日前��,Verizon透露了其備受期待的年度報(bào)告中的內(nèi)容��,這份報(bào)告對(duì)Verizon Enterprise Solutions在過(guò)去三年期間執(zhí)行的數(shù)千次PCI DSS合規(guī)性評(píng)估的結(jié)果進(jìn)行了分析��。
“照常營(yíng)業(yè)”PCI合規(guī)被證明很困難
根據(jù)Verizon表示����,2015年的數(shù)據(jù)表明大多數(shù)商家都在艱難地維持全年P(guān)CI合規(guī)性。該公司稱����,在通過(guò)審核后的不到一年時(shí)間內(nèi),只有不到三分之一的企業(yè)保持完全的PCI合規(guī)性��。
這與PCI安全標(biāo)準(zhǔn)委員會(huì)所提倡的“持續(xù)合規(guī)性”口號(hào)形成鮮明對(duì)比����。專家稱��,PCI DSS 3.0版的主要目標(biāo)之一是要求企業(yè)保持足夠的安全控制來(lái)在所有時(shí)候保護(hù)支付卡數(shù)據(jù)��,不只是為了通過(guò)年度評(píng)估�����。
醫(yī)療設(shè)備、服務(wù)和照明解決方案國(guó)際制造商的PCI合規(guī)項(xiàng)目經(jīng)理Nancy Rodriguez表示��,PCI合規(guī)性嵌入到“照常營(yíng)業(yè)”業(yè)務(wù)流程并不容易�����。
她表示����,這個(gè)系統(tǒng)性的工作需要與全公司業(yè)務(wù)流程所有者召開會(huì)議,了解流程如何運(yùn)作以及數(shù)據(jù)流向何處��,然后再確認(rèn)如何在不影響業(yè)務(wù)的前提下整合PCI合規(guī)性��。Rodriguez補(bǔ)充說(shuō)����,這種工作很難做到,因?yàn)榧词乖诖笮推髽I(yè)��,PCI合規(guī)團(tuán)隊(duì)通常只有極少數(shù)人����。
“我很幸運(yùn)的是��,當(dāng)我進(jìn)入現(xiàn)在這家公司時(shí)����,該公司正處于起步階段����,當(dāng)時(shí)公司正在基于核心、標(biāo)準(zhǔn)元素重新定義所有流程�����,”Rodriguez稱��,“我們建立了核心領(lǐng)域(信息安全����、PCI、隱私等)�����,并對(duì)其流程以及控制進(jìn)行了描述�����。然后我們?cè)u(píng)估彼此的流程和控制����,以確定我們的領(lǐng)域是否應(yīng)該參與,以及如何參與�����。”
這是一個(gè)費(fèi)力費(fèi)時(shí)的過(guò)程�����,即使是對(duì)于相當(dāng)大規(guī)模的企業(yè)�����,對(duì)于很多小型商家��,在單個(gè)時(shí)間點(diǎn)的其余時(shí)間內(nèi)保持合規(guī)性更加困難��。前安全評(píng)估員兼獨(dú)立安全顧問(wèn)Steven Weil表示��,他開始看到越來(lái)越多的企業(yè)對(duì)PCI合規(guī)采取全年的做法�����,但這是一個(gè)挑戰(zhàn),因?yàn)槠髽I(yè)必須有成熟的信息安全和合規(guī)計(jì)劃����。
Weil表示:“不幸的是,還有很多不太成熟的企業(yè)只是專注于每年一次的PCI合規(guī)性;對(duì)于這些企業(yè)而言��,這樣做的風(fēng)險(xiǎn)越來(lái)越大�����。”
防火墻合規(guī)性��、安全測(cè)試是主要問(wèn)題
根據(jù)Verizon表示�����,企業(yè)未能滿足PCI合規(guī)要求的兩個(gè)主要領(lǐng)域涉及第11條要求�����,對(duì)安全系統(tǒng)和流程進(jìn)行定期測(cè)試;以及第1條要求��,其中主要是對(duì)防火墻的維護(hù)�����。
該公司只透露了部分細(xì)節(jié)信息��,另外�����,在一份聲明中����,Verizon Enterprise Solutions的合規(guī)和管理專業(yè)服務(wù)主管Rodolphe Simonetti表示,不斷變化的網(wǎng)絡(luò)安全環(huán)境需要企業(yè)改變他們的安全做法����。
