11.5.1
Определенные Требования к Подходу:
Методы обнаружения вторжений и/или предотвращения вторжений используются для обнаружения и/или предотвращения вторжений в сеть следующим образом:

Цель Индивидуального подхода:
Реализованы механизмы обнаружения подозрительного или аномального сетевого трафика в режиме реального времени, который может указывать на активность субъекта угрозы. Предупреждения, генерируемые этими механизмами, реагируются персоналом или автоматизированными средствами, которые гарантируют, что компоненты системы не могут быть скомпрометированы в результате обнаруженной активности.

Определенные Процедуры Тестирования Подхода:

Цель:
Методы обнаружения вторжений и/или предотвращения вторжений (такие как IDS/IPS) сравнивают трафик, поступающий в сеть, с известными “сигнатурами” и/или поведением тысяч типов компрометации (хакерские инструменты, трояны и другие вредоносные программы), а затем отправляют предупреждения и/или останавливают попытку как это случается. Без упреждающего подхода к обнаружению несанкционированной активности атаки на компьютерные ресурсы (или неправильное использование) могут оставаться незамеченными в течение длительного периода времени. Влияние вторжения в CDE во многих отношениях зависит от времени, которое злоумышленник проводит в среде, прежде чем его обнаружат.

Надлежащая практика:
Сигналы безопасности, генерируемые с помощью этих методов, должны постоянно контролироваться, чтобы можно было остановить попытки или фактические вторжения и ограничить потенциальный ущерб.

Определения:
Критические местоположения могут включать, но не ограничиваться ими, средства управления сетевой безопасностью между сегментами сети (например, между DMZ и внутренней сетью или между внутренней и внешней сетью) и точки защиты соединений между менее надежным и более надежным системным компонентом.

11.5.1.1
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Методы обнаружения вторжений и/или предотвращения вторжений обнаруживают, предупреждают о /предотвращают и устраняют скрытые каналы связи с вредоносными программами.

Цель Индивидуального подхода:
Существуют механизмы для обнаружения и предупреждения/предотвращения тайных коммуникаций с системами управления и управления. На предупреждения, генерируемые этими механизмами, реагирует персонал или автоматизированные средства, которые обеспечивают блокировку таких сообщений.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Обнаружение скрытых попыток передачи вредоносных программ (например, туннелирование DNS) может помочь блокировать распространение вредоносных программ в сети и эксфильтрацию данных. При принятии решения о том, где разместить этот контроль, организации должны учитывать критические местоположения в сети и вероятные маршруты для скрытых каналов.
Когда вредоносная программа закрепляется в зараженной среде, она часто пытается установить канал связи с сервером управления и контроля (C&C). Через сервер C&C злоумышленник взаимодействует с вредоносными программами в скомпрометированных системах и контролирует их, чтобы доставлять вредоносные полезные нагрузки или инструкции или инициировать эксфильтрацию данных. Во многих случаях вредоносная программа будет взаимодействовать с сервером C & C косвенно через ботнеты, минуя мониторинг, блокируя средства управления и делая эти методы неэффективными для обнаружения скрытых каналов.

Надлежащая практика:
Методы, которые могут помочь обнаружить и устранить каналы передачи вредоносных программ, включают сканирование конечных точек в реальном времени, фильтрацию исходящего трафика, список ”разрешить”, средства предотвращения потери данных и средства мониторинга сетевой безопасности, такие как IDS/IPS. Кроме того, DNS-запросы и ответы являются ключевым источником данных, используемым сетевыми защитниками для поддержки реагирования на инциденты, а также обнаружения вторжений. Когда эти транзакции собираются для обработки и анализа, они могут включать ряд ценных сценариев анализа безопасности.
Важно, чтобы организации поддерживали актуальную информацию о режимах работы вредоносных программ, поскольку их устранение может помочь обнаружить и ограничить воздействие вредоносных программ в окружающей среде.

11.5.2
Определенные Требования к Подходу:
Механизм обнаружения изменений (например, средства мониторинга целостности файлов) развертывается следующим образом:

Цель Индивидуального подхода:
Критически важные файлы не могут быть изменены неавторизованным персоналом без создания предупреждения.

Примечания по применению:
Для целей обнаружения изменений критическими файлами обычно являются те, которые регулярно не изменяются, но изменение которых может указывать на компрометацию системы или риск компрометации. Механизмы обнаружения изменений, такие как продукты мониторинга целостности файлов, обычно поставляются с предварительно настроенными критически важными файлами для соответствующей операционной системы. Другие важные файлы, например файлы для пользовательских приложений, должны быть оценены и определены организацией (то есть продавцом или поставщиком услуг).

Определенные Процедуры Тестирования Подхода:

Цель:
Изменения в критически важных системных, конфигурационных или содержательных файлах могут указывать на то, что злоумышленник получил доступ к системе организации. Такие изменения могут позволить злоумышленнику совершать дополнительные вредоносные действия, получать доступ к данным о держателях карт и/или осуществлять действия без обнаружения или записи.
Механизм обнаружения изменений будет обнаруживать и оценивать такие изменения в критически важных файлах и генерировать предупреждения, на которые можно реагировать в соответствии с определенными процессами, чтобы персонал мог предпринять соответствующие действия.
При неправильной реализации и отслеживании результатов решения для обнаружения изменений злоумышленник может добавлять, удалять или изменять содержимое файла конфигурации, программы операционной системы или исполняемые файлы приложений. Несанкционированные изменения, если они не будут обнаружены, могут сделать существующие меры безопасности неэффективными и/или привести к краже данных о держателях карт без заметного влияния на нормальную обработку.

Надлежащая практика:
Примеры типов файлов, которые следует отслеживать, включают, но не ограничиваются ими:

Примеры:
Решения для обнаружения изменений, такие как средства мониторинга целостности файлов (FIM), проверяют наличие изменений, дополнений и удалений в критически важных файлах и уведомляют об обнаружении таких изменений.