Verizon PCI报告:防火墙合规性、安全测试是主要问题

托管IT服务巨头Verizon指出了导致商家未能满足PCI DSS合规的两个关键问题领域。

日前,Verizon透露了其备受期待的年度报告中的内容,这份报告对Verizon Enterprise Solutions在过去三年期间执行的数千次PCI DSS合规性评估的结果进行了分析。

“照常营业”PCI合规被证明很困难

根据Verizon表示,2015年的数据表明大多数商家都在艰难地维持全年PCI合规性。该公司称,在通过审核后的不到一年时间内,只有不到三分之一的企业保持完全的PCI合规性。

这与PCI安全标准委员会所提倡的“持续合规性”口号形成鲜明对比。专家称,PCI DSS 3.0版的主要目标之一是要求企业保持足够的安全控制来在所有时候保护支付卡数据,不只是为了通过年度评估。

医疗设备、服务和照明解决方案国际制造商的PCI合规项目经理Nancy Rodriguez表示,PCI合规性嵌入到“照常营业”业务流程并不容易。

她表示,这个系统性的工作需要与全公司业务流程所有者召开会议,了解流程如何运作以及数据流向何处,然后再确认如何在不影响业务的前提下整合PCI合规性。Rodriguez补充说,这种工作很难做到,因为即使在大型企业,PCI合规团队通常只有极少数人。

“我很幸运的是,当我进入现在这家公司时,该公司正处于起步阶段,当时公司正在基于核心、标准元素重新定义所有流程,”Rodriguez称,“我们建立了核心领域(信息安全、PCI、隐私等),并对其流程以及控制进行了描述。然后我们评估彼此的流程和控制,以确定我们的领域是否应该参与,以及如何参与。”

这是一个费力费时的过程,即使是对于相当大规模的企业,对于很多小型商家,在单个时间点的其余时间内保持合规性更加困难。前安全评估员兼独立安全顾问Steven Weil表示,他开始看到越来越多的企业对PCI合规采取全年的做法,但这是一个挑战,因为企业必须有成熟的信息安全和合规计划。

Weil表示:“不幸的是,还有很多不太成熟的企业只是专注于每年一次的PCI合规性;对于这些企业而言,这样做的风险越来越大。”

防火墙合规性、安全测试是主要问题

根据Verizon表示,企业未能满足PCI合规要求的两个主要领域涉及第11条要求,对安全系统和流程进行定期测试;以及第1条要求,其中主要是对防火墙的维护。

该公司只透露了部分细节信息,另外,在一份声明中,Verizon Enterprise Solutions的合规和管理专业服务主管Rodolphe Simonetti表示,不断变化的网络安全环境需要企业改变他们的安全做法。

“企业需要采用我们称之为‘有弹性’的模式,这意味着他们必须接受他们永远不可能完全安全,”Simonetti表示,“对于数据保护,并没有万全之策。”

Weil推测,Verizon已经看到防火墙规则审查没有得到充分执行,或者说,没有按照PCI DSS要求的至少每六个月执行一次。

“在大型或复杂企业中,受PCI监管的关键防火墙可能有数百条规则必须进行审查,”Weil表示,“但对于繁忙的安全专业人员而言,了解哪些规则仍然有效以及哪些规则需要删除/禁用,是很困难和非常耗时的工作。此外,防火墙管理员担心关闭防火墙规则可能会带来影响。”

Rodriguez表示同意,他说,尽管对于几乎所有全面的信息安全计划而言,防火墙维护都是基本工作,但PCI DSS围绕防火墙的要求是“规定性的”,特别是对所有允许的服务、协议和端口的使用的文档记录和业务理由。

“还有很多人没有意识到PCI DSS要求,”Rodriguez表示,“所以他们没有构建这些控制到其流程和程序。”

