Suche

Sprache

3 Möglichkeiten, wie Agentless MFA Herausforderungen von PCI DSS 8.3.1 erfolgreich bewältigt

11. Februar 2019

Startseite » Blog » 3 Möglichkeiten, wie Agentless MFA Herausforderungen von PCI DSS 8.3.1 erfolgreich bewältigt

Eine der häufigsten Fragen, die wir von Kunden erhalten, bezieht sich auf Anforderung 8.3.1 von PCI DSSv3.2:

In seiner neuesten Revision erweitert PCI MFA als Anforderung für alle Mitarbeiter mit administrativem Zugriff (Konsole und Nicht-Konsole) zusätzlich zu allen Mitarbeitern mit Fernzugriff auf die Karteninhaberdatenumgebung (Cardholder Data Environment, CDE).

Die Anforderung, den gesamten administrativen Zugriff auf das CDE mit MFA zu sichern, sollte nicht überraschen. Schließlich betreffen die meisten Datenschutzverletzungen im Einzelhandel den unbefugten Zugriff auf die Umgebung der Karteninhaberdaten.

PCI erklärt, dass die Wirksamkeit von Passwörtern als Authentifizierungsmechanismus fraglich ist und daher zusätzliche Sicherheitsmaßnahmen erforderlich sind. Tatsächlich in einem Interview mit Troy Leach, Chief Technology Officer des PCI Security Standards Council, erklärt er:

„Der wichtigste Punkt ist, dass die Anforderungsänderung für alle administrativen Zugriffe auf die Karteninhaberdatenumgebung gilt, auch aus dem eigenen Netzwerk heraus. Dies gilt für jeden Administrator, sei es ein Dritter oder ein interner, der die Möglichkeit hat, Systeme und andere Anmeldeinformationen innerhalb dieses Netzwerks zu ändern, um möglicherweise die Sicherheit der Umgebung zu gefährden.“

Es besteht also kein Zweifel, dass die Anforderung sinnvoll ist. Die Erfüllung dieser Anforderung ist jedoch in den meisten CDE-Umgebungen aufgrund der Art der Systeme und Tools im Geltungsbereich nicht trivial.

Inhaltsverzeichnis

  • Wo ist die Herausforderung?
  • Sichern des gesamten CDE-Zugriffs mit Silverfort's Agentless MFA
  • Wie funktioniert es?
  • BlueSnap-Kundenfallstudie:

    • Wo ist die Herausforderung?

    Der Geltungsbereich der CDE-Umgebung umfasst alle Systeme, die Karteninhaber- und Zahlungsdaten verarbeiten, speichern und/oder übertragen, sowie alles, was direkt mit dieser Umgebung verbunden ist oder diese unterstützt.
    Das bedeutet, dass Sie MFA für die folgende Liste von Systemen und Tools erzwingen müssen, die normalerweise in CDEs zu finden sind:

      • Jedes selbst entwickelte System, das Kreditkarten- und Zahlungsdaten verarbeitet, speichert oder übermittelt
      • Alle relevanten Produktionsserver – Windows und Linux
      • Kritische IT-Infrastruktur – einschließlich Hypervisoren, V-Center, Netzwerkgeräte, Dateifreigaben, Datenbanken
      • Virtual Private Network (VPN)
      • Virtual Desktop Infrastructure (VDI)
      • PAM-Lösungen (wie CyberArk)
      • Remotedesktop (RDP)
      • Secure Shell (SSH)
      • Alle Cloud-Dienste, die Teil der Verarbeitung sein könnten

    Wie Sie sehen, müssen Sie abhängig von der Mischung aus Systemen und Tools in Ihrer CDE-Umgebung nicht nur mehrere implementieren MFA-Lösungen oder komplexe Netzwerksegmentierungen – eine allein schon schwierige Aufgabe – wären für viele dieser Systeme nicht realisierbar. Warum? Weil kein sofort einsatzbereiter Support verfügbar ist oder weil sie aufgrund ihrer sensiblen und kritischen Natur keine Software-Agenten oder Proxys bereitstellen oder Konfigurationsänderungen vornehmen können. Schließlich möchte niemand die Verfügbarkeit und Stabilität eines kritischen Produktionssystems gefährden.

