den fazla test olabilir. Bu tür testlerin çoğu, başlamak için (API tanım dosyası) ve çalışmak için farklı ayrıcalıklara sahip test kullanıcı kimliklerinden oluşan bir seçim gerektirir.

API testi, API’nin bu olaylar için günlük oluşturmaması veya günlük hedefinin SIEM ile entegre olmaması nedeniyle bazı yararlı günlüklerin ve dolayısıyla uyarıların gerçekleşmediğini de potansiyel olarak ortaya çıkaracaktır. Bu nedenle, PCI için gerekli tüm olayların gerçekten kaydedildiğinden emin olmak için API’nin yeniden tasarlanması gerekebilir (özellikle erişim kontrolü, hesap yönetimi ve yükseltilmiş ayrıcalık kullanımı ile ilgili olduğunda). PCI DSS v4.0, belirli durumlarda günlüğe kaydetme ihtiyacını genişletmiştir, bu nedenle gerekli tüm yollar için günlük kaydı paradigmasını doğrulamak üzere testlerin yapıldığından emin olun.

Son olarak, hem dahili hem de harici olarak erişilebilen API’ler test edilmelidir çünkü PCI için en az ayrıcalık, herhangi bir yetkisiz kişinin kendi iş sorumluluklarıyla ilgili olmayan işlevlere erişmesinin yeterince engellenmesini gerektirir.

AT&T Cybersecurity, riski yönetme ve şirketinizi güvende tutma yolculuğunuzda size yardımcı olacak çok çeşitli danışmanlık hizmetleri sunar. PCI-DSS danışmanlığı, yardımcı olabileceğimiz alanlardan yalnızca biridir. Çıkış yapmak .

reklam



Source link