Avecto協助企業實現PCI DSS法規遵從

在2016年4月發佈的PCI DSS 3.2規範草稿,將在2018年1月31日被視為PCI DSS的最佳實踐標準,而從2018年2月1日起,PCI DSS 3.1的使用規定仍將持續六個月。

雖然PCI DSS 3.2中的技術要求有所改變,但實施嚴格的存取控制(Access Control)需求仍然不變,包括根據業務上的 “Neet to Know” 原則、識別和驗證對系統組件的存取,以及限制實體存取信用卡持卡人資料的控制。

本文將帶您一一檢視PCI DSS的要求,並提供您在存取控制領域的最佳解決方案。

以下歸納出PCI DSS中的關鍵要求項目(Key Requirements)以及更重要且必須的最小權限(least privilege)原則以及身分管理(Identity Management)原則的重點摘要:

Build and maintain a secure network and systems and systems

惡意攻擊者可以透過使用不同技術從企業尚未管控的網路找到後門,包括利用瀏覽器零時差漏洞或來自合作夥伴的業務網路。
  1. Install and maintain a firewall configuration to protect cardholder data

    PCI DSS認為任何未經審查的網路和尚未被管理的網路是不可信任的。因此,必須維護網路安全以確保系統免受來自未經信任的網路所取得的未經授權存取(unauthorized access)。

  2. Do not use vendor-supplied defaults for system passwords and other security parameters

    許多應用系統與網路設備的出廠預設設定和密碼通常是不安全的,因此PCI DSS要求必須做出必要的修改以確保系統安全;在調整完相關的重要安全性設定後,將管理員帳號權限回收以避免更動到與安全性相關的設定是非常重要的!

Protect cardholder data

即使惡意攻擊者繞過其他安全防護,只要持卡人資料被加密(Encryption),在沒有加密金鑰(cryptographic keys)的狀況下,攻擊者就無法讀取持卡人資料。
  1. Protect stored cardholder data

    不論是有權限存取帳戶以及加密金鑰等資料的管理員權限都應該盡可能限制在最小範圍以及最少的人手中。

  2. Encrypt transmission of cardholder data across open, public networks

    當持卡人資料需要在公開網路、或是其他容易被攻擊者接觸到的網路進行傳輸時,必須利用加密機制(如:TLS/SSL)來強化安全。

 

透過Avecto的權限管理機制,只提供業務所需的最小權限

避免提供完整的管理員權限給用戶,是一個有效的做法!

 

Maintain a Vulnerability Management Program

攻擊者經常利用已知的安全漏洞來破壞系統。
  1. Protect all systems against malware and regularly update antivirus software or programs
    • 安裝防毒軟體,可以檢測各種已知的惡意程式,並且採取保護措施以避免安裝的防護系統被停用或是修改。
    • 傳統特徵碼比對的防毒軟體並無法抵擋最新的攻擊或是零時差漏洞(Zero-Day Vulnerabilities),如果無法即時的更新定義檔,將無法提供有效的保護。
    • 企業使用過時的作業系統和應用軟體(例如微軟已不再維護的Internet Explorer、Windows XP或是內部開發的應用程式版本)容易遭受惡意攻擊者的攻擊。
  1. Develop and maintain secure systems and applications
    • 變更控制(Change management)在維護安全和功能性系統方面至關重要,而且管理用戶權限起著關鍵的作用,確保在所有相關利益相關者未經批准的情況下,無法在正式環境中進行不必要的更改。
    • 應及時安裝作業系統和應用程式的安全修補程式,以防止已知的漏洞,以及用於安裝它們的更新程式。
    • 作業系統命令注入(OS Command Injection)是惡意攻擊者透過受到攻擊的應用程式在作業系統上執行命令的技術。在保護系統時必須考慮這些類型的攻擊,並限制存取權限、使用應用程式白名單和隔離不受信任的內容可以幫助減輕應用程式中的零時差漏洞。

 

透過Avecto的應用程式管控,以及彈性的管理規則

可協助管理者限制用戶僅能執行已批准的應用程式!

 

Implement strong access controls

一般來說,限制特權帳號的使用以及誰(who)可以存取什麼(what)是資訊安全的關鍵原則。
  1. Restrict access to cardholder data by business ‘need to know’

    為了符合PCI DSS 3.2的存取控制要求,商家必須通過業務需求(Requirement 7),限制對持卡人資料的存取,為每個員工分配唯一的用戶識別(Requirement 8),並限制對持卡人資料的實體存取。PCI定義了僅知原則(need to know)來規範授予執行作業所需的最少資料和特權的存取權限。

    應定義和記錄用戶存取系統組件和數據資源的角色,包括存取每個資源所需的權限級別。PCI DSS Requirement 7.1.2規定,具有特權用戶帳號(例如root或管理員帳戶)的員工必須限於執行其工作職責所需的最少權限。

    IT員工通常對系統具有完全的管理權限,因為在某些情況下,需要不受限制的訪問才能執行特定的任務。因此,最好是導入特權管理(Privilege management)系統,並只分配有限的應用程式或作業系統可執行權限為IT人員提供對端點用戶和伺服器完整的管理存取權限,將會大大增加資料竊取和惡意程式進入機敏系統的風險

    同樣地,標準使用者應根據作業分類和功能(Requirement 7.2.2)來分配許可權。有時員工會被授予Power User或管理員許可權,以方便執行某些受限制的作業系統任務,例如對硬碟進行磁碟重組或添加硬體。這對使用筆記型電腦的用戶尤其普遍,他們通常被給予提升的特權,因為他們被認為在離開辦公室時更難得到支援。

