Três maneiras pelas quais o MFA sem agente enfrenta com sucesso os desafios do PCI DSS 3

Uma das perguntas mais comuns que recebemos dos clientes é em relação ao requisito 8.3.1 do PCI DSSv3.2:

Em sua última revisão, o PCI estende MFA como requisito para todo o pessoal com acesso administrativo (console e não-console), além de qualquer pessoal com acesso remoto ao Ambiente de Dados do Titular do Cartão (CDE).

A exigência de garantir todo o acesso administrativo ao CDE com MFA não deveria surpreender. Afinal, a maioria das violações de dados no setor retalhista envolve acesso não autorizado ao ambiente de dados do titular do cartão.

O PCI explica que a eficácia das senhas como mecanismo de autenticação é questionável, portanto são necessárias medidas de segurança adicionais. Na verdade, numa entrevista com Troy Leach, Diretor de Tecnologia do PCI Security Standards Council, ele explica:

“O ponto mais importante é que a mudança no requisito se destina a todo acesso administrativo ao ambiente de dados do titular do cartão, mesmo dentro da própria rede da empresa. Isso se aplica a qualquer administrador, seja ele terceiro ou interno, que tenha a capacidade de alterar sistemas e outras credenciais dentro dessa rede para comprometer potencialmente a segurança do ambiente.”

Portanto, não há dúvida de que o requisito faz sentido. Contudo, atender a esse requisito não é trivial na maioria dos ambientes CDE devido à natureza dos sistemas e ferramentas no escopo.

Onde está o desafio?

O escopo do ambiente CDE inclui quaisquer sistemas que processem, armazenem e/ou transmitam dados de titulares de cartão e de pagamento, bem como qualquer coisa que se conecte diretamente ou suporte esse ambiente.
Isso significa que você precisa impor a MFA na seguinte lista de sistemas e ferramentas normalmente encontradas em CDEs:

• • Qualquer sistema interno que processe, armazene ou transmita dados de cartão de crédito e de pagamento
  • Todos os servidores de produção relevantes – Windows e Linux
  • Infraestrutura crítica de TI – incluindo hipervisores, V-Center, dispositivos de rede, compartilhamentos de arquivos, bancos de dados
  • Virtual Private Network (VPN)
  • Virtual Desktop Infrastructure (VDI)
  • Soluções PAM (como CyberArk)
  • Área de Trabalho Remota (RDP)
  • Secure Shell (SSH)
  • Quaisquer serviços em nuvem que possam fazer parte do processamento

Como você pode ver, dependendo da combinação de sistemas e ferramentas em seu ambiente CDE, você não apenas precisará implementar vários Soluções de AMF ou segmentações de rede complexas — uma tarefa difícil por si só — seria inviável para muitos desses sistemas. Por que? Porque nenhum suporte pronto para uso está disponível ou porque sua natureza sensível e crítica não permitirá que você implante quaisquer agentes ou proxies de software ou faça quaisquer alterações na configuração. Afinal, ninguém quer arriscar a disponibilidade e a estabilidade de qualquer sistema de produção crítico.

Protegendo todo o acesso ao CDE com SilverfortMFA sem agente do

SilverfortA plataforma de autenticação holística da Microsoft permite que as organizações adicionem MFA a qualquer sistema — incluindo sistemas que eram considerados inprotegíveis até hoje — sem implantar quaisquer agentes de software, implementar proxies ou exigir quaisquer alterações de configuração. Isso permite que nossos clientes protejam facilmente todos os seus sistemas CDE, bem como qualquer acesso a esses sistemas e atendam ao requisito 8.3.1 do PCI DSS. Veja como:

Como funciona o Tech & Data Studio:

1) Silverfort monitora e analisa todas as solicitações de acesso de usuários em todos os sistemas e ambientes observando os protocolos de autenticação. Isso significa que ele não precisa se integrar a nenhum sistema CDE nem requer o uso de nenhum agente de software.

2) Ao adicionar MFA aos protocolos de autenticação, em vez de por sistema, Silverfort pode proteger qualquer sistema, incluindo aplicativos internos, servidores de produção confidenciais, PAM soluções e acesso administrativo (RDP, SSH), infraestrutura de TI e muito mais.

3) Silverfort analisa continuamente os níveis de risco e confiança em toda a rede usando um mecanismo avançado de risco orientado por IA. Porque Silverfort monitora e analisa todas as solicitações de acesso de usuários e máquinas — e não se limita a sistemas protegidos específicos — ele analisa cerca de 50 vezes mais informações do que qualquer outro autenticação adaptativa solução. Isto permite-lhe detectar com precisão anomalias baseadas em comportamento e reconhecer padrões maliciosos, como ataques de força bruta, movimento lateral, ransomware e muito mais, e aplique políticas eficazes de autenticação baseadas em riscos para bloquear ameaças em tempo real. E o que é melhor, ele faz tudo isso permitindo que usuários legítimos continuem seu trabalho com interrupções mínimas. Também pode aumentar os requisitos de autenticação em resposta a alertas de segurança de terceiros.

Muito legal, mas e um cenário da vida real? Estamos felizes que você perguntou!

Estudo de caso do cliente BlueSnap:

Para cumprir o requisito 8.3 do PCI DSS, a BlueSnap, um processador de pagamentos global, precisava implementar MFA no VMware vCenter Servidor, que é a infraestrutura de TI que suporta o Ambiente de Dados do Titular do Cartão, bem como para qualquer acesso a servidores Linux de produção. Eles precisavam de uma solução MFA que não exigisse integração especial ou instalação de agentes de software.

Eles selecionaram Silverfort para proteger todo o acesso privilegiado, incluindo RDP, SSH e acesso de administrador a vCenter. A implementação foi rápida e fácil. Uma prova de conceito foi criada em apenas algumas horas e, em um mês, a BlueSnap estendeu a solução para proteger o acesso privilegiado em todos os escritórios em todo o mundo.

BlueSnap-Case-Study-MFA-for-Sensitive-Assets.pdf

Baixe o resumo da solução

Além do requisito 8.3.1, Silverfort pode atender a outros requisitos do PCI DSS com uma abordagem única e holística – peça-nos uma demonstração para saber mais.