PCI DSS成功策略:第十一条规则

日期: 2009-02-04 作者:SearchSecurity.com翻译:Tina Guo 来源:TechTarget中国 英文

PCI DSS第十一条规则:定期测试安全系统和程序。   很多企业很少或者没有对管理他们的网络和面向互联网的Web网站应用的安全控件进行定期测试。没有定期运行内部和外部网络扫描来确认漏洞在后门向黑客和恶意代码开放大门的时候就会付出很大的代价。企业可能会在某些时间受到保护,但是新的漏洞每天都会出现,这也是为什么网络应该不断地打补丁并加固。

根据美国国土安全(Homeland Security)的 国家网络安全部门(National Cyber Security Division)提供的国家漏洞数据库(National Vulnerability Database)资料,互联网上每天平均会……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

PCI DSS第十一条规则:定期测试安全系统和程序。
 
  很多企业很少或者没有对管理他们的网络和面向互联网的Web网站应用的安全控件进行定期测试。没有定期运行内部和外部网络扫描来确认漏洞在后门向黑客和恶意代码开放大门的时候就会付出很大的代价。企业可能会在某些时间受到保护,但是新的漏洞每天都会出现,这也是为什么网络应该不断地打补丁并加固。根据美国国土安全(Homeland Security)的 国家网络安全部门(National Cyber Security Division)提供的国家漏洞数据库(National Vulnerability Database)资料,互联网上每天平均会出现19个漏洞。

  需要定期测试系统和程序的一个很好的例子是TJX Companies Inc的数据安全泄漏事件。TJX泄露事件最终归结于不安全的无线网络。根据华尔街日报的报道,调查人员认为黑客可以使用笔记本电脑和压缩天线(telescope-shaped antenna)绕过老旧的安全技术并渗透到WLAN网络。这家拥有174亿资产的零售商的无线网络的安全措施甚至低于很多家庭网络用户。在18个月中,TJX都不知道它已经受到攻击了,这种攻击可以允许恶意黑客下载至少4570万的信用卡和借记卡号码。

  如何满足PCI第十一条规则

  当提到扫描信息系统的漏洞的时候,确定要使用可以发现有线和无线网络上设备漏洞的工具和技术。和无线协议、弱加密方法和员工安全意识却犯相关的安全风险的数量很大。破解方法已经变得非常先进了,使用网络上的免费开源工具就可以进行。

  对没有使用最新安全更新的系统地成功攻击的数量一直很大。除了系统补丁程序,对网络和应用安全威胁最大的保护是坚持使用可以观察网络上所有应用和设备、确认漏洞并提供修复信息的漏洞扫描器。但是,扫面企业网络的漏洞还不能表现所有问题,只能发现已经遇到的问题或者至少发现。扫描,虽然很有希望,但是可能没有必要提供真实的类似攻击的渗透测试项目所提供的功能。

  为了了解它是否准备好了,(PCI DSS 要求并)命令企业必须每年执行信息系统的渗透测试,测量系统可承受工具的程度。这种类型的测试实际利用漏洞,更好的量化某种特殊发现的真实风险。根据零售数据安全2005基准研究(The Retail Data Security 2005 Benchmark Study)的报告,只有51%的零售商执行了网络渗透测试。令人吃惊的是,调查回应者的14%的指出他们遭受过客户数据安全泄漏。漏洞扫描可以查看已知的漏洞,但是没有解决成功入侵的因素。测试应该包括深度调查,可以显示对企业资产的真实威胁。

  此外,当提到测试程序的时候,所有可能影响到进入和流出过滤规则的变化都应该在对防火墙、路由器、VPN和WLAN设备进行调试前,通过正式的测试程序。这些变化因为恰当的原因都应该被认真检查,而且应该管理新发现的安全风险。信息系统环境应该总是变化以帮业务达到目标;因此,所有的变化都必须不断地检查并存档。

翻译

Tina Guo
Tina Guo

相关推荐

  • 渗透测试人员必备技能:实施渗透测试的HTTP方法

    本文将讨论一些实施渗透测试时的重要HTTP方法,旨在帮助没有Web应用渗透测试知识的渗透测试人员能够充分利用已有工具,成功地实施端到端的Web渗透测试。

  • 关于信息安全评估,需要get的重点

    即使周期性持续地执行,安全评估也不是解决所有安全问题的完美方法。然而,可以肯定的一点是,如果选择忽视这些重要工作,历史悲剧肯定会再一次重复……

  • Kali Linux渗透测试五步曲

    Kali Linux的设计目的是渗透测试。不管渗透测试者的起点是白盒测试、黑盒测试,还是灰盒测试,在用Kali或其它工具进行渗透测试时,需要遵循一些步骤。

  • 手把手教你实现有效的漏洞评估

    要想使漏洞评估更有成效,强健的安全策略就应当将漏洞对业务的影响、企业的总体安全策略、漏洞评估的结果联系起来。在本文中,详述了为确保有效性,漏洞评估应遵循的步骤。