КиберОценка

6.4: Защита web-приложений от атак

Публичные web-приложения защищены от атак

Подробное описание

Требование 6.4 обязывает организации защищать публичные web-приложения от распространённых атак, таких как SQL-инъекции, межсайтовый скриптинг (XSS), подделка межсайтовых запросов (CSRF) и другие угрозы из OWASP Top 10. Защита реализуется либо путём ручного анализа кода на основе стандартов безопасной разработки, либо установкой автоматизированного технического решения — web application firewall (WAF), который обнаруживает и блокирует атаки в режиме реального времени. PCI DSS требует, чтобы защитные меры применялись до ввода приложения в эксплуатацию и регулярно обновлялись по мере выявления новых уязвимостей.

Практические шаги внедрения

  1. 1

    Провести инвентаризацию всех публичных web-приложений, обрабатывающих или имеющих доступ к данным держателей карт

  2. 2

    Выбрать метод защиты: ручная проверка кода по стандартам безопасной разработки или развёртывание автоматизированного решения (WAF)

  3. 3

    При выборе WAF: установить и настроить межсетевой экран уровня приложений перед всеми публичными web-приложениями

  4. 4

    Настроить правила WAF для обнаружения и блокировки известных атак (SQL-injection, XSS, CSRF, file inclusion, командные инъекции)

  5. 5

    Включить логирование всех попыток атак и интегрировать WAF с системой мониторинга безопасности (SIEM)

  6. 6

    Регулярно обновлять сигнатуры и правила WAF для защиты от новых уязвимостей

  7. 7

    Документировать конфигурацию защитных мер и проводить ежегодный пересмотр эффективности

Типичные нарушения

  • Отсутствие WAF или ручного анализа кода для публичных приложений, принимающих платёжные данные

  • Использование устаревших сигнатур WAF, не покрывающих актуальные угрозы из OWASP Top 10

  • WAF настроен в режиме мониторинга (detect-only) без активной блокировки атак

  • Отсутствие процесса регулярного обновления правил защиты при обнаружении новых уязвимостей

  • Логи WAF не интегрированы с системой мониторинга, атаки не анализируются и не расследуются

Почему это важно

Web-приложения — основная точка входа для хакеров, атакующих платёжную инфраструктуру: более 80% утечек данных держателей карт происходят через эксплуатацию уязвимостей в публичных приложениях. Отсутствие WAF или надёжного процесса проверки кода оставляет критические уязвимости незащищёнными, позволяя злоумышленникам похищать номера карт и персональные данные клиентов. Внедрение требования 6.4 многократно снижает поверхность атаки и предотвращает дорогостоящие инциденты безопасности.

Проверяемые категории

Web SecuritySecurity HeadersAPI Security

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности