Tipps zur Erfüllung der PCI DSS Patching-Anforderungen
Hacker haben es häufig auf Daten der Zahlungskartenindustrie (PCI) abgesehen. Um sich davor zu schützen, wurden Compliance-Regelungen wie der PCI-Datensicherheitsstandard (PCI DSS) eingeführt, um Karteninhaberdaten überall dort zu schützen, wo sie verarbeitet oder gespeichert werden.
PCI DSS enthält mehrere Anforderungen, die zum Schutz der Daten von Karteninhabern beitragen sollen, einschließlich spezifischer Empfehlungen für die Behebung von Sicherheitslücken. Im Rahmen der Richtlinien zur Anwendungssicherheit informiert der PCI DSS Unternehmen über den Zeitplan für die Behebung bekannter Schwachstellen in der Technologie, die Zahlungstransaktionen unterstützt und Zahlungsdaten speichert.
In diesem Artikel befassen wir uns mit den PCI DSS-Anforderungen für das Patching und zeigen auf, was Sie tun können, um diese Anforderungen zu erfüllen, selbst wenn das Patching schwierig ist.
Was sind die PCI DSS-Anforderungen für Patching?
Der neueste PCI DSS-Standard, PCI DSS Version 4.0, wurde Ende März 2022 veröffentlicht (PCI DSS Version 3.2.1 bleibt jedoch bis März 2024 aktiv). Abgesehen von einigen Änderungen bleiben die Patching-Anforderungen in PCI DSS 4.0 ähnlich und für die Zwecke dieses Artikels beziehen wir uns auf Version 4.0 des Standards.
Unabhängig davon, welche Version Sie heranziehen, finden Sie den Inhalt der Anforderungen zum Patching in Abschnitt 6, der die Spezifikation für die Entwicklung und Wartung sicherer Software und Systeme enthält. In PCI DSS 4.0 ist der Abschnitt, der sich mit dem Patchen befasst, 6.3: "Sicherheitsschwachstellen werden identifiziert und behoben".
Patching wird in Abschnitt 6.3 einige Male erwähnt, aber die einschlägige Anforderung liegt in Punkt 6.3.3. Hier besagen die PCI DSS-Anforderungen, dass:
Alle Systemkomponenten werden wie folgt vor bekannten Schwachstellen geschützt, indem die entsprechenden Sicherheitspatches/Updates installiert werden: Kritische oder hochsichere Patches/Updates (die gemäß der Risikoeinstufung in Anforderung 6.3.1 identifiziert wurden) werden innerhalb eines Monats nach Veröffentlichung installiert.
Alle anderen zutreffenden Sicherheitspatches/Updates werden innerhalb eines von der Einrichtung festgelegten angemessenen Zeitrahmens installiert (z. B. innerhalb von drei Monaten nach Freigabe).
Zusammenfassend lässt sich sagen, dass kritische Patches innerhalb eines Monats nach Veröffentlichung des Patches eingespielt werden müssen, während weniger kritische Patches innerhalb von drei Monaten nach Veröffentlichung des Patches eingespielt werden müssen, um PCI DSS-konform zu bleiben. Die Kritikalität, wie sie in Abschnitt 6.3.1 definiert ist, ergibt sich aus einer Mischung aus den Angaben des Herstellers, unabhängigen Sicherheitsberichten und dem CVSS-Score.
PCI DSS stellt strenge Anforderungen an die Patching-Zeitpläne. Abgedeckte Organisationen, die diese Anforderungen nicht erfüllen, werden als nicht konform eingestuft.
Was Sie tun können, um die PCI DSS-Patching-Zeitpläne einzuhalten
Jedes Unternehmen hat seine eigene Herangehensweise an die Zeitvorgaben für Patches - auch wenn die Zeitvorgaben in der Praxis im Wesentlichen auf ASAP hinauslaufen. Ein unabhängiger Standard wie PCI DSS legt jedoch feste Anforderungen fest, die im Rahmen Ihrer bestehenden Cybersicherheitspraktiken schwer zu erfüllen sein könnten.
Je nach der Quelle, auf die Sie sich beziehen, kann die typische Zeit bis zum Patching zwischen von zwei Monaten bis zu fünf Monaten und Unternehmen haben in der Regel Schwierigkeiten, die Zeitvorgaben für Patches einzuhalten. Die Realität des Patchings kann leicht mit den PCI DSS-Anforderungen in Konflikt geraten. Wird ein Patch nicht schnell genug bereitgestellt, kann dies zu einer Geldstrafe führen - oder Schlimmeres.
