Log Management in a Payment Card Industry Service Provider’s Network

Abstract

Payment Card Industry Data Security Standard (PCI DSS) defines the minimum compliance requirements for companies that wish to handle card payments. These demands must be met or the entity will face sanctions that can range from fines to complete shutdown of all payment card related operations pertaining to the sanctioned party. Logging and log analysis are an integral part in verifying the compliance in an external audit that must be made twice annually. The purpose of this thesis is to see what needs to be done in the current environment and how to execute the changes needed in order to be PCI DSS compliant in the future. The work was done in the Finnish Sales Connector environment using a Security Information and Event Management (SIEM) system called LogRhythm.

The thesis outlines the main logging requirements of PCI DSS and aims to give an understanding on why logging is such a crucial part of the security infrastructure as a whole. In the actual technical implementation I wrote Message Processor Engine regular expression rules for custom log sources not supported by the SIEM.

The results were that the custom processing rules were successful in parsing the data generated by the log sources, and as such give the security team and operational teams a better view into the log source types in question, ModSecurity and PostgreSQL. In addition, I investigated how reports could be sent to the operational teams that do not have access to the Security Information and Event Manager that is maintained by the security team. I proposed an approach and tested it for ModSecurity audit logs and the Verifone Cloud Services third line operational team.

Payment Card Industry Data Security Standard (PCI DSS) määrittää minimiturvallisuusedellytykset yrityksille, jotka käsittelevät korttimaksuja. Nämä vaatimukset tulee täyttää sanktioiden uhalla, jotka voivat vaihdella sakoista kaikkien korttimaksuihin liittyvien toimintojen lopettamiseen. Lokittaminen ja lokien analysointi ovat tärkeitä työkaluja ohjeidenmukaisuuden todentamisessa ulkoisen auditoinnin yhteydessä, mikä tehdään kahdesti vuodessa. Tämän työn tarkoituksena on osoittaa, mitä nykyisessä ympäristössä tulisi tehdä ja kuinka muutokset toteutetaan, jotta PCI DSS -vaatimukset täyttyvät myös tulevaisuudessa. Työ tehtiin Suomen Sales Connector -ympäristössä käyttäen SIEM-järjestelmää nimeltä LogRhythm. Työ kiteyttää PCI DSS:n päälokitusvaateet ja pyrkii selvittämään miksi lokittaminen on niin tärkeä osa turvallisuus-infrastruktuuria kokonaisuudessaan. Varsinainen tekninen toteutukseni käsitti Message Processor Engine:n -säännöllisten lausekkeiden kirjoittamisen mukautetuille lokilähteille, joita ei vielä tuettu SIEM-järjestelmässä.

Tuloksina saatiin, että mukautetut prosessointi säännöt onnistuivat jäsentämään datan, mitä lokilähteet tuottivat. Tämä auttaa sekä tietoturva, että operatiivisia ryhmiä saamaan näkyvyyttä kyseisiin lokilähde-tyyppeihin, joita olivat ModSecurity ja PostgreSQL. Lisäksi tutkin raporttien tuottamista operatiivisille ryhmille, joilla ei ollut pääsyä tietoturva-ryhmän ylläpitämään SIEM järjestelmään. Ehdotin yhtä mahdollista menettelytapaa ja testasin sitä ModSecurityn lokeilla ja Verifonen pilvipalveluita tuottavalla kolmannen tason operatiivisella ryhmällä.