    Sichern des gesamten CDE-Zugriffs mit Silverfort's Agentless MFA

    SilverfortDie ganzheitliche Authentifizierungsplattform von ermöglicht es Unternehmen, MFA zu jedem System hinzuzufügen – einschließlich Systemen, die bis heute als nicht schützbar galten – ohne Softwareagenten bereitzustellen, Proxys zu implementieren oder Konfigurationsänderungen zu erfordern. Dadurch können unsere Kunden alle ihre CDE-Systeme sowie alle Zugriffe auf diese Systeme einfach schützen und die PCI-DSS-Anforderung 8.3.1 erfüllen. Hier ist wie:

    Wie funktioniert es?

    1) Silverfort überwacht und analysiert alle Benutzerzugriffsanfragen in allen Systemen und Umgebungen, indem es sich die Authentifizierungsprotokolle ansieht. Dies bedeutet, dass es nicht in ein CDE-System integriert werden muss oder die Verwendung von Software-Agenten erfordert.

    2) Indem MFA zusätzlich zu den Authentifizierungsprotokollen hinzugefügt wird, anstatt pro System, Silverfort kann jedes System schützen, einschließlich selbst entwickelter Anwendungen, sensibler Produktionsserver, PAM Lösungen und administrativer Zugriff (RDP, SSH), IT-Infrastruktur und mehr.

    3) Silverfort analysiert kontinuierlich das Risiko- und Vertrauensniveau im gesamten Netzwerk mithilfe einer fortschrittlichen KI-gesteuerten Risiko-Engine. Weil Silverfort überwacht und analysiert alle Benutzer- und Maschinenzugriffsanfragen – und ist nicht auf bestimmte geschützte Systeme beschränkt – es analysiert etwa 50-mal mehr Informationen als jedes andere adaptive Authentifizierung Lösung. Dies ermöglicht es Erkennen Sie verhaltensbasierte Anomalien genau und erkennen Sie bösartige Muster wie Brute-Force-Angriffe und seitliche Bewegungen, Ransomware und mehr, und wenden Sie effektive risikobasierte Authentifizierungsrichtlinien an, um Bedrohungen in Echtzeit zu blockieren. Was noch besser ist, es tut all dies, während legitime Benutzer ihre Arbeit mit minimalen Unterbrechungen fortsetzen können. Es kann auch die Authentifizierungsanforderungen als Reaktion auf Sicherheitswarnungen von Drittanbietern erhöhen.

    Ziemlich cool, aber was ist mit einem realen Szenario? Wir freuen uns, dass Sie gefragt haben!

    BlueSnap-Kundenfallstudie:

    Um die PCI-DSS-Anforderung 8.3 zu erfüllen, musste BlueSnap, ein globaler Zahlungsabwickler, eine Implementierung durchführen MFA auf VMware vCenter Server, bei dem es sich um die IT-Infrastruktur handelt, die die Karteninhaberdatenumgebung unterstützt, sowie für den Zugriff auf Produktions-Linux-Server. Sie benötigten eine MFA-Lösung, die keine spezielle Integration oder Installation von Software-Agenten erfordert.

    Sie wählten aus Silverfort um den gesamten privilegierten Zugriff, einschließlich RDP, SSH und Administratorzugriff, zu sichern vCenter. Die Umsetzung verlief schnell und einfach. Ein Proof of Concept wurde in nur wenigen Stunden erstellt und innerhalb eines Monats erweiterte BlueSnap die Lösung, um den privilegierten Zugriff in allen Büros auf der ganzen Welt zu sichern.

    BlueSnap-Fallstudie-MFA-für-sensible-Assets.pdf

    Laden Sie die Lösungsbeschreibung herunter

    Zusätzlich zu der Anforderung von 8.3.1, Silverfort kann andere PCI-DSS-Anforderungen mit einem einzigartigen und ganzheitlichen Ansatz erfüllen – Fragen Sie uns nach einer Demo um mehr zu erfahren.

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  

    März 2nd, 2024

    MFA-Schutz für Air-Gap-Netzwerke

    Februar 21st, 2024

    Minderung der Identitätsrisiken der Konten ehemaliger Mitarbeiter
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt