Güvenlik profesyonelleri için uyumluluk en seksi konu olmayabilir. Ancak çeşitli nedenlerden dolayı önemlidir. Güvenlik ekibi yönetişim, risk ve uyumluluk (GRC) çabalarının önemli paydaşlarıdır ve bu nedenle bu çabalar, güvenlik organizasyonunun hedefleri ve öncelikleri kapsamında uygun miktarda ilgiyi hak eder.
Son zamanlarda pek çok uyumluluk standardı ve çerçevesi, yalnızca onay kutularından çok en iyi güvenlik uygulamalarına benzeyen gereksinimleri içerecek şekilde gelişti. PCI DSS 4.0 standardı bunun harika bir örneği. Nasıl yani? Birkaç örnek üzerinden geçmek için bu standardı kullanalım.
Bunu yapmadan önce PCI DSS'nin kimin için olduğunu belirleyelim. Kredi kartı sektörünün aktörlerinden oluşan bir grup olan Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi, standardı kurar ve yönetir. Visa, Mastercard, American Express, Discover, JCB International veya UnionPay dahil olmak üzere PCISSC üyelerinden kredi kartı ödemelerini kabul eden tüm kuruluşların; kart kullanıcılarının verilerini güvende tutun.
Yani kredi kartıyla ödeme kabul eden tüm işletmelerin bu standarda uyması gerekiyor. En son sürüm olan 4.0, iki yıllık bir geçiş süresiyle Mart 2022'de yayınlandı.
Göre PCI Güvenlik Standartları Konseyi, “Mart 2022'den 31 Mart 2024'e kadar olan bu geçiş dönemi, kuruluşlara v4.0'daki değişikliklere aşina olmaları, raporlama şablonlarını ve formlarını güncellemeleri ve güncellenen gereksinimleri karşılayacak değişiklikleri planlamaları ve uygulamaları için zaman sağlar.” 31 Mart'ta PCI DSS 4.0 standardın tek aktif versiyonu olacak.
Mevcut zamanlama bize v4.0'daki bazı değişiklikler üzerinde çalışmamız için harika bir fırsat sunuyor, özellikle de bunlar güvenlik profesyonelleri olarak bizlerle ilgili olduğundan.
1. Kötü Amaçlı Komut Dosyalarından Kaçının
Bir dizi saldırı ve dolandırıcılığın ardından kötü amaçlı üçüncü taraf komut dosyaları Çeşitli meşru ticari web sitelerine enjekte edilen PCI DSS, 2023 yılında iki yeni gereksinimi içerecek şekilde güncellendi: 6.4.3: Kaymayı Önlemek için Ödeme Sayfası Komut Dosyalarını Yönetin ve 11.6.1: Kaymayı Algılamak için Bir Mekanizma Dağıtın.
İlk gereklilik olan 6.4.3, şirketlerin tüm ödeme sayfası komut dosyalarının yetkilendirmesini ve bütünlüğünü onaylamasının yanı sıra, ödeme gerekliliğini gerekçelendiren tüm komut dosyalarının bir envanterini tutmasını zorunlu kılıyordu. İkinci gereklilik olan 11.6.1, şirketlerin, tüketiciler tarafından alınan HTTP başlıklarını ve ödeme sayfalarını değerlendirecek bir mekanizma yapılandırmanın yanı sıra, tüketicinin tarayıcısının aldığı HTTP başlığında ve ödeme sayfasında yetkisiz değişiklik yapılması konusunda personeli uyarması gerektiğini söyledi. en azından haftalık.
Bu iki gereklilik, işletmelerin esasen biri koruyucu, diğeri tespit edici olmak üzere iki ek kontrol uygulamaya ihtiyaç duyacağı anlamına gelir:
-
Koruyucu Kontrol: Ödeme sayfalarında (üçüncü taraf veya başka türlü) kötü amaçlı komut dosyalarının bulunmadığından proaktif olarak emin olun
-
Dedektif Kontrol: Ödeme sayfalarındaki komut dosyalarını izleyin ve kötü amaçlı komut dosyaları tespit edildiğinde uyarı verin
Güncellenen standardın bir gereği olmasının yanı sıra, bu iki kontrol aynı zamanda iyi bir fikirdir ve bir kuruluşun güvenlik duruşunu iyileştirmenin harika bir yoludur.
