BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

PCI SSC 2013社区会议纪要

| 作者 Eric Sampson 关注 0 他的粉丝 ,译者 吴海星 关注 0 他的粉丝 发布于 2013年12月14日. 估计阅读时间: 7 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

我在九月份有幸参加了于拉斯维加斯召开的PCI安全标准委员会社区会议,参与了对PCI DSS v3.0("草案3.0")修改的讨论及评审。PCI DSS v2.0版是在2010年十月发布的,召开PCI社区会议是为了让评审人员和参与企业有机会讨论PCI DSS从2.0版到3.0版所做的修改。我们还跟来自PCI安全标准委员会(以下简称委员会)及主要支付卡品牌(Visa、MasterCard、美国运通、Discover、 JCB)的代表进行了问答和一对一访谈活动。我想在这篇文章中跟大家分享PCI DSS v3.0草案中的几个关键要点,以及对支付卡行业内的发展趋势及信息安全的总体状态的一些认识。

行业趋势

内部人士依然是高影响性数据泄漏的头号威胁。然而与黑客攻击有关的数据泄漏自去年以来也有显著增长,达到了75%。黑客在世界上的某些地域寻找安全的避风港,在某些地区,只要遵守一些规则,他们的攻击行为就不会受到惩罚。比如俄罗斯的黑客,只要他们不攻击俄罗斯的目标,并能响应俄罗斯情报部门的请求攻击优先目标,就可以从俄罗斯情报部门得到自由通行的许可。

支付应用的内存空间当前正遭受攻击的威胁。黑客可以设计出监测目标支付应用程序内存空间的工具,当信用卡号被传入内存时,赶在被加密之前捕获它们。草案3.0中规范了保护内存中信用卡号和敏感认证数据的安全编码和应用程序开发的要求。

EMV(通常称为“芯片和PIN码”)标准有望于2014年由美国EMV标准的EMV迁移论坛完成。芯片和PIN码交易增加了持卡交易或个人交易的安全性。美国的持卡人可能会在2014年初见到采用新EMV标准的新卡。EMV标准应该也会包含近场通讯(NFC)交易的相关标准,会影响到移动电话上的交易。

PCI 业内专家的关注点

在报告的数据泄漏案例中只有1%是靠日志分析检测出来的。但这并不是说日志分析不管用。相反,这表明需要在日志分析能力和训练上认真投入。仅仅一个集中式的日志方案或SIEM(安全信息及事件管理)系统并不能保证数据泄漏会被检测出来。

不受支持的操作系统是个大问题,特别是在微软到2014年就不再支持Windows XP系统的情况下。也就是说微软不会再为Windows XP发布安全升级和补丁。委员会建议修补、更换、升级或切换到受支持的操作系统。除非有显著的补偿控制和系统隔离措施,否则在持卡人环境中存有微软Windows XP系统很可能会导致安全及合规性问题。升级或切换到其他操作系统可能要投入大量的人力物力,所以业内企业应该在他们的IT战略和预算规划会议上研究这些问题。

平板和移动设备是一个新兴的威胁。企业应该有计划地加强接入有硬性标准系统的平板和移动设备的安全性,特别是在将平板和移动设备作为支付设备时。3.0草案中没有任何专门针对平板和移动设备的新要求。

3.0草案中的重要变化

3.0草案中有很多PCI行业内的企业应该在自己的IT战略与规划会议上研究的变化。我认为下面这些是企业目前应该研究规划的几个重点。

委员会阐明任何能够对持卡人环境的安全产生影响的系统都应该纳入考虑范围之内。像认证、防病毒、文件完整性监测之类的系统都可能在持卡人环境之外的网络区域内。这些系统的所有相关需求也必须考虑,因为它们能够影响持卡人环境的安全性。PCI企业仍旧要对网络边界的设置和持卡人环境的定义负责,而评审人员仍旧是对环境范围的有效性负责。

委员会一再强调网络分区有效性的重要程度。分区是一项限制网络边界以降低网络环境和PCI审计范围内系统数量的措施。在PCI DSS v3.0中,分区被用来缩小持卡人环境的范围,限制其网络边界,还需要通过渗透测试来检查网络边界的有效性。也就是说渗透测试不仅要包括持卡人环境内部的网络,还要从对持卡人环境内部网络区域有利的角度来检查外部网络。

委员会建议企业进行更加频繁和深入的渗透测试。其中一条加深渗透测试的建议是把社会工程方面的测试纳入渗透测试方法中。3.0草案中仍建议每年至少进行一次渗透测试,这一频度没有变化。但将要求企业于2015年7月开始制定和遵循业界公认的渗透测试方法。

3.0草案现在还在常规业务(BAU)一节包含了附加指导。企业应该考虑把这些活动纳入到总体信息安全计划中,以加强跟持卡人环境相关的安全态势和信息安全过程。

总结

3.0草案中的变化是要着眼于PCI行业内当前的趋势和安全问题。信用卡仍是犯罪分子为经济利益犯罪的目标,甚至比以往更甚。在3.0草案中,为信用卡数据安全性负责的企业得到了更多的指导和指示。但这些指导和指示也让企业承担了比以往更多的任务。企业当前所面临的挑战不仅仅是满足合规性需求,而是要真正解决影响持卡人数据的安全问题。

PCI DSS v3.0的最终版计划于2013年11月7日发布。

关于作者

Eric SampsonBrightLine 的一名高级助理和QSA 带头人,他主要负责美国西部的PCI 验证、EI3PA、SSAE 16 和SOC委聘。Eric一直专注于行业及法规标准的安全及保密性评估,比如ISO 17799、HIPAA、 GLBA、 PCI DSS和 US 联邦、州际及国际隐私法。 Eric还擅长渗透测试和漏洞扫描。Eric还做过Sarbanes-Oxley (SOX)相关的评估。 Eric为来自各行业的100强和500强客户做过很多专业服务委聘,他的客户所在的行业包括云服务提供商、技术、电信、金融服务、健康护理和信息服务。

原文英文链接:PCI SSC 2013 Community Meeting Takeaways


感谢侯伯薇对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT