多年来,金融服务业一直是老练的网络攻击者(以及一些不那么老练的)最容易攻击的行业。这一点也不奇怪——攻击者通常会跟着钱走,从容易摘到的果子开始。
在过去几年中公开的所有信用卡泄露事件中,真正符合支付卡行业数据安全标准(PCI DSS)的公司并不多(如果有的话)。
与此同时,遵守法规并不意味着您真正保护了重要的数据。
任何处理信用卡交易的公司都知道PCI遵从性可能会导致严重的麻烦。关键是要实施评估、补救和持续管理的计划。
你跟qsa说过话了,现在怎么办?
对于任何进行信用卡交易的公司来说,最大的PCI遵从性挑战是定义范围——您的网络的哪些部分实际上需要遵守PCI?
您的公司可能有500或1000人使用1Gb的连接。但是您的PCI范围可能只有50个端点,产生10Mb的流量。从安全的角度来看,成本差异是巨大的,因此定义范围是遵从性的关键第一步。
这就是您在升级网络安全基础设施之前与合格安全评估员(QSA)合作的原因。QSA将对你们现有的环境进行全面分析,并提供差距评估以实现合规性。
然而,安全评估的结果通常是压倒性的——特别是对于以前从未考虑过这些安全因素的组织。许多公司没有员工或安全预算来彻底检修他们的基础设施,也可能不需要这样做。但是,首先正确地确定你的范围和差距将使你朝着正确的方向前进。QSA肯定会帮助您做到这一点,但是了解数据存在的位置以及您打算如何监视和保护您的环境也会有所帮助。
与MSSP合作也是在解决PCI合规性问题和正确实施控制方面获得帮助的一种简单有效的方法。您可以与在适当的法规遵循实现方面具有专业知识和经验的人员合作,而不是忍受来自QSA的目标列表。
PCI合规性不仅仅是数据安全标准
体育博彩平台推荐在整个行业中开始看到的是,存在重叠的安全需求,有时要求组织同时遵守多个框架。在一天结束的时候,这些人都有相同的目标;保护数据并实施最佳安全措施。
纽约金融服务部(DFS)新实施的第500号条例就是一个很好的例子。对于更传统的金融服务公司来说,这只是另一项需要应对的监管规定。但对于小企业来说,《500号条例》将带来全新的、更具体的规定;可能除了PCI,在某些情况下还有HIPAA。
以下是大多数合规计划应该考虑的几个关键点:
- 制定一个分析所有Internet流量的计划——入口和出口流量可以告诉您大量有关环境行为的信息,并且在大多数情况下都需要它来帮助识别潜在的攻击。
- 创建一个计划来实现SIEM或收集日志并每天(或更多)分析它们。这将涵盖任何框架中的大量遵从性需求,但这不是一项应该掉以轻心的任务——它可能是一个复杂的过程,需要大量的计划才能正确实现。
- 进行内部和外部漏洞评估,并确定可以通过编程方式修复的内容,同时优先修复最高威胁的问题。
- 评估可用的资源,以帮助实现这些法规遵从性控制,并对其进行长期管理——它们需要持续的关注和喂养,才能正确地完成,并真正从中获得价值。
选择了解PCI和NY 500等新兴法规的安全合作伙伴或MSSP是获得合规管理帮助以及识别和降低整体网络风险的好方法。
除了了解您的特定合规性需求之外,您的MSSP还必须拥有适当的设备来实现您的范围所需的基础设施。无论是利用SIEM、IDS、IPS、防火墙和/或任何其他工具来满足合规性,100%的可见性都是必不可少的。利用网络tap进行随时网络访问和包代理将公司范围的流量过滤到这些工具中是必不可少的。
如果您想了解更多有关PCI或任何安全遵从性的信息,以及体育博彩平台推荐为什么与加兰技术查看每个位,字节和包®-体育博彩平台推荐Sedara进行免费咨询.