同时,第11条要求还包含了高难度任务,从无线网络安全到定期网络安全扫描和第三方渗透测试。

有些企业仍然在艰难地满足第11条要求,这并不足为奇;Verizon去年报告称,在最符合要求的企业(即满足95%PCI DSS控制的企业)中,超过半数没有满足第11条要求。雪上加霜的是,PCI 3.0版中的新要求规定,企业需要部署正式的渗透测试方法,这被认为是更新版本标准中最难以遵守的变化之一。

Aberdeen Group研究公司副总裁兼研究员Derek Brink表示,满足PCI要求所带来的挑战变得更加艰巨,这也说明现在的IT基础设施比几年前更加复杂。

“对于所有企业而言,真正的目标应该是将风险降低到可以接受的水平,”Brink表示,“这意味着减少数据泄露事故的可能性—通过部署和维持普遍接受的安全控制和流程,以及减少不可避免要发生的数据泄露事故带来的影响。”

Brink感叹说,有些人肯定会利用Verizon令人沮丧的报告结果来“抨击PCI标准”,他主张商家应该努力实现和维持PCI合规性,因为只有这样做,这些企业才将会比他们想象的更加安全。

Brink补充说:“对于我来说,Verizon报告的巨大价值在于,它提供了关于关键问题的可能性和影响的事实和趋势,这应该是企业必须了解的有关风险的事实。”

Verizon证实,下个月的PCI报告结果将会包含基于30多个国家的财富500强企业和大型跨国公司的数据。除了审查企业如何以及在哪里未符合PCI要求,该报告还会提供对12个PCI要求的深度剖析,以及第一次评估3.0版本的合规性工作。

作者:Eric Parizo

来源:51CTO

时间: 2024-10-22 15:46:35

Verizon PCI报告:防火墙合规性、安全测试是主要问题的相关文章

华为与Verizon完成全球首个10GGPON测试

C114讯 12月23日午间消息(蒋均牧)美国电信巨头Verizon与华为日前完成全球首个10G GPON FTTP(C114注:Fiber to The Premise光纤到用户所在地,包括FTTB.FTTC以及狭义的FTTH)现网测试,测试在美国马萨诸塞州南部进行. 华为相关人士在接受C114专访时表示,Verizon此次测试基于华为的MA5680T平台进行,Verizon在官网公开称赞华为是"下一代电信技术的领导者".据C114了解,目前ITU-T 10G GPONG987.1及

ALICloudDB for PostgreSQL 试用报告 - 5 长短连接测试

本文将教你测试长连接和短连接的性能. 我们在连接阿里云RDS for PostgreSQL时,实际上并不是直接连接数据库的,而是通过了SLB. 那么这个代理有没有连接池功能呢?通过测试发现,即使有连接池的功能,也是会话级别的,所以如果你的业务系统如果是高并发的短事务,建议你在应用层启用连接池,如果不能启用,那么请在应用层自己假设一个连接池例如pgbouncer. 测试: 3433代理并不是全代理,所以我们看到客户端IP地址就是实际的客户端IP,而不是代理的IP. postgres@xxx-> p

NSS Labs攻击防护测试面面观 —— RSA2016大会首日 NSS Labs为山石网科颁发下一代防火墙推荐级奖项

3月1日,在开幕首日的美国RSA大会现场,NSS Labs高管Garret Jones在现场来宾的见证下为山石网科颁发了下一代防火墙推荐级水晶授牌,山石网科凭借着下一代防火墙的卓越表现,成为了首家成功通过NSS Labs该项测试的中国企业.这一里程碑式的成就对于山石网科而言,无疑是极大的鼓舞,也开创了国内网络安全企业的先河. 山石网科的下一代防火墙在NSS Labs推出的价值象限中占据了近乎右上顶点的优异位置,能以最低的总体拥有成本及最高的安全防护级别为全球超过12000名用户提供全面保护.  