“企業(yè)需要采用我們稱之為‘有彈性’的模式,這意味著他們必須接受他們永遠(yuǎn)不可能完全安全����,”Simonetti表示,“對(duì)于數(shù)據(jù)保護(hù)��,并沒(méi)有萬(wàn)全之策。”
Weil推測(cè)�����,Verizon已經(jīng)看到防火墻規(guī)則審查沒(méi)有得到充分執(zhí)行��,或者說(shuō)��,沒(méi)有按照PCI DSS要求的至少每六個(gè)月執(zhí)行一次��。
“在大型或復(fù)雜企業(yè)中����,受PCI監(jiān)管的關(guān)鍵防火墻可能有數(shù)百條規(guī)則必須進(jìn)行審查,”Weil表示��,“但對(duì)于繁忙的安全專業(yè)人員而言����,了解哪些規(guī)則仍然有效以及哪些規(guī)則需要?jiǎng)h除/禁用,是很困難和非常耗時(shí)的工作��。此外�����,防火墻管理員擔(dān)心關(guān)閉防火墻規(guī)則可能會(huì)帶來(lái)影響。”
Rodriguez表示同意����,他說(shuō),盡管對(duì)于幾乎所有全面的信息安全計(jì)劃而言��,防火墻維護(hù)都是基本工作��,但PCI DSS圍繞防火墻的要求是“規(guī)定性的”��,特別是對(duì)所有允許的服務(wù)��、協(xié)議和端口的使用的文檔記錄和業(yè)務(wù)理由����。
“還有很多人沒(méi)有意識(shí)到PCI DSS要求�����,”Rodriguez表示�����,“所以他們沒(méi)有構(gòu)建這些控制到其流程和程序��。”
同時(shí)(+本站微信networkworldweixin),第11條要求還包含了高難度任務(wù)�����,從無(wú)線網(wǎng)絡(luò)安全到定期網(wǎng)絡(luò)安全掃描和第三方滲透測(cè)試����。
有些企業(yè)仍然在艱難地滿足第11條要求,這并不足為奇;Verizon去年報(bào)告稱�����,在最符合要求的企業(yè)(即滿足95%PCI DSS控制的企業(yè))中��,超過(guò)半數(shù)沒(méi)有滿足第11條要求�����。雪上加霜的是��,PCI 3.0版中的新要求規(guī)定��,企業(yè)需要部署正式的滲透測(cè)試方法��,這被認(rèn)為是更新版本標(biāo)準(zhǔn)中最難以遵守的變化之一����。
Aberdeen Group研究公司副總裁兼研究員Derek Brink表示�����,滿足PCI要求所帶來(lái)的挑戰(zhàn)變得更加艱巨��,這也說(shuō)明現(xiàn)在的IT基礎(chǔ)設(shè)施比幾年前更加復(fù)雜�����。
“對(duì)于所有企業(yè)而言,真正的目標(biāo)應(yīng)該是將風(fēng)險(xiǎn)降低到可以接受的水平����,”Brink表示,“這意味著減少數(shù)據(jù)泄露事故的可能性—通過(guò)部署和維持普遍接受的安全控制和流程��,以及減少不可避免要發(fā)生的數(shù)據(jù)泄露事故帶來(lái)的影響�����。”
Brink感嘆說(shuō)����,有些人肯定會(huì)利用Verizon令人沮喪的報(bào)告結(jié)果來(lái)“抨擊PCI標(biāo)準(zhǔn)”��,他主張商家應(yīng)該努力實(shí)現(xiàn)和維持PCI合規(guī)性�����,因?yàn)橹挥羞@樣做����,這些企業(yè)才將會(huì)比他們想象的更加安全�����。
Brink補(bǔ)充說(shuō):“對(duì)于我來(lái)說(shuō)����,Verizon報(bào)告的巨大價(jià)值在于,它提供了關(guān)于關(guān)鍵問(wèn)題的可能性和影響的事實(shí)和趨勢(shì)����,這應(yīng)該是企業(yè)必須了解的有關(guān)風(fēng)險(xiǎn)的事實(shí)。”
Verizon證實(shí)����,下個(gè)月的PCI報(bào)告結(jié)果將會(huì)包含基于30多個(gè)國(guó)家的財(cái)富500強(qiáng)企業(yè)和大型跨國(guó)公司的數(shù)據(jù)。除了審查企業(yè)如何以及在哪里未符合PCI要求�����,該報(bào)告還會(huì)提供對(duì)12個(gè)PCI要求的深度剖析,以及第一次評(píng)估3.0版本的合規(guī)性工作�����。
企業(yè)通訊
