Verizon PCI報告:防火墻合規性、安全測試是主要問題
托管IT服務巨頭Verizon指出了導致商家未能滿足PCI DSS合規的兩個關鍵問題領域。
日前,Verizon透露了其備受期待的年度報告中的內容,這份報告對Verizon Enterprise Solutions在過去三年期間執行的數千次PCI DSS合規性評估的結果進行了分析。
“照常營業”PCI合規被證明很困難
根據Verizon表示,2015年的數據表明大多數商家都在艱難地維持全年PCI合規性。該公司稱,在通過審核后的不到一年時間內,只有不到三分之一的企業保持完全的PCI合規性。
這與PCI安全標準委員會所提倡的“持續合規性”口號形成鮮明對比。專家稱,PCI DSS 3.0版的主要目標之一是要求企業保持足夠的安全控制來在所有時候保護支付卡數據,不只是為了通過年度評估。
醫療設備、服務和照明解決方案國際制造商的PCI合規項目經理Nancy Rodriguez表示,PCI合規性嵌入到“照常營業”業務流程并不容易。
她表示,這個系統性的工作需要與全公司業務流程所有者召開會議,了解流程如何運作以及數據流向何處,然后再確認如何在不影響業務的前提下整合PCI合規性。Rodriguez補充說,這種工作很難做到,因為即使在大型企業,PCI合規團隊通常只有極少數人。
“我很幸運的是,當我進入現在這家公司時,該公司正處于起步階段,當時公司正在基于核心、標準元素重新定義所有流程,”Rodriguez稱,“我們建立了核心領域(信息安全、PCI、隱私等),并對其流程以及控制進行了描述。然后我們評估彼此的流程和控制,以確定我們的領域是否應該參與,以及如何參與。”
這是一個費力費時的過程,即使是對于相當大規模的企業,對于很多小型商家,在單個時間點的其余時間內保持合規性更加困難。前安全評估員兼獨立安全顧問Steven Weil表示,他開始看到越來越多的企業對PCI合規采取全年的做法,但這是一個挑戰,因為企業必須有成熟的信息安全和合規計劃。
Weil表示:“不幸的是,還有很多不太成熟的企業只是專注于每年一次的PCI合規性;對于這些企業而言,這樣做的風險越來越大。”
防火墻合規性、安全測試是主要問題
根據Verizon表示,企業未能滿足PCI合規要求的兩個主要領域涉及第11條要求,對安全系統和流程進行定期測試;以及第1條要求,其中主要是對防火墻的維護。
該公司只透露了部分細節信息,另外,在一份聲明中,Verizon Enterprise Solutions的合規和管理專業服務主管Rodolphe Simonetti表示,不斷變化的網絡安全環境需要企業改變他們的安全做法。
“企業需要采用我們稱之為‘有彈性’的模式,這意味著他們必須接受他們永遠不可能完全安全,”Simonetti表示,“對于數據保護,并沒有萬全之策。”
Weil推測,Verizon已經看到防火墻規則審查沒有得到充分執行,或者說,沒有按照PCI DSS要求的至少每六個月執行一次。
“在大型或復雜企業中,受PCI監管的關鍵防火墻可能有數百條規則必須進行審查,”Weil表示,“但對于繁忙的安全專業人員而言,了解哪些規則仍然有效以及哪些規則需要刪除/禁用,是很困難和非常耗時的工作。此外,防火墻管理員擔心關閉防火墻規則可能會帶來影響。”
Rodriguez表示同意,他說,盡管對于幾乎所有全面的信息安全計劃而言,防火墻維護都是基本工作,但PCI DSS圍繞防火墻的要求是“規定性的”,特別是對所有允許的服務、協議和端口的使用的文檔記錄和業務理由。
“還有很多人沒有意識到PCI DSS要求,”Rodriguez表示,“所以他們沒有構建這些控制到其流程和程序。”
同時,第11條要求還包含了高難度任務,從無線網絡安全到定期網絡安全掃描和第三方滲透測試。
有些企業仍然在艱難地滿足第11條要求,這并不足為奇;Verizon去年報告稱,在最符合要求的企業(即滿足95%PCI DSS控制的企業)中,超過半數沒有滿足第11條要求。雪上加霜的是,PCI 3.0版中的新要求規定,企業需要部署正式的滲透測試方法,這被認為是更新版本標準中最難以遵守的變化之一。
Aberdeen Group研究公司副總裁兼研究員Derek Brink表示,滿足PCI要求所帶來的挑戰變得更加艱巨,這也說明現在的IT基礎設施比幾年前更加復雜。
“對于所有企業而言,真正的目標應該是將風險降低到可以接受的水平,”Brink表示,“這意味著減少數據泄露事故的可能性—通過部署和維持普遍接受的安全控制和流程,以及減少不可避免要發生的數據泄露事故帶來的影響。”
Brink感嘆說,有些人肯定會利用Verizon令人沮喪的報告結果來“抨擊PCI標準”,他主張商家應該努力實現和維持PCI合規性,因為只有這樣做,這些企業才將會比他們想象的更加安全。
Brink補充說:“對于我來說,Verizon報告的巨大價值在于,它提供了關于關鍵問題的可能性和影響的事實和趨勢,這應該是企業必須了解的有關風險的事實。”
Verizon證實,下個月的PCI報告結果將會包含基于30多個國家的財富500強企業和大型跨國公司的數據。除了審查企業如何以及在哪里未符合PCI要求,該報告還會提供對12個PCI要求的深度剖析,以及第一次評估3.0版本的合規性工作。
