3 แนวทางที่ MFA แบบไร้ตัวแทนจัดการกับความท้าทายของ PCI DSS 8.3.1 ได้สำเร็จ
กุมภาพันธ์ 11th, 2019 ดาน่า ทาเมียร์
หนึ่งในคำถามที่พบบ่อยที่สุดที่เราได้รับจากลูกค้าเกี่ยวกับข้อกำหนด 8.3.1 ของ PCI DSSv3.2:
ในการแก้ไขล่าสุด PCI ขยาย ไอ้เวรตะไล เป็นข้อกำหนดสำหรับบุคลากรทุกคนที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ (คอนโซลและไม่ใช่คอนโซล) นอกเหนือจากบุคลากรใดๆ ที่สามารถเข้าถึงสภาพแวดล้อมข้อมูลผู้ถือบัตร (CDE) จากระยะไกล
ข้อกำหนดในการรักษาความปลอดภัยการเข้าถึง CDE ด้วย MFA ของผู้ดูแลระบบทั้งหมดนั้นไม่ใช่เรื่องน่าแปลกใจ ท้ายที่สุด การละเมิดข้อมูลส่วนใหญ่ในภาคการค้าปลีกเกี่ยวข้องกับการเข้าถึงสภาพแวดล้อมข้อมูลของผู้ถือบัตรโดยไม่ได้รับอนุญาต
PCI อธิบายว่าประสิทธิภาพของรหัสผ่านในฐานะกลไกการพิสูจน์ตัวตนเป็นสิ่งที่น่าสงสัย ดังนั้นจึงจำเป็นต้องมีมาตรการรักษาความปลอดภัยเพิ่มเติม ในความเป็นจริงใน สัมภาษณ์ กับ Troy Leach ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ PCI Security Standards Council เขาอธิบายว่า:
“ประเด็นที่สำคัญที่สุดคือการเปลี่ยนแปลงข้อกำหนดนี้มีไว้สำหรับการเข้าถึงระดับผู้ดูแลระบบทั้งหมดในสภาพแวดล้อมข้อมูลของผู้ถือบัตร แม้กระทั่งจากภายในเครือข่ายของบริษัทเอง สิ่งนี้ใช้กับผู้ดูแลระบบ ไม่ว่าจะเป็นบุคคลที่สามหรือภายในที่มีความสามารถในการเปลี่ยนระบบและข้อมูลประจำตัวอื่น ๆ ภายในเครือข่ายนั้นซึ่งอาจส่งผลต่อความปลอดภัยของสภาพแวดล้อม”
ดังนั้นจึงไม่ต้องสงสัยเลยว่าความต้องการนั้นสมเหตุสมผล อย่างไรก็ตาม การจัดการกับข้อกำหนดนี้ไม่ใช่เรื่องเล็กน้อยในสภาพแวดล้อม CDE ส่วนใหญ่ เนื่องจากลักษณะของระบบและเครื่องมือในขอบเขต
สารบัญ
ท้าทายตรงไหน?
ขอบเขตของสภาพแวดล้อม CDE รวมถึงระบบใดๆ ที่ประมวลผล จัดเก็บและ/หรือส่งข้อมูลผู้ถือบัตรและข้อมูลการชำระเงิน ตลอดจนสิ่งใดก็ตามที่เชื่อมต่อหรือสนับสนุนสภาพแวดล้อมนี้โดยตรง
ซึ่งหมายความว่าคุณต้องบังคับใช้ MFA ในรายการระบบและเครื่องมือต่อไปนี้ซึ่งมักพบใน CDE:
-
- ระบบพื้นบ้านที่ประมวลผล จัดเก็บ หรือส่งข้อมูลบัตรเครดิตและข้อมูลการชำระเงิน
- เซิร์ฟเวอร์การผลิตที่เกี่ยวข้องทั้งหมด – Windows และ Linux
- โครงสร้างพื้นฐานด้านไอทีที่สำคัญ – รวมถึงไฮเปอร์ไวเซอร์, V-Center, อุปกรณ์เครือข่าย, การแชร์ไฟล์, ฐานข้อมูล
- เครือข่ายส่วนตัวเสมือน (VPN)
- โครงสร้างพื้นฐานเดสท็อปเสมือน (VDI)
- โซลูชั่น PAM (เช่น CyberArk)
- เดสก์ท็อประยะไกล (RDP)
- Secure Shell (SSH)
- บริการคลาวด์ใด ๆ ที่อาจเป็นส่วนหนึ่งของการประมวลผล
อย่างที่คุณเห็น ขึ้นอยู่กับการผสมกันของระบบและเครื่องมือในสภาพแวดล้อม CDE ของคุณ ไม่เพียงแต่คุณจะต้องใช้หลายระบบเท่านั้น โซลูชัน MFA หรือการแบ่งส่วนเครือข่ายที่ซับซ้อน ซึ่งเป็นงานที่ยากด้วยตัวมันเอง ซึ่งไม่สามารถทำได้สำหรับระบบเหล่านี้จำนวนมาก ทำไม เนื่องจากไม่มีการสนับสนุนแบบสำเร็จรูปหรือเนื่องจากลักษณะที่ละเอียดอ่อนและวิกฤตจะไม่อนุญาตให้คุณปรับใช้ตัวแทนซอฟต์แวร์หรือพร็อกซีใดๆ หรือทำการเปลี่ยนแปลงการกำหนดค่าใดๆ ท้ายที่สุด ไม่มีใครอยากเสี่ยงกับความพร้อมใช้งานและความเสถียรของระบบการผลิตที่สำคัญใดๆ
การรักษาความปลอดภัยการเข้าถึง CDE ทั้งหมดด้วย SilverfortMFA ไร้ตัวแทน
Silverfortแพลตฟอร์มการรับรองความถูกต้องแบบองค์รวมช่วยให้องค์กรสามารถเพิ่ม MFA ลงในระบบใด ๆ ก็ได้ รวมถึงระบบที่ถือว่าไม่สามารถป้องกันได้จนถึงทุกวันนี้ โดยไม่ต้องปรับใช้ซอฟต์แวร์เอเจนต์ใด ๆ ใช้พร็อกซี หรือต้องเปลี่ยนแปลงการกำหนดค่าใด ๆ สิ่งนี้ทำให้ลูกค้าของเราสามารถปกป้องระบบ CDE ทั้งหมดของตนได้อย่างง่ายดาย เช่นเดียวกับการเข้าถึงระบบเหล่านั้นและระบุข้อกำหนด PCI DSS 8.3.1 นี่คือวิธี:
มันทำงานอย่างไร?
1) Silverfort ตรวจสอบและวิเคราะห์คำขอการเข้าถึงของผู้ใช้ทั้งหมดในทุกระบบและสภาพแวดล้อมโดยดูที่โปรโตคอลการตรวจสอบสิทธิ์ ซึ่งหมายความว่าไม่จำเป็นต้องรวมเข้ากับระบบ CDE ใดๆ หรือต้องใช้ตัวแทนซอฟต์แวร์ใดๆ
2) โดยการเพิ่ม MFA ด้านบนของโปรโตคอลการตรวจสอบความถูกต้อง แทนที่จะเพิ่มทีละระบบ Silverfort สามารถปกป้องระบบใดๆ รวมถึงแอปพลิเคชันที่ผลิตเอง เซิร์ฟเวอร์ที่ใช้งานจริงที่มีความละเอียดอ่อน PAM โซลูชันและการเข้าถึงระดับผู้ดูแลระบบ (RDP, SSH) โครงสร้างพื้นฐานด้านไอที และอื่นๆ
3) Silverfort วิเคราะห์ความเสี่ยงและระดับความน่าเชื่อถือทั่วทั้งเครือข่ายอย่างต่อเนื่องโดยใช้เครื่องมือความเสี่ยงขั้นสูงที่ขับเคลื่อนด้วย AI เพราะ Silverfort ตรวจสอบและวิเคราะห์คำขอการเข้าถึงของผู้ใช้และเครื่องทั้งหมด — และไม่จำกัดเฉพาะระบบที่ได้รับการป้องกัน — โดยจะวิเคราะห์ข้อมูลมากกว่าระบบอื่น ๆ ประมาณ 50 เท่า การรับรองความถูกต้องแบบปรับได้ สารละลาย. สิ่งนี้ทำให้สามารถ ตรวจจับความผิดปกติตามพฤติกรรมได้อย่างแม่นยำและจดจำรูปแบบที่เป็นอันตราย เช่น การโจมตีด้วยกำลังดุร้าย การเคลื่อนไหวด้านข้างแรนซัมแวร์ และอื่นๆ และใช้นโยบายการตรวจสอบสิทธิ์ตามความเสี่ยงที่มีประสิทธิภาพเพื่อบล็อกภัยคุกคามแบบเรียลไทม์ ยิ่งไปกว่านั้น ทั้งหมดนี้ยังช่วยให้ผู้ใช้ที่ถูกต้องสามารถทำงานต่อไปได้โดยหยุดชะงักน้อยที่สุด นอกจากนี้ยังสามารถเพิ่มข้อกำหนดการตรวจสอบความถูกต้องเพื่อตอบสนองต่อการแจ้งเตือนความปลอดภัยของบุคคลที่สาม
ค่อนข้างดี แต่สถานการณ์ในชีวิตจริงล่ะ? เราดีใจที่คุณถาม!
กรณีศึกษาของลูกค้า BlueSnap:
เพื่อให้เป็นไปตามข้อกำหนด PCI DSS 8.3 จึงจำเป็นต้องมี BlueSnap ซึ่งเป็นผู้ประมวลผลการชำระเงินระดับโลก MFA บน VMware vCenter เซิร์ฟเวอร์ ซึ่งเป็นโครงสร้างพื้นฐานด้านไอทีที่สนับสนุนสภาพแวดล้อมข้อมูลของผู้ถือบัตร รวมถึงการเข้าถึงเซิร์ฟเวอร์ Linux ที่ใช้งานจริง พวกเขาต้องการโซลูชัน MFA ที่ไม่จำเป็นต้องมีการบูรณาการหรือการติดตั้งตัวแทนซอฟต์แวร์เป็นพิเศษ
พวกเขาเลือก Silverfort เพื่อรักษาความปลอดภัยการเข้าถึงที่มีสิทธิพิเศษทั้งหมด รวมถึงการเข้าถึง RDP, SSH และผู้ดูแลระบบ vCenter. การนำไปปฏิบัติทำได้ง่ายและรวดเร็ว การพิสูจน์แนวคิดได้รับการจัดเตรียมภายในเวลาเพียงไม่กี่ชั่วโมง และภายในหนึ่งเดือน BlueSnap ได้ขยายโซลูชันเพื่อความปลอดภัยในการเข้าถึงสิทธิพิเศษในสำนักงานทุกแห่งทั่วโลก
BlueSnap-กรณีศึกษา-MFA-for-Sensitive-Assets.pdf
นอกเหนือจากข้อกำหนด 8.3.1 แล้ว Silverfort สามารถตอบสนองความต้องการ PCI DSS อื่นๆ ด้วยวิธีการที่ไม่เหมือนใครและเป็นองค์รวม – ขอให้เราสาธิต เพื่อเรียนรู้เพิ่มเติม
