bezpieczeństwo a zgodność z wymaganiami PCI DSS 8

kilka tygodni temu rozmawiałem z jednym z moich współpracowników o całej rozmowie bezpieczeństwo a zgodność. Do tego czasu utrzymywałem założenie, że zgodność z przepisami niewiele robi dla bezpieczeństwa. W odpowiedzi na moją wypowiedź zadał retoryczne pytanie: „Gdzie te firmy, z punktu widzenia bezpieczeństwa, byłyby bez zgodności?”

Tak, Zgodność to minimum, które musisz zrobić, aby bronić się przed atakiem; jeśli jednak zamierzasz narzekać na konieczność przestrzegania przepisów, nic nie stoi na przeszkodzie, aby skupić się na silniejszych kontrolach IT.

w tym poście na blogu chcę poświęcić chwilę i omówić niektóre z pominiętych niuansów wymogu PCI DSS 8, który zasadniczo koncentruje się na zarządzaniu hasłami; ale często argumentuje się, że nie jest wystarczająco bezpieczny. Jest tam często kilka pomijanych informacji, na które chciałbym rzucić światło. I pozostając przy temacie, jeśli te kontrole nie są wystarczająco silne, możesz zwiększyć poziom kontroli.

drobniejsze punkty wymogu PCI DSS 8

kiedy badamy preambułę do sekcji 8 PCI DSS, określa ona stosowalność tego wymogu. Co ciekawe, te wymagania dotyczące haseł nie dotyczą wszystkich użytkowników, mimo że wielu z nich tak uważa.

oto tekst zawarty w sekcji Uwaga preambuły:

Uwaga: Wymagania te mają zastosowanie do wszystkich kont, w tym kont w punktach sprzedaży, z funkcjami administracyjnymi i wszystkich kont używanych do przeglądania danych posiadacza karty lub uzyskiwania dostępu do systemów z danymi posiadacza karty. Obejmuje to konta używane przez dostawców i inne strony trzecie (na przykład w celu wsparcia lub konserwacji). Wymagania te nie mają zastosowania do kont używanych przez konsumentów (np. posiadaczy kart). Jednakże wymagania od 8.1.1, 8.2, 8.5, od 8.2.3 do 8.2.5 oraz od 8.1.6 do 8.1.8 nie mają zastosowania do kont użytkowników w ramach aplikacji płatniczej w punkcie sprzedaży, które mają dostęp tylko do jednego numeru karty jednocześnie w celu ułatwienia pojedynczej transakcji (np. konta kasjerskie).

krótko mówiąc, istnieje wiele wymagań dotyczących hasła, które nie dotyczą osób, które obsługują jedną kartę na raz, takich jak kasjer i co ciekawe, nawet personel call center. Jeśli pracownik ma tylko możliwość wprowadzania danych posiadacza karty i nie może ich wyświetlić z perspektywy aplikacji, istnieje kilka kontroli, które nie mają zastosowania. Jest to obszar, w którym można wyjść poza i poza, aby zwiększyć swoją postawę bezpieczeństwa. Tam, gdzie jesteś w stanie, upewnij się, że te kontrole są wdrożone dla wszystkich osób.

chociaż nie jest to wymóg PCI DSS, zalecam poświęcenie czasu i przeprowadzenie formalnej oceny ryzyka. Zapewni to, że nie wdrożenie tych kontroli dla tego typu konta nie spowoduje nadmiernego obciążenia danych użytkownika. Możesz również wykraczać poza to i ustanawiać kontrole dla wyżej wymienionych typów kont użytkowników, do których nie ma zastosowania.

ustalanie kryteriów hasła

następnie mamy język w sekcji Wskazówki wymagania 8.2.3. W szczególności 8.2.3 stwierdza:

8.2.3 hasła / Hasła muszą spełniać następujące:

  • Wymagaj minimalnej długości co najmniej siedmiu znaków.
  • zawierają zarówno znaki numeryczne, jak i Alfabetyczne

alternatywnie hasła/Hasła muszą mieć złożoność i siłę co najmniej równoważną parametrom określonym powyżej.

i w sekcji wytycznych tego wymogu stwierdza się:

wymóg ten określa, że w przypadku haseł/haseł należy używać co najmniej siedmiu znaków, zarówno liczbowych, jak i alfabetycznych. W przypadkach, w których to minimum nie może być spełnione z powodu ograniczeń technicznych, podmioty mogą użyć „równoważnej siły” do oceny swojej alternatywy. Aby uzyskać informacje na temat zmienności i równoważności siły haseł (określanej również jako Entropia) dla haseł/fraz o różnych formatach, zapoznaj się z normami branżowymi (np. aktualna wersja NIST SP 800-63.

Co to wszystko znaczy? Zacznę od tego, że 7-znakowe hasło może zostać złamane w mgnieniu oka, jeśli hash został przechwycony. Jeśli nie wiesz, jak to wygląda, poświęć trochę czasu na zbadanie tęczowych tabel.

osobiście polecam hasła o min. 15 znakach. Powodem jest tylko wymóg 7 znaków jest to, że PCI DSS musi pomieścić starsze środowiska i systemy. Czy 7 znaków jest bezpiecznych? Pozwolę ci podjąć tę decyzję. Ale tam, gdzie Twoje systemy mogą obsługiwać więcej, nic nie stoi na przeszkodzie, aby wymagać 32 znaków.

co jeśli Twoje hasło składa się z 32 „1”? Obliczmy entropię hasła tego, co jest wymagane. Jeśli Twoje hasło składa się z 7 znaków składających się z wartości alfanumerycznych, http://passwordstrengthcalculator.com zgłasza, że złamanie hasła za pomocą super komputera z 36,2 bitami entropii zajmie mniej niż sekundę. Podczas gdy hasło z 32 jedynkami zajęłoby 15,854,896 lat z tym samym komputerem ze 106 bitami entropii.

więc nie chodzi tylko o wymyślanie hasła. Istnieje wiele wartości, które mogą mieć wpływ na hasło; jednak nie chodzi o to, aby zrobić minimum, chodzi o to, co jest konieczne, aby chronić swoje aktywa przed nieautoryzowanym atakiem.

chociaż zgodność nie równa się bezpieczeństwu,nie musisz robić minimum. Dokonaj oceny ryzyka, a jeśli aktywa są nadal zagrożone, nawet przy minimalnych wymaganiach, możesz zwiększyć swoją postawę bezpieczeństwa i wymagać czegoś więcej niż tylko standardu zgodności. Każda firma, która kiedykolwiek została naruszona, skarżyła się na coś. Nie były one jednak bezpieczne. Skoncentruj się na bezpieczeństwie, a zgodność będzie zwykle następować jako produkt bezpieczeństwa.

mam nadzieję, że wskazówki, które tu podałem, pomogą Ci ustawić się na drodze do zgodności z wymaganiem PCI DSS 8. Kliknij tutaj, aby wyświetlić moje inne posty dotyczące zgodności z PCI.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.