    但這是一把雙刃劍,雖然具有管理特權的筆記型電腦使用者可以執行某些任務而不需要IT人員的介入,但同時他們也具備了可以更改關鍵的作業系統設置的權限,更有可能成為遭到惡意程式攻擊的受害者;因而可能導致當機、減緩系統效能以及潛在的資料竊取。Avecto特權管理解決方案可以提供安全且合乎PCI DSS規範,同時為使用者執行其工作功能所需的所有功能。

  2. Identify and authenticate access to system components

    Windows Vista(和更高版本)具有使用者帳戶控制(User Account Control, UAC)形式的基本權限管理功能,其用意在鼓勵程式開發人員編寫不需要提升權限即可執行的軟體,並保護使用者免受其自身的制約。

    但是UAC要求使用者擁有兩個帳戶:一個具有標準使用者的權限;另一個具有完整的管理者權限,允許使用者在適當時機提升權限。使用第三方特權管理解決方案(例如Avecto特權帳號管理)是為使用者提供UAC所帶來的靈活性和PCI DSS遵從性(包括Requirement 8.1)所需的安全性的唯一方法。

    PCI DSS還特別要求記錄所有使用管理者權限進行的存取嘗試 (Requirement 10.2.2)。使用者帳戶的創建和修改應嚴格控制,以確保使用者只被授予承擔工作職責所需的最低許可權 (Requirement 8.1.2)。密碼是對所有系統上的使用者和管理員的最低保護要求(Requirement 8.2),但也可以導入智慧卡或生物特徵安全機制以進一步保護使用者帳號。

 

AVECTO的權限管理模組,針對特定的工作/SCRIPT/應用程式

個別的提升權限,而不需要提供管理員的帳密!

 

  1. Restrict physical access to cardholder data

    應限制實體存取儲存有持卡人資料的系統,像是利用進出管制設施的形式來管控,只允許授權人員出入。

Regularly monitor and test networks

安全是一個持續的過程,必須在威脅和系統發生變化時重新評估。
  1. Track and monitor all access to network resources and cardholder data

    每個使用者對每個系統的存取都應保留審核跟蹤。此外,對持卡人資料的存取、使用root或管理員帳戶執行的操作、訪問稽核記錄、無效登錄嘗試、使用標識和身份驗證機制以及對審核追蹤記錄系統的更改,必須分別記錄。日誌資料應包含有關使用者帳戶的資訊、執行的操作、日期和時間、成功或失敗的指示、執行操作的位置以及有關已修改元件的資訊。應定期審查這一資訊,以便查明任何可疑活動,並且必須至少保存一年。
    AVECTO可以記錄所有的程式運作,並區分是否有提升特權的操作,如果操作過程涉及使用到2次驗證,一樣可以記錄並追蹤。

  2. Regularly test security systems and processes

    應執行季度漏洞掃描,並修補發現的任何弱點,以確保系統保持安全。在進行補救工作後,應再次掃描系統,以確認已從系統中移除了漏洞。

Maintain a policy that addresses information security

使用者往往是整體安全架構中最薄弱的環節。
  1. Maintain a policy that addresses information security for all personnel

    當新員工被錄用時,他們應進行資安意識培訓,並至少每年更新和重複此培訓。讓使用者意識到社交工程和濫用行政特權所帶來的危險,可以改善企業組織的資安水平。Windows的使用者帳戶控制(User Account Control, UAC)無法自訂警報,但第三方特權管理解決方案(例如Avecto特權帳號管理)能夠客製化警示內容並加上企業的識別標誌,以協助使用者瞭解他們在試圖使用較高的權限啟動應用程式或正準備存取不受信任的內容。

 

 

Avecto Defendpoint協助企業滿足PCI DSS法規遵從性要求

Defendpoint允許組織使用Active Directory和Group Policy來實施權限提升和委派管理:

  • 可以授予使用者具有標準使用者的權限,就算是使用傳統應用程式或是需要額外特權的作業系統功能都沒有問題。
  • 可以使用較高的權限執行各個應用程序,而毋須使用第二個使用者帳戶,同時確保所有其他程序在使用者有限的存取權限下受到完整的保護。
  • 在實施和維護PCI DSS 3.2的嚴格存取控制時,Defendpoint可以節省大量的時間和資源,包括全面的審核跟蹤(Audit Trials)以及自訂提升權限要求的對話方塊。

Avecto的應用程式白名單支援所有的Windows版本,並具有靈活的規則集,使管理員可以輕鬆地依據於不同的條件限制使用者所允許執行的應用程式。

Defendpoint 的特權管理和應用程式白名單功能可以與質詢/回應(Challenge/Response)的驗證方式一起使用,如果使用者需要啟動被要求提升權限的程序或被阻止的應用程式,可馬上與IT人員聯繫並且讓IT人員提供允許他們執行所需任務的授權代碼。其他功能包括:保護政策的能力,確保它們沒有被修改,以及防止Defendpoint被攔截或被禁用的其他篡改措施。

在安全性與可用性方面絕不妥協

正如資安專家所指出的,許多企業組織都符合PCI DSS的法規遵從,但其實還是不安全。利用第三方特權管理解決方案(例如Avecto特權帳號管理)可以幫助企業組織更快、更輕鬆的滿足法規遵從的要求,而不需依靠系統內建的簡單工具或是成本高昂的自行開發方式,只需要少許的付出即可得到遠超過基本要求的安全防護效果!

 

如果您想進一步了解本公司所代理的Avecto Defendpoint特權帳號管理,請與我們聯絡!

Posted in 產品新知 and tagged , , , , , , , .