24 jul. 2019

Fin del soporte de Windows 7 y Windows Server 2008 (WS2K8) y su impacto en PCI DSS

Al igual que sucedió con Windows XP y con Windows 2003, Microsoft ya ha anunciado el fin del ciclo de vida ("End of Life" – EOL) para dos versiones de su sistema operativo Windows: Windows 7 (todas las versiones incluyendo el Service Pack 1) y Windows Server 2008 (todas las versiones incluyendo R2). Para ambos sistemas operativos, el EOL está programado para el día 14 de enero de 2020.

A partir de ese día, estos sistemas operativos:
  • No recibirán más actualizaciones de seguridad,
  • No recibirán más actualizaciones vinculadas con mejoras o con correcciones funcionales,
  • No tendrán soporte técnico por parte del fabricante (Microsoft), y
  • Todo el contenido de los portales de soporte no será actualizado.
Esto no solamente afectará a estos sistemas operativos sino también a otras aplicaciones como Microsoft SQL 2008, Microsoft Hyper-V Server 2008, Windows HPC Server 2008 R2, Windows Server Update Services 3.0 SP2 y Windows Storage Server 2008.

A la par con esta fecha de obsolescencia, otros fabricantes y desarrolladores de aplicaciones para estas plataformas operativas (como antivirus, firewalls, monitorización, etc.) también empezarán a limitar o finalizar su soporte.

¿Qué implicaciones tiene esta noticia en el cumplimiento de PCI DSS?

El requerimiento 6.2 de PCI DSS v3.2.1 establece lo siguiente:
6.2 Asegúrese de que todo el software y componentes del sistema tengan instalados parches de seguridad proporcionados por los proveedores que ofrecen protección contra vulnerabilidades conocidas. Instale los parches importantes de seguridad dentro de un plazo de un mes de su lanzamiento. Debido a ello, tener dentro del alcance de cumplimiento un equipo con un sistema operativo sin soporte por parte del fabricante puede implicar un incumplimiento del estándar, aparte de los potenciales problemas derivados de las vulnerabilidades de seguridad no corregidas y la consecuente exposición a riesgos por parte del negocio.

¿Qué alternativas se tienen para gestionar el riesgo frente a esta plataforma no soportada?

Con el fin de servir de guia a comercios y proveedores de servicio que deben cumplir con PCI DSS y se encuentran frente al inconveniente de contar dentro de su entorno con una plataforma operativa no soportada, la posición del PCI SSC fue descrita en la siguiente FAQ:
Are operating systems that are no longer supported by the vendor non-compliant with the PCI DSS?
PCI DSS Requirements 6.1 and 6.2 address the need to keep systems up to date with vendor-supplied security patches in order to protect systems from known vulnerabilities. Where operating systems are no longer supported by the vendor, OEM or developer, security patches might not be available to protect the systems from known exploits, and these requirements would not be able to be met.
However, it may be possible to implement compensating controls to address risks posed by using unsupported operating systems in order to meet the intent of the requirements. To be effective, the compensating controls must protect the system from vulnerabilities that may lead to exploit of the unsupported code. For example, exhaustive reviews may need to be regularly performed to ensure that all known exploits for that operating system are continually identified and that system configurations, anti-virus, IDS/IPS, and firewall rules are continually updated to address those exploits. Examples of controls that may be combined to contribute to an overall compensating control include active monitoring of system logs and network traffic, properly-configured application whitelisting that only permits authenticated system files to execute, and isolating the unsupported systems from other systems and networks. Note that these examples may complement an overall compensating control, but these examples alone would not provide sufficient mitigation.
Additionally, if an unsupported operating system is Internet-facing, it will be detected and reported as an automatic failure by an ASV scan. Detection of unsupported operating systems in an ASV scan will need to be addressed according to Addressing Vulnerabilities with Compensating Controls section of the ASV Program Guide.
The use of compensating controls should be considered a temporary solution only, as the eventual solution is to upgrade to a supported operating system, and the entity should have an active migration plan for doing so. For assistance with compensating controls, and for questions about whether a specific implementation meets PCI DSS requirements, please contact a Qualified Security Assessor.
Bajo este criterio, a continuación se enumeran las alternativas para la gestión de este inconveniente y que se pueden implementar para cumplir con PCI DSS:

Migración/actualización a Windows 10 (para Windows 7) o a Microsoft Windows Server 2019 (para Windows 2008)

Esta es la opción recomendada por Microsoft como camino directo frente a la notificación de finalización de soporte. Para ello, se ha creado una herramienta web que ofrece las siguientes alternativas:
  • Migrar a servidores en la nube (cloud) provistos por Microsoft Azure o cualquier otro proveedor (*)(**)
  • Migrar a servidores en la nube (cloud) provistos por cualquiera de los miembros del Cloud OS Network (*)
  • Migrar a servidores virtualizados
  • Instalar el nuevo sistema operativo en un hardware independiente
(*) Tener presente que para servidores dentro del ámbito de cumplimiento de PCI DSS, la gestión de servicios de cloud en formato IaaS está cubierta por el requerimiento 12.8

(**) Para Windows 2008, si estos sistemas operativos son migrados a Microsoft Azure podrán recibir 3 años adicionales de actualizaciones críticas e importantes.

Así mismo, para Windows 2008 Microsoft ha creado un infográfico denominado "Windows Server 2008 and 2008 R2 EOS brochure" en el cual analiza los procesos de migración en función del rol del servidor en la red (Directorio Activo, servidor web, servidor de archivos, servidor de base de datos, etc.).

Migración a una nueva plataforma operativa

Otra alternativa es la migración a una nueva plataforma operativa. En función de las necesidades, la plataforma completa se puede migrar o se puede delegar determinados servicios en otros sistemas operativos, como GNU/Linux, HP-UX, AIX, etc.

Uso de controles compensatorios

Si se requiere de un plan temporal mientras que se procede con una migración definitiva, el uso de controles compensatorios puede ser una opción. Estos controles alternativos deben ser consultados con un QSA previo a su implementación para validar que efectivamente el riesgo es gestionado conforme con los criterios de PCI DSS.

Algunos controles compensatorios que se pueden analizar son:
  • Uso de listas blancas de aplicación (application whitelisting)
  • Uso de controles complementarios para el aislamiento del servidor (usando firewalls personales, por ejemplo)
  • Empleando soluciones de HIDS/HIPS (Host IDS/IPS)
Invitamos a adelantarse a este evento y a planificar y desplegar de forma inmediata los controles necesarios para la gestión de los potenciales riesgos asociados con un sistema operativo no soportado por el fabricante. Microsoft estima en 150 días (mínimo) el tiempo necesario para la migración de un sistema operativo a una nueva versión, por lo que es hora de ponerse manos a la obra.

Fuente: PCIHispano

1 comentario:

  1. Me parece una buena oportunidad para migrar a GNU/Linux.

    Esta lo suficientemente maduro para su trabajo en producción y hay muchos distribuidores y alternativas que no generan dependencia en Microsoft.

    Creo que es una opción que genera muchas mejoras: la filosofía software libre y en consecuencia OpenSource justamente asegura la no dependencia y la posibilidad de que existan alternativas.

    A nivel servidores GNU/Linux logró mucho por la robustez de la filosofía POSIX, creo que avanzar hacia Desktop es muy importante y ahorraría muchos costos.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!