Kiểm Thử Xâm Nhập Mạng
Tuân Thủ PCI DSS - Cổng Thanh Toán
Kiểm thử xâm nhập mạng bên ngoài trên môi trường Tiêu Chuẩn Bảo Mật Dữ Liệu Ngành Thẻ Thanh Toán (PCI DSS), bao gồm 100 IP công khai trong Môi Trường Dữ Liệu Chủ Thẻ (CDE) cho cổng thanh toán điện tử.
Tổng Quan Dự Án
Ngành
Cổng Thanh Toán
Loại Kiểm Thử
Kiểm Thử Mạng Black-box Bên Ngoài
Thời Gian
2 tuần
Thách Thức & Mục Tiêu
Thách Thức
Cách ly và bảo vệ nghiêm ngặt CDE theo PCI DSS, với các cấu hình sai tiềm ẩn trong tường lửa và thiết bị mạng có thể lộ dữ liệu chủ thẻ nhạy cảm.
Mục Tiêu
- Cung cấp bằng chứng cho tuân thủ PCI DSS hàng năm (Yêu cầu 11.3)
- Bảo mật các dịch vụ công khai và vành đai mạng
- Xác định cấu hình sai mạng và giao thức yếu
Phương Pháp
Kiểm Thử Black-box Bên Ngoài
Mô phỏng các cuộc tấn công bên ngoài thực tế vào vành đai mạng
Quét Port & Liệt Kê
Liệt kê dịch vụ và phân tích cấu hình trên 100 IP
Đánh Giá Lỗ Hổng
Xác định cấu hình sai và điểm yếu bảo mật
Căn Chỉnh PCI DSS
Căn chỉnh kiểm thử với Yêu cầu PCI DSS 11.3
Phát Hiện Chính (1 lỗ hổng)
ADB Không Xác Thực (Port 5555)
Một máy chủ trong CDE có ADB lộ mà không có xác thực. Có thể cho phép truy cập tệp từ xa hoặc thực thi lệnh.
Khuyến Nghị
Vô hiệu hóa ADB trên mạng, thêm ACL hoặc quy tắc tường lửa để chặn port 5555 từ các nguồn không tin cậy.
Giá Trị Mang Lại
Tuân Thủ PCI DSS
Đạt được tuân thủ với bằng chứng kiểm thử xâm nhập được ghi chép
Bảo Mật CDE
Khắc phục kịp thời cấu hình sai quan trọng bảo vệ dữ liệu chủ thẻ
Củng Cố Mạng
Cải thiện vận hành và quản lý các dịch vụ debug