曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        應選擇哪些 MFA 方法以實現 PCI DSS 4.0 合規性?
        發布時間:2022-06-25 11:11:32   閱讀次數:

        image.png

        2022 年 3 月 31 日,PCI 安全標準委員會(PCI SSC) 發布了 PCI 數據安全標準 (PCI DSS) 4.0 版。PCI DSS v4.0 取代了 3.2.1 版,以應對新出現的威脅和技術,并采用創新方法應對新威脅。PCI SSC 網站上現已提供更新后的標準和變更摘要文件。


        實施時間表

        為了讓組織有時間了解 4.0 版的變化并實施所需的任何更新,當前版本的 PCI DSS v3.2.1 將保持有效兩年,直到 2024 年 3 月 31 日停用。一旦評估員完成 PCI 培訓DSS v4.0,組織可以評估 PCI DSS v4.0 或 PCI DSS v3.2.1。


        除了過渡期之外,組織必須在 2025 年 3 月 31 日之前逐步引入最初在 v4.0 中被確定為最佳實踐的新要求。在此日期之前,組織不需要驗證這些新要求。但是,鼓勵已實施控制以滿足新要求并準備在其生效日期之前對控制進行評估的組織這樣做。2025 年 3 月 31 日之后,這些新要求將生效,并且必須作為 PCI DSS 評估的一部分予以充分考慮。

        image.png

        圖 1:PCI DSS 4.0 實施時間表。資料來源:PCI SSC


        “不要等到 2024 年才實施更新后的標準。立即開始評估更改并整合實施,”勞倫斯利弗莫爾國家實驗室 (LLNL) 的高級 IT 和安全專家 Lee Neely指出。


        發生了什么變化?

        標準的更新側重于滿足支付行業不斷變化的安全需求,促進安全作為一個持續的過程,增加使用不同方法實現安全目標的組織的靈活性,以及增強驗證方法和程序。有關更新的詳細信息,請參閱 PCI SSC 網站上的PCI DSS v4.0 變更摘要文檔。


        PCI DSS v4.0 中的更改示例包括:

        • 擴展要求 8 以實現對持卡人數據環境的所有訪問的多因素身份驗證 (MFA)。


        • 將防火墻術語更新為網絡安全控制,以支持更廣泛的技術,以滿足傳統上由防火墻實現的安全目標。


        • 提高組織的靈活性,以展示他們如何使用不同的方法來實現安全目標。


        • 添加有針對性的風險分析,使實體能夠靈活地定義他們執行某些活動的頻率,以最適合他們的業務需求和風險敞口。


        MFA的要求是什么?

        更新后的 PCI DSS 版本 4.0 包括三個要求,要求使用多因素身份驗證 (MFA) 對用戶和管理員進行強身份驗證。根據該標準,“識別和驗證用戶的兩個基本原則是:1)在計算機系統上建立個人或進程的身份,以及 2)證明或驗證與身份相關的用戶是用戶聲稱的人是?!?當每個用戶都可以被唯一識別時,它可以確保對該身份執行的操作負責,并且當這種責任到位時,所采取的操作可以追溯到已知和授權的用戶。


        要求是:

        • 8.3 為用戶和管理員建立和管理強認證。

        • 8.4 實施多因素身份驗證 (MFA) 以保護對 CDE 的訪問。

        • 8.5 多重身份驗證 (MFA) 系統配置為防止濫用。


        這些要求適用于所有系統組件上的所有帳戶,包括但不限于:

        • 銷售點賬戶

        • 具有管理能力的帳戶

        • 系統和應用程序帳戶

        • 用于查看或訪問持卡人數據或訪問包含持卡人數據的系統的所有帳戶。


        這包括員工、承包商、顧問、內部和外部供應商以及其他第三方(例如,用于提供支持或維護服務)使用的帳戶。


        惡意個人破壞系統的常用方法是利用弱或不存在的身份驗證因素(例如,密碼/密碼)。要求一種以上類型的身份驗證因素會降低攻擊者通過偽裝成合法用戶來訪問系統的可能性,因為攻擊者需要破壞多個身份驗證因素。然而,正如標準所指出的,攻擊者可以繞過配置不當的 MFA 系統,因此所選的 MFA 解決方案不應“容易受到重放攻擊”。


        什么樣的 MFA 就足夠了?

        “更多的 MFA 總是更好。但此時,您的問題不應該是您是否需要 MFA。問題應該轉移到哪種 MFA 足以滿足特定應用的需求,” SANS 技術研究所研究所所長Johannes Ullrich 博士說。


        事實是,并非所有 MFA 解決方案都提供相同程度的安全性。例如,基于 SMS 的多因素身份驗證被認為不太安全,NIST 和 ENISA 建議組織應重新考慮其使用。ENISA 的“提高組織的網絡彈性”出版物建議組織應避免使用 SMS 作為身份驗證方法。此外,NIST 的SP 800-63 出版物指定基于 SMS 的身份驗證是“受限制的”身份驗證,這意味著它在當今的威脅環境中不太可靠。這個建議背后的關鍵原因是 SIM 交換攻擊。


        最近 Lapsus$ 犯罪集團對 Okta 的破壞凸顯了 Push OTP 身份驗證的一個弱點,即“ MFA 即時轟炸”。許多組織已經在移動設備上實施了推送通知。Lapsus$ 向最終用戶的合法設備發出多個 Push 請求,直到用戶接受身份驗證,從而允許該組最終獲得對該帳戶的訪問權限。


        這就是為什么政府安全政策要求采用更強大的身份驗證形式,包括抗網絡釣魚 MFA。美國的管理和預算辦公室 (OMB) 和歐盟的 ENISA 都發布了指南,要求組織部署“抗網絡釣魚”的 MFA 方法,例如敏感用戶和用例的 FIDO2 密鑰。


        希望同時符合 PCI DSS 4.0 和有關 MFA 的政府法規的組織應該尋找像 Thales 的 SafeNet Trusted Access 這樣的解決方案,該解決方案提供廣泛的身份驗證方法和外形尺寸,允許他們處理多個用例和保證級別。這種訪問管理和身份驗證服務將單點登錄的靈活性與 MFA 和自適應身份驗證相結合,有助于確保為所有員工提供安全便捷的登錄體驗。SafeNet Trusted Access 支持廣泛的基于標準的多因素方法,包括 FIDO2 和基于證書的身份驗證。


        聯系攬閣信息,您可獲取更多相關的方案和產品介紹。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精