Verizon《市场状况:物联网2017》报告的十大摘要

麻烦让点地方,消费者应用程序:Verizon的<市场状况:物联网2017>报告表示,物联网今年正在进军企业领域. Verizon的第三份年度报告通过原始和第三方研究.以及案例研究来了解物联网的商业价值.今年,物联网在平台开发和安全等方面取得了长足的进步.虽然物联网对于企业来说正在变得更加友好,不再仅是一个消费者游戏,但企业采用的速度仍然很慢,这为解决方案提供商提供了空间,他们可以介入进来,帮助他们的客户考虑使用物联网来改善自己的业务. 这里是摘自Verizon的报告的十大摘要. 企业应用状况

当研究PCI渗透测试指南时,你应该注意这六个方面

尽管PCI DSS 3.0版本已经全面推出,但仍然有很多关于企业难以遵守11.3章节中列出的PCI渗透测试要求的讨论. 为了帮助企业充分了解PCI DSS 3.0要求,PCI安全标准委员会在2015年3月发布了PCI DSS补充信息:渗透测试指南.该文档详细介绍了渗透测试过程的一般方法,从范围界定到测试不同的网络层,再到测试后续步骤(例如报告)等. PCI渗透测试文档以及PCI DSS合规所要求的方法的优点是,并没有什么新东西.除了提到云计算环境.网络钓鱼以及缩小持卡人数据环境范围等新概念外,这

罗德与施瓦茨联合北美运营商Verizon演示5G信号外场测试

基于Verizon的外场测试要求,罗德与施瓦茨成功的协助Verizon完成了5G信号外场测试.R&S SMW200A矢量信号源和R&S FSW信号分析仪分别提供了优异的信号产生和分析能力,当加载5G信号的时候,两者联合的残余EVM性能小于1%. 2016年9月16日,慕尼黑--在今年7月,美国一线运营商Verizon无线联合主流基站设备.芯片和终端厂商,发布了5G的技术规范和物理层定义.该规范基于LTE的基本架构,并可根据需求适用于28GHz或39GHz的毫米波频段,美国联邦通信委员会(F

下一代防火墙哪家强? NSS Labs报告揭晓

面对日益严峻的网络安全挑战,可以全面应对应用层威胁的高性能下一代防火墙设备,无疑成为今天各机构进行安全部署的首选设备.那么在众多的下一代防火墙产品中,究竟哪家品牌的产品更具防御优势呢?近日,国际独立安全研究和评测机构NSS labs公布了2015年度下一代防火墙的测评结果,一起来了解下吧. 此次防火墙测试,NSS labs邀请到全球十二个主流品牌的下一代防火墙产品并对其进行了综合评估,然而在公布了测试成绩后,包括华为.山石网科的中国厂商下一代防火墙产品在此次国际公开测评中一举夺魁,令业内人士刮目

怎样正确地测试和维护防火墙?

本文中专家Eric Cole介绍了如何通过适当的维护和测试来解决防火墙性能低下和故障问题. 大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙.在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事. 然而,最近笔者注意到一种趋势:防火墙并没有提供它能提供的全部保护,因为它们没有得到升级或正确维护.笔者并不是说单靠防火墙可以阻止所有攻击,这不太可能,但笔者认为它们可以比现在更加有效. 在考虑维护和测试及检查防火墙规则时,企业应该提出以下问题: 1. 最

农行报告:压力测试未完全反映房价下跌风险

报告称,压力测试或未考虑到以房地产为抵押的相关贷款的风险,一旦房价大幅下跌,相关行业贷款也会受到严重影响 [财新网](综合媒体报道) 据路透社披露,中国农业银行(601288.SH/01288.HK)战略管理部最新发布的研究报告称,最新一轮房贷压力测试的结果,虽然较为乐观,可能并未完全反映房价下跌的风险. 报告认为,压力测试主要测的是房地产开发贷款和个人住房按揭贷款的坏账率,但或未考虑到以房地产为抵押的相关贷款的风险:而房地产开发上下游链条很长.关联甚广,一旦房价大幅下跌,相关行业贷款也会受到严