Rechercher

Langue

3 façons dont l'AMF sans agent relève avec succès les défis de la norme PCI DSS 8.3.1

11 février 2019

Accueil » Blog » 3 façons dont l'AMF sans agent relève avec succès les défis de la norme PCI DSS 8.3.1

L'une des questions les plus fréquemment posées par les clients concerne l'exigence 8.3.1 de la norme PCI DSSv3.2 :

Dans sa dernière révision, PCI étend MFA comme une exigence pour tout le personnel ayant un accès administratif (console et non-console), en plus de tout personnel ayant un accès à distance à l'environnement de données du titulaire de carte (CDE).

L'obligation de sécuriser tous les accès administratifs au CDE avec MFA ne devrait pas surprendre. Après tout, la plupart des violations de données dans le secteur de la vente au détail impliquent un accès non autorisé à l'environnement des données des titulaires de carte.

PCI explique que l'efficacité des mots de passe en tant que mécanisme d'authentification est discutable, par conséquent des mesures de sécurité supplémentaires sont nécessaires. En fait, dans un interview avec Troy Leach, directeur de la technologie du PCI Security Standards Council, il explique :

« Le point le plus important est que la modification de l'exigence est destinée à tous les accès administratifs à l'environnement des données des titulaires de cartes, même depuis le propre réseau d'une entreprise. Cela s'applique à tout administrateur, qu'il soit un tiers ou interne, qui a la capacité de modifier les systèmes et autres informations d'identification au sein de ce réseau pour potentiellement compromettre la sécurité de l'environnement.

Il ne fait donc aucun doute que l'exigence a du sens. Cependant, répondre à cette exigence n'est pas trivial dans la plupart des environnements CDE en raison de la nature des systèmes et des outils concernés.

Table des matières

  • Où est le défi ?
  • Sécurisation de tous les accès CDE avec SilverfortMFA sans agent
  • Comment cela fonctionne ? 
  • Étude de cas client BlueSnap :

    • Où est le défi ?

    La portée de l'environnement CDE comprend tous les systèmes qui traitent, stockent et/ou transmettent les données de titulaire de carte et de paiement, ainsi que tout ce qui se connecte directement à, ou prend en charge, cet environnement.
    Cela signifie que vous devez appliquer l'authentification MFA sur la liste suivante de systèmes et d'outils que l'on trouve généralement dans les CDE :

      • Tout système interne qui traite, stocke ou transmet des données de carte de crédit et de paiement
      • Tous les serveurs de production pertinents – Windows et Linux
      • Infrastructure informatique critique - y compris les hyperviseurs, V-Center, les périphériques réseau, les partages de fichiers, les bases de données
      • Virtual Private Network (VPN)
      • Virtual Desktop Infrastructure (VDI)
      • solutions PAM (comme CyberArk)
      • Bureau à distance (RDP)
      • Secure Shell (SSH)
      • Tous les services cloud pouvant faire partie du traitement

    Comme vous pouvez le constater, en fonction de la combinaison de systèmes et d'outils dans votre environnement CDE, vous devrez non seulement implémenter plusieurs Solutions MFA ou des segmentations de réseau complexes - une tâche difficile en soi - cela serait irréalisable pour bon nombre de ces systèmes. Pourquoi? Parce qu'aucune prise en charge prête à l'emploi n'est disponible ou parce que leur nature sensible et critique ne vous permettra pas de déployer des agents logiciels ou des proxys, ni d'apporter des modifications à la configuration. Après tout, personne ne veut risquer la disponibilité et la stabilité d'un système de production critique.

    Sécurisation de tous les accès CDE avec SilverfortMFA sans agent

    SilverfortLa plate-forme d'authentification holistique de permet aux entreprises d'ajouter l'authentification multifacteur à n'importe quel système, y compris les systèmes considérés comme non protégés jusqu'à aujourd'hui, sans déployer d'agents logiciels, mettre en œuvre des proxys ou nécessiter de modifications de configuration. Cela permet à nos clients de protéger facilement tous leurs systèmes CDE, ainsi que tout accès à ces systèmes et de répondre à l'exigence 8.3.1 de la norme PCI DSS. Voici comment:

    Comment cela fonctionne ? 

    1) Silverfort surveille et analyse toutes les demandes d'accès des utilisateurs sur tous les systèmes et environnements en examinant les protocoles d'authentification. Cela signifie qu'il n'a pas besoin de s'intégrer à un système CDE ou de nécessiter l'utilisation d'agents logiciels.

    2) En ajoutant MFA en plus des protocoles d'authentification, plutôt que par système, Silverfort peut protéger n'importe quel système, y compris les applications maison, les serveurs de production sensibles, PAM et Bastion solutions et accès administratifs (RDP, SSH), infrastructure informatique et plus encore.

    3) Silverfort analyse en continu les niveaux de risque et de confiance sur l'ensemble du réseau à l'aide d'un moteur de risque avancé basé sur l'IA. Parce que Silverfort surveille et analyse toutes les demandes d'accès des utilisateurs et des machines - et ne se limite pas à des systèmes protégés spécifiques - il analyse environ 50 fois plus d'informations que tout autre l'authentification adaptative solution. Cela lui permet de détecter avec précision les anomalies basées sur le comportement et reconnaître les schémas malveillants tels que les attaques par force brute, les mouvements latéraux, les ransomwares et plus encore, et appliquez des politiques d'authentification efficaces basées sur les risques pour bloquer les menaces en temps réel. Quoi de mieux, il fait tout cela tout en permettant aux utilisateurs légitimes de poursuivre leur travail avec un minimum de perturbations. Il peut également renforcer les exigences d'authentification en réponse aux alertes de sécurité tierces.

    Assez cool, mais qu'en est-il d'un scénario réel ? Nous sommes heureux que vous ayez demandé !

    Étude de cas client BlueSnap :

    Pour se conformer à l'exigence PCI DSS 8.3, BlueSnap, un processeur de paiement mondial, devait mettre en œuvre MFA sur VMware vCenter Server, qui est l'infrastructure informatique supportant l'environnement de données du titulaire de carte, ainsi que pour tout accès aux serveurs Linux de production. Ils avaient besoin d'une solution MFA qui ne nécessite pas d'intégration ou d'installation spéciale d'agents logiciels.

    ils ont sélectionné Silverfort pour sécuriser tous les accès privilégiés, y compris l'accès RDP, SSH et administrateur à vCenter. La mise en œuvre a été simple et rapide. Une preuve de concept a été mise en place en quelques heures seulement, et en un mois, BlueSnap a étendu la solution pour sécuriser l'accès privilégié dans tous les bureaux du monde.

    Étude de cas BlueSnap-MFA-pour-actifs-sensibles.pdf

    Téléchargez la présentation de la solution

    En plus de l'exigence 8.3.1, Silverfort peut répondre à d'autres exigences PCI DSS avec une approche unique et holistique - demandez-nous une démo pour en savoir plus.

    Prêt pour une démo ?
    Inscrivez-vous aujourd'hui.

    Messages récents

    24 avril 2024

    5 façons d'améliorer votre hygiène AD avec Silverfort  

    26 mars 2024

    Le rapport Identity Underground : aperçu approfondi des failles de sécurité des identités les plus critiques  

    Mars 2nd, 2024

    Protection MFA pour les réseaux isolés

    Février 21st, 2024

    Atténuer les risques d'identité des comptes des ex-employés
    Voir plus

    Suivez-nous

    Arrêtez les menaces sur l'identité