来自 数据 2021-10-13 20:16 的文章

香港高防cdn_防ddos攻击服务_打不死

香港高防cdn_防ddos攻击服务_打不死

支付卡行业数据安全标准(PCI DSS)3.0版现在已成为衡量使用信用卡或借记卡进行商业活动的所有商户和服务提供商安全程序的事实标准。PCI DSS中有12个主要需求;今年,Tenable博客将针对这12个需求进行一系列讨论。这些博客文章的重点将是提供提示和建议,帮助澄清新内容,并增强理解,以便您的组织能够实现可持续的安全态势,轻松满足PCI DSS要求。PCI安全标准委员会(SSC)在第3版中添加了一个名为"指南"的信息部分,对PCI DSS进行了极大的改进。您应始终参考本节,以确定需求的上下文,并了解PCI SSC如何解释需求的精神或意图。理解需求的意图不仅对确保您满足需求至关重要,而且对于确定可行的替代方案或补偿控制来满足需求更是如此。要求11:"定期测试安全系统和过程"首先,我将看一下需求11:"定期测试安全系统和流程",cc可以被防御吗,因为这个需求是Nessus(包括我们的ASV产品)最直接相关的地方。11.1无线检测除了明确允许多种方法或技术来实现发现授权和未授权无线网络和系统的目的外,本节没有做太多更改。11.2漏洞扫描公司经常抱怨,由于每天都会发现新的漏洞,因此很难生成"干净"或"通过"的漏洞扫描,随后扫描引擎会频繁更新其检查结果。一旦修复了一个漏洞,并执行了新的扫描以证明已修复,通常会发现几个新的漏洞。PCI SSC承认了这一困难,并在11.2中增加了一个新的注释,使公司有机会提交多个扫描报告,证明补救过程正在持续进行,以满足产生合格结果的季度要求。例如,如果每月扫描一次,扫描一可能会显示3个需要修复的高风险漏洞。扫描二将显示这3个漏洞已经得到解决,但现在在过去的一个月里发布了7个新的高漏洞和2个严重漏洞。补救发生,扫描三证明这些漏洞已被解决,但有1个新的高风险漏洞,阻止了一个干净的结果。PCI SSC现在表示,您可以提交所有三个月的扫描结果,以证明您的公司在发现漏洞时有效地进行了修复,即使您尚未解决最新的漏洞。提交多个扫描报告,证明补救过程正在持续进行中这项津贴将使大多数公司的漏洞管理计划更有效地运行,并应鼓励更频繁地扫描他们的网络-这是大多数安全专业人士已经建议的。这个允许值同时适用于内部和外部漏洞扫描工作,因此您应该希望经过批准的扫描供应商(ASV)更新他们的服务,以适应这一新功能。11.3渗透试验如果你是一个QSA,你可能会遇到客户,他们会问"它在哪里说的?"并坚定地承诺只做PCI DSS要求他们必须做的事情。当涉及到在PCI-dssv3之前的渗透测试需求时,我的客户经常提出这个论点,而在PCI-dssv3之前,这个需求非常模糊。好吧,那些日子已经过去了;现在的要求是,你必须有一个文件化的渗透测试方法,必须基于行业认可的方法,并提供持卡人数据环境(CDE)的内部和外部全面覆盖。你必须有一个文件化的渗透测试方法在这一点上,指南部分提供了一些急需的背景,ddos防御攻击,指出渗透测试试图"模拟真实世界的攻击情况,目标是确定攻击者能够渗透到环境中多远。"指南还规定,漏洞扫描不构成合格的渗透测试,哪些方法无法防御ddos攻击,但必须是方法的一部分,该方法包括尝试利用已知或发现的漏洞。问任何一个像样的笔测试员,他会告诉你这需要手动的利用尝试,或者至少是一个幕后的人,win防御cc,他根据可用的数据来决定尝试什么样的利用方法。渗透测试方法的另一个必要要素是从过去12个月(自上次pen测试以来)经历的威胁和漏洞中吸取经验教训。好主意!但更进一步的是,将行业在过去12个月经历的威胁和漏洞纳入其中(想想针对POS系统的有针对性的恶意软件攻击)。渗透测试最重要的方面是要理解它旨在测试信息安全计划各个方面的有效性但是,渗透测试最重要的方面是要了解,它旨在测试信息安全计划各个方面的有效性,从系统强化到补丁管理,从用户访问控制到日志记录和监控。与此密切相关的是对发现结果的处理或补救:如果渗透测试表明基于缺失补丁的某些成功(例如),则漏洞不是缺失的补丁,而是流程的缺陷导致补丁无法应用于目标系统。也许渗透测试之所以成功,是因为配置错误或存在默认设置:那么,漏洞就是构建过程的失败,该过程首先将易受攻击的系统投入生产。这一观点也适用于入侵检测和事件响应过程;如果未观察到或检测到渗透测试,在应用和监控您已部署的任何入侵检测技术的过程和/或识别和培训具有事件检测或报告职责的合格人员的过程中存在缺陷。渗透测试练习是对您的整个信息或数据安全计划的"实弹"测试,测试结果应纳入您正在进行的数据安全计划中,包括年度风险评估。别担心——您还有六个月的宽限期(至2015年7月),以全面记录和执行渗透测试方法,因为PCI SSC认为这是一项"新"要求。11.4 ID/IP这个部分没有什么新内容。这一要求的基本前提是将IDS/IPS传感器定位在战略位置—网络(或CDE)的外围和网络或CDE内的"关键点"。指导部分说,您应该监控这些设备的输出,并进行调查,以确定入侵企图的原因和/或程度。您的网络层越多,即为隔离CDE而实施的分段越多,您创建的"关键"位置就越多。请记住,当您将CDE与内部网络的任何其他部分隔离时,您基本上就是在声明另一部分是不可信的—这意味着您有一个新的"边界"来考虑入侵检测。11.5变更检测第一个也是最明显的变化是需求的语言从以前的"文件完整性监视工具"的要求转变为"更改检测机制"。这一要求的精神是能够检测到关键文件的更改,如操作系统组件、应用程序、库,甚至包括日志文件在内的现有安全控制。满足这一要求最常见的技术是白名单解决方案,这也有助于解决第节中的反病毒/反恶意软件要求。因此,现在您可以选择解决此需求,linux系统ddos防御系统,而且您甚至可以获得用一个技术解决方案覆盖多个需求的额外好处。11.6形成文件的政策和程序最后,由于旧的12.1/12.1.1要求"建立、发布、维护和传播一个……满足所有PCI DSS要求的安全策略"显然不够明确,PCI SSC在每个部分增加了一个新的要求,要求您在本节中所做的一切都必须写在政策和程序中。因此,11.6是一项新的要求,要求"确保安全监控和测试的安全政策和操作程序被记录、使用并为所有受影响方所知。"没有书面的政策和文件化的程序,你真的没有一个功能性的信息安全计划。没有人喜欢跟上文档,但它确实是可行的信息安全计划的重要组成部分。没有政策和程序,您就无法证明您知道您需要保护哪些[数据]、它位于何处或传输在何处(静止数据或正在传输的数据)、谁需要访问这些数据(以及谁不需要访问),并且您无法有效地监控访问、尝试访问或管理活动。简言之,如果没有书面的政策和书面的程序,你真的没有一个功能性的信息安全计划。一如既往,如果您对安全性、合规性或PCI DSS的任何方面有任何疑问,请通过pciguy@tenable.com或者直接访问Tenable PCI讨论论坛,直接讨论PCI,看看正在讨论什么。有关Tenable Network Security提供的PCI解决方案的更多信息,请参阅我们的PCI行业页面或白色页面