2. Ağ Güvenliği Kontrollerini Kurun ve Sürdürün
PCI DSS Hızlı Başvuru Kılavuzu standardın kendisine paralel olarak güncellenmiştir. Örneğin, belgenin “PCI DSS v4.0 Gereksinimleri 1-12 Özeti” bölümünün 1. gereksiniminden bu noktaya bakın:
“Güvenlik duvarları ve diğer ağ güvenliği teknolojileri gibi ağ güvenliği kontrolleri (NSC'ler), önceden tanımlanmış politikalara veya kurallara dayalı olarak genellikle iki veya daha fazla mantıksal veya fiziksel ağ bölümü (veya alt ağ) arasındaki ağ trafiğini kontrol eden ağ politikası uygulama noktalarıdır. Geleneksel olarak bu işlev fiziksel güvenlik duvarları tarafından sağlanmıştır; ancak artık bu işlevsellik sanal cihazlar, bulut erişim kontrolleri, sanallaştırma/konteyner sistemleri ve diğer yazılım tanımlı ağ teknolojileri tarafından sağlanabilmektedir.”
Bu, ağ açısından yaşadığımız çok daha karmaşık dünyaya bir selamdır. Pratik olarak bunun işletmeler için anlamı, hibrit ve çoklu bulut ortamlarındaki ağ güvenliği ihtiyaçlarını büyük olasılıkla dağıtılmış bir bulut stratejisine sahip olarak çözmeleri gerektiğidir.
3. Güvenli Sistemler ve Yazılım Geliştirin ve Sürdürün
Hızlı Başvuru Kılavuzu'ndaki Gereksinim 6'da şu ilginç bilgi yer alıyor: “Uygulamalar, güvenli geliştirme ve kodlama uygulamalarına göre geliştirilmeli ve kart sahibi verileri ortamındaki sistemlerde yapılan değişiklikler, değişiklik kontrol prosedürlerini takip etmelidir.”
Bu, uygun API güvenliği ihtiyacını haykırıyor. Tabii ki güvenli yazılım geliştirme yaşam döngüsü (SSDLC) bunun önemli bir bileşenidir. Ancak bunun ötesinde, işletmelerin çevredeki sistemlerde yapılan değişikliklerin ne zaman değiştiğinin farkında olması ve bu değişikliklerin uygun değişiklik kontrol prosedürlerini takip ettiğini belirlemesi gerekecektir.
Bu, güvenlik ekipleri için bir takım önemli hususları vurgulamaktadır:
-
API'lerin sıkı envanteri ve yönetimi
-
Tüm ortamlardaki tüm API'lerde politikaları ve kontrolleri tutarlı bir şekilde uygulama konusunda olgun beceri
-
API'lerin saldırılara ve sahtekarlığa karşı uygun şekilde korunmasını sağlayan güçlü API güvenlik özelliği
-
“Radar altında” konuşlandırılan API'lerin keşfedilebilmesini, envanterinin çıkarılabilmesini ve yönetilebilmesini sağlayan gelişmiş API Keşfi yeteneği
yeteneği API'leri doğru şekilde güvenli hale getirin API'ler hızla modern iş dünyasının temel taşı haline geldiğinden, önümüzdeki yıllarda işletmeler için çok önemli olacak.
4. Günlük Kaydı, Görünürlük ve İzlemeyi Sağlayın
Hızlı Başvuru Kılavuzu'nun 10. Gereksinimi, şirketlerin kayıt mekanizmalarını kullanması gerektiğini belirterek, “Günlüklerin tüm ortamlarda bulunması, bir şeyler ters giderse kapsamlı izleme ve analiz yapılmasına olanak tanır. Sistem olmadan, bir uzlaşmanın nedenini belirlemek imkansız olmasa da zordur. etkinlik günlükleri.”
Elbette güvenlik profesyonelleri olarak bunu zaten biliyoruz. Ancak hibrit ve çoklu bulut ortamlarımızda uygun düzeyde görünürlüğe sahip olup olmadığımızı düşünebildik mi? Eğer bunu yapmazsak, bu görünürlüğü nasıl elde etmeyi planlıyoruz?
Bunlar, işletmelerin PCI uyumluluğunun bir parçası olarak dikkate alması gereken önemli sorulardır ancak genel olarak güvenlik stratejilerinin bir parçası olarak da önemlidir. İşletmelerin, hibrit ve çoklu bulut ortamlarında uygun şekilde günlüğe kaydetme ve izlemeye sahip olduklarından emin olmaları ve bu görünürlüğü, bu ortamları güvenlik, sahtekarlık, kötüye kullanım ve uyumluluk sorunlarına karşı uygun şekilde izlemek için kullanmaları gerekecektir.
Güvenlik Uygulamaları Kredi Kartlarının Ötesine Geçiyor
PCI DSS v4.0'daki güncellemeler iyi güncellemelerdir. Bu güncellemeler, gelişen tehdit ortamını ve hibrit ve çoklu bulut ortamlarının üstünlüğünü kapsayacak şekilde standardı güncellemenin yanı sıra, kuruluşlarının güvenlik duruşunu iyileştirmek isteyen güvenlik ekiplerine mükemmel rehberlik sağlar. Ödeme kartı güvenliği için iyi olanın, işletmenin genel güvenliği için de iyi olduğunu düşünüyorum.