Einige der Maßnahmen, die Ihr Unternehmen ergreifen kann, um die Zeit für Patches zu verkürzen und eine bessere Chance zu haben, PCI DSS-konform zu bleiben, sind:
- Einführung in die Sichtbarkeit. Wie bei so vielem im Bereich der Cybersicherheit können Sie nicht schützen, was Sie nicht kennen. Stellen Sie fest, auf welche Systeme Sie sich bei der Verarbeitung von Karteninhaberdaten und Zahlungen verlassen, und stellen Sie dann auch deren Abhängigkeiten dar.
- Konzentration auf das Wesentliche. Wenn Ihr Compliance-Regime - PCI DSS - verlangt, dass zahlungsrelevante Technologie rechtzeitig gepatcht wird, dann müssen Sie Ihre Ressourcen darauf konzentrieren.
- Besser kommunizieren und koordinieren. Begeben Sie sich beim Patchen nicht in den Krisenmodus: Stellen Sie sicher, dass Sie die Patching-Ziele konsequent überwachen, die Notwendigkeit von Patches den Beteiligten mitteilen und Wartungsfenster planen.
- Technologie nutzen, um das Spiel zu verändern. Zeitaufwändiges manuelles Patching mit störenden Neustarts. Prüfen Sie den Einsatz von Live-Patching für alle Ihre zahlungsrelevanten Systeme, die mit Live-Patching abgedeckt werden können. Dazu gehören Linux-Distributionen für Unternehmen, Open-Source-Bibliotheken, Datenbanken und Virtualisierungsumgebungen.
- Richtig rüsten. Die Notwendigkeit von Patches sollte für Sie keine Neuigkeit mehr sein, und es sollte Sie nicht überraschen, dass das konsistente Patchen von großen Technologiebeständen einen hohen Ressourcenbedarf mit sich bringt. Um PCI DSS-konform zu bleiben, müssen Sie angemessene Ressourcen für die Einhaltung der Patching-Vorschriften bereitstellen.
Um die Patching-Anforderungen, einschließlich der PCI DSS-Anforderungen, zu erfüllen, müssen Sie wirklich alle Hände voll zu tun haben. Dazu gehört der Einsatz aller Ihnen zur Verfügung stehenden Technologielösungen - vom Schwachstellen-Scanning bis zum Live-Patching.
Einige weitere Hinweise zum Patching in PCI DSS
Patching wird auch in einigen anderen PCI DSS-Anforderungen erwähnt. So wird in Abschnitt 1.2.5 auf die Notwendigkeit hingewiesen, aktive und verfügbare Technologiedienste zu identifizieren und zu überprüfen, ob für jeden dieser Dienste ein definierter Geschäftsbedarf besteht. Ungenutzte Dienste werden oft vergessen und bleiben daher ungepatcht und verwundbar.
Ebenso wird in Abschnitt 11.3 auf die Notwendigkeit hingewiesen, nach außen gerichtete Geräte zu scannen und sicherzustellen, dass gefundene Schwachstellen gepatcht oder anderweitig behoben werden. Auch in den verschiedenen Anhängen der Norm finden sich einige kleinere Erwähnungen.
Holen Sie sich die Hilfe, die Sie brauchen
Die Nichteinhaltung der in PCI DSS Abschnitt 6.3 festgelegten Patching-Fristen bedeutet eine Nichteinhaltung des PCI DSS-Standards. Eine Organisation, die den Anforderungen des PCI DSS unterliegt fällt, muss mit hohen Geldstrafen rechnen wenn die Nichteinhaltung festgestellt wird.
Außerdem besteht das Risiko, dass unzureichende Patches zu einer Sicherheitslücke führen, was hohe Kosten für die Bereinigung und sogar die Schließung des Unternehmens nach sich ziehen kann.
Wir von TuxCare können Ihren Patching-Ansatz beschleunigen und es deutlich einfacher machen, die PCI DSS-Konformität zu erreichen und zu erhalten.
Mit unseren Live-Patching-Lösungen erhalten Ihre Systeme die neuesten Linux-Schwachstellen-Patches, sobald sie verfügbar sind. Mit TuxCare werden die Patches automatisch im Hintergrund verteilt, während die Systeme laufen, ohne dass Ihr Team ein Wartungsfenster oder einen Neustart einplanen muss.
TuxCare Live-Patching deckt die gängigsten Enterprise-Linux-Betriebssysteme sowie gängige Open-Source-Bibliotheken und -Datenbanken ab - und das auch in Virtualisierungsumgebungen. Lesen Sie hier mehr über das Angebot an Live-Patching-Lösungen von TuxCare.