日期:2015-06-30 點擊: 關(guān)鍵詞:Verizon PCI:防火墻合規(guī)性、安全測試是主要問題
日前,Verizon透露了其備受期待的年度報告中的內(nèi)容,這份報告對Verizon Enterprise Solutions在過去三年期間執(zhí)行的數(shù)千次PCI DSS合規(guī)性評估的結(jié)果進行了分析。
“照常營業(yè)”PCI合規(guī)被證明很困難
根據(jù)Verizon表示,2015年的數(shù)據(jù)表明大多數(shù)商家都在艱難地維持全年P(guān)CI合規(guī)性。該公司稱,在通過審核后的不到一年時間內(nèi),只有不到三分之一的企業(yè)保持完全的PCI合規(guī)性。
這與PCI安全標準委員會所提倡的“持續(xù)合規(guī)性”口號形成鮮明對比。專家稱,PCI DSS 3.0版的主要目標之一是要求企業(yè)保持足夠的安全控制來在所有時候保護支付卡數(shù)據(jù),不只是為了通過年度評估。
醫(yī)療設(shè)備、服務(wù)和照明解決方案國際制造商的PCI合規(guī)項目經(jīng)理Nancy Rodriguez表示,PCI合規(guī)性嵌入到“照常營業(yè)”業(yè)務(wù)流程并不容易。
她表示,這個系統(tǒng)性的工作需要與全公司業(yè)務(wù)流程所有者召開會議,了解流程如何運作以及數(shù)據(jù)流向何處,然后再確認如何在不影響業(yè)務(wù)的前提下整合PCI合規(guī)性。Rodriguez補充說,這種工作很難做到,因為即使在大型企業(yè),PCI合規(guī)團隊通常只有極少數(shù)人。
“我很幸運的是,當我進入現(xiàn)在這家公司時,該公司正處于起步階段,當時公司正在基于核心、標準元素重新定義所有流程,”Rodriguez稱,“我們建立了核心領(lǐng)域(信息安全、PCI、隱私等),并對其流程以及控制進行了描述。然后我們評估彼此的流程和控制,以確定我們的領(lǐng)域是否應(yīng)該參與,以及如何參與。”
這是一個費力費時的過程,即使是對于相當大規(guī)模的企業(yè),對于很多小型商家,在單個時間點的其余時間內(nèi)保持合規(guī)性更加困難。前安全評估員兼獨立安全顧問Steven Weil表示,他開始看到越來越多的企業(yè)對PCI合規(guī)采取全年的做法,但這是一個挑戰(zhàn),因為企業(yè)必須有成熟的信息安全和合規(guī)計劃。
Weil表示:“不幸的是,還有很多不太成熟的企業(yè)只是專注于每年一次的PCI合規(guī)性;對于這些企業(yè)而言,這樣做的風險越來越大。”
防火墻合規(guī)性、安全測試是主要問題
根據(jù)Verizon表示,企業(yè)未能滿足PCI合規(guī)要求的兩個主要領(lǐng)域涉及第11條要求,對安全系統(tǒng)和流程進行定期測試;以及第1條要求,其中主要是對防火墻的維護。
該公司只透露了部分細節(jié)信息,另外,在一份聲明中,Verizon Enterprise Solutions的合規(guī)和管理專業(yè)服務(wù)主管Rodolphe Simonetti表示,不斷變化的網(wǎng)絡(luò)安全環(huán)境需要企業(yè)改變他們的安全做法。
“企業(yè)需要采用我們稱之為‘有彈性’的模式,這意味著他們必須接受他們永遠不可能完全安全,”Simonetti表示,“對于數(shù)據(jù)保護,并沒有萬全之策。”
Weil推測,Verizon已經(jīng)看到防火墻規(guī)則審查沒有得到充分執(zhí)行,或者說,沒有按照PCI DSS要求的至少每六個月執(zhí)行一次。
“在大型或復雜企業(yè)中,受PCI監(jiān)管的關(guān)鍵防火墻可能有數(shù)百條規(guī)則必須進行審查,”Weil表示,“但對于繁忙的安全專業(yè)人員而言,了解哪些規(guī)則仍然有效以及哪些規(guī)則需要刪除/禁用,是很困難和非常耗時的工作。此外,防火墻管理員擔心關(guān)閉防火墻規(guī)則可能會帶來影響。”
Rodriguez表示同意,他說,盡管對于幾乎所有全面的信息安全計劃而言,防火墻維護都是基本工作,但PCI DSS圍繞防火墻的要求是“規(guī)定性的”,特別是對所有允許的服務(wù)、協(xié)議和端口的使用的文檔記錄和業(yè)務(wù)理由。
“還有很多人沒有意識到PCI DSS要求,”Rodriguez表示,“所以他們沒有構(gòu)建這些控制到其流程和程序。”
同時(+本站微信networkworldweixin),第11條要求還包含了高難度任務(wù),從無線網(wǎng)絡(luò)安全到定期網(wǎng)絡(luò)安全掃描和第三方滲透測試。
有些企業(yè)仍然在艱難地滿足第11條要求,這并不足為奇;Verizon去年報告稱,在最符合要求的企業(yè)(即滿足95%PCI DSS控制的企業(yè))中,超過半數(shù)沒有滿足第11條要求。雪上加霜的是,PCI 3.0版中的新要求規(guī)定,企業(yè)需要部署正式的滲透測試方法,這被認為是更新版本標準中最難以遵守的變化之一。
Aberdeen Group研究公司副總裁兼研究員Derek Brink表示,滿足PCI要求所帶來的挑戰(zhàn)變得更加艱巨,這也說明現(xiàn)在的IT基礎(chǔ)設(shè)施比幾年前更加復雜。
“對于所有企業(yè)而言,真正的目標應(yīng)該是將風險降低到可以接受的水平,”Brink表示,“這意味著減少數(shù)據(jù)泄露事故的可能性—通過部署和維持普遍接受的安全控制和流程,以及減少不可避免要發(fā)生的數(shù)據(jù)泄露事故帶來的影響。”
Brink感嘆說,有些人肯定會利用Verizon令人沮喪的報告結(jié)果來“抨擊PCI標準”,他主張商家應(yīng)該努力實現(xiàn)和維持PCI合規(guī)性,因為只有這樣做,這些企業(yè)才將會比他們想象的更加安全。
Brink補充說:“對于我來說,Verizon報告的巨大價值在于,它提供了關(guān)于關(guān)鍵問題的可能性和影響的事實和趨勢,這應(yīng)該是企業(yè)必須了解的有關(guān)風險的事實。”
Verizon證實,下個月的PCI報告結(jié)果將會包含基于30多個國家的財富500強企業(yè)和大型跨國公司的數(shù)據(jù)。除了審查企業(yè)如何以及在哪里未符合PCI要求,該報告還會提供對12個PCI要求的深度剖析,以及第一次評估3.0版本的合規(guī)性工作。
企業(yè)通訊