Net güvenlik röportajında, Rapyd’deki CISO NIR Rothenberg, ödeme güvenliği olgunluğundaki küresel farklılıkları ve önde gelen bölgelerden öğrenilebilecek dersleri tartışıyor. İyi mühendisliğin genellikle güçlü güvenliğe yol açtığını ve sadece uyumluluk gereksinimlerini karşılamak için hareketlerden geçmeye karşı uyarılara dikkat çekiyor.
Rothenberg ayrıca izleme, hesap devralma önleme ve ödeme ekosisteminde işbirliği gibi göz ardı edilen alanlara da işaret ediyor.
Kuzey Amerika, Avrupa ve Asya-Pasifik gibi bölgeler arasında ödeme güvenliği olgunluğunda dikkate değer farklılıklar görüyor musunuz? Ödeme güvenliği yenilikçiliğinde önde gelen bölgelerden hangi dersler öğrenilebilir?
Genel olarak, izlenimim, iyi mühendislik kalitesine sahip şirketlerin iyi bir güvenliğe sahip olacağıdır. Kaliteli ürünler göndermek istiyorlar ve bu onları güvenli hale getirmeyi içerir. Herhangi bir bölgede iyi veya kötü kalite bulunabilir.
Dünyanın dört bir yanındaki tanınmış şirketlerde çene parçalayan kötü bir güvenlik gördüm, bunlar genellikle yönetimin yüksek kaliteli olmayı umursamadığı, ancak “çıplak minimum” a odaklandığı şirketlerdir, bu da denetimleri geçmek ve kutuları kontrol etmek anlamına gelir (aka a ** es). Tersine, bazı beklenmedik şirketler güçlü güvenlik ekipleri ve ilkeleri sundu, hatta beni daha sonra Rapyd’in güvenlik programında uyguladığım büyük çıkarımlarla bıraktı.
Aldığım dersler:
1. Yaklaşımınızın “daha iyi” olduğu olumsuz olsa bile, diğer şirketlerden her zaman öğrenilecek bir şey vardır. Merakla kurşun.
2. İşbirliği yapmak önemlidir, ödemeler küçük bir dünya. Şirketin içinde ve dışındaki meslektaşlarınızın neye karşı olduğunu öğrenin, daha sonra sorunlarınızı ele alacak şekilde çözme konusunda onlarla ortak olun.
3. Hesap devralmalarına odaklanın – Hesap girişi ile ilgili ilgili alanların sertleştirilmesi ve doğrulanması iyi bir başlangıçtır. Mümkün olduğunca çok sayıda Captcha ve MFA tetikleyicisi ekleyin, hassas uç noktalar için bir miktar sınırlama serpin ve bugün en popüler saldırılardan birini durdurmak için harika bir yer olacaksınız.
4. Gelişmiş şirketler portallarında çok fazla parmak izi var – son giriş, hesapla ilişkili cihaz, güvenlik denetim günlükleri, SSO ve çok daha fazlası.
Tehdit aktörleri ödeme sistemlerinde güvenlik iyileştirmelerine nasıl uyum sağlıyor?
Ne yazık ki, tehdit aktörlerinin gelişmesine gerek yok, pazarın çoğu çok geride ve kimlik avı gibi eski okul saldırıları hala kolay çalışıyor.
Son birkaç yılda gördüğümüz bir eğilim, kripto saldırılarına ve kripto borsalarına güçlü bir odaklanma. Bunlar bile genellikle klasik teknikler içerir.
Bir diğeri, saldırganların SMS mesajlarını tetikleyen uç noktalardan yararlanmak istedikleri premium sayılara gönderdikleri son noktalardan yararlandığı “SMS kötüye kullanımı” saldırıları. Bu tür saldırıların çoğu sadece SMS sağlayıcısından gelen fatura geldiğinde keşfedilir.
Şu anda göz ardı edildiğini ancak çok daha fazla ilgiyi hak ettiğini düşündüğünüz bir ödeme güvenliği alanı nedir?
İzleme. Şöyle düşünün: Gösterge paneli olmadan bir Formula 1 arabası kullanmazsınız, değil mi? Hızınızı, yakıtınızı, motor sıcaklığınızı bilmeniz gerekir – her şey! Ancak yüksek hacimli, küresel ödemeler dünyasında, birçok şirket esasen kör veya en iyi ihtimalle bir golf arabası için tasarlanmış bir gösterge tablosu ile yönlendiriyor. Mevcut Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) satıcıları genellikle işlemlerin ölçeğine ve hızına uymayan yığınlar ve fiyatlandırma modelleri sunar. Elbette, milyonlarca harcıyorsanız, onları çalıştırabilirsiniz!
Tek bir trafik kamerası ile küresel bir süpergway izlemeye çalışmak gibi-doğru eklentilerle teorik olarak mümkündür, ancak muhtemelen bu kadar yatırım yapmayacaksınız ve bu nedenle çok geç olana kadar birçok “olay” ı özleyeceksiniz. Sadece geçmişten gelen yerel toprak yola değil, ödemelerin otomobiline ayak uydurabilen izleme çözümlerine ihtiyacımız var.
PCI DSS 4.0 veya benzeri düzenleyici çerçevelere uymaya hazırlanan şirketler için ne gibi tavsiyeleriniz var?
Bilgi güçtür. Özellikle daha yeni standartlarla, birkaç saatlik araştırma her şeyi değiştirebilir. PCI DSS 4.0 standardına bakın, bu bir sır değil ve çok kapsamlı bir şekilde belgelenmiş (uzun ve kuru bir okuma olsa bile). Ayrıca PCI DSS’ye odaklanan kuruluşlardan çeşitli blogları ve yayınları okumanızı öneririm (ve AI ile Konuşmaktan Küçük Bir Baharat Yaralanamaz). Şirketteki biri standartta uzman olursa, her şey çok daha kolay hale gelir.
Benim açımdan, üç önemli ilke akla geliyor:
1. Bunu bir kontrol listesi olarak ele almayın: Sadece kutuları işaretlerseniz, müşterilerinizi korumuyorsanız, şirketinizi sadece denetçiden koruyorsunuz. Kontrolün arkasındaki mantığı anlamaya çalışın ve şirketinizin mimarisine göre uygulayın. Bunu felsefi bir şekilde düşünün, bir kutu alıcı olmaktan mutlu olur musunuz yoksa etkiye sahip olmayı mı tercih edersiniz?
2. Bu bir maraton, sprint değil: Amaç sadece denetimi geçmek değil, aynı zamanda güvenliği yaşamak ve nefes almaktır. Sadece denetim köşede olduğunda değil, şirketinizin güvenlik duruşunda yıl boyunca çalışın. PCI DSS 4.0 yeni, QSA’ların kendileri başlangıçta tüm kontrollerinizin denetim gereksinimleriyle nasıl eşleştiğini bilmiyor. Bunu gelecekteki güvenlik uygulayıcılarının izini alevlendirme fırsatı olarak görün.
3. Denetçiniz sizin partnerinizdir, düşmanınız değil: Amacınız QSA’nızla işbirliği yapmanın bir yolunu bulmaktır, şirkette olumlu değişim sağlamak için gerçek ortaklar olabilir. Endişeleri önceden paylaşın ve önerdikleri değişiklikleri uygulayacak kadar cesur olun. Bu, QSA’nın Tanrı’nın Sözü gibi yorumunu her zaman kabul etmeniz gerektiği anlamına gelmez. Standartta bilgili iseniz, kabul edilemez bir öneri hafifçe geri itmeye ve daha iyi bir yol bulmaya hazır olabilirsiniz, işbirliği içinde yaptığınız sürece, çoğu zaman hazır bir ortak bulacaksınız.