מנהלי IT נדרשים להגיב ולעמוד בתיקנה של איגוד חברות האשראי (Payment Card Industry Data Security Standard) ויכולים למצוא את עצמם מוצפים בתהליך.
רוב הארגונים אינם מכירים וחיים בשלום עם רוב הדרישות של התקן ובפרט דרישה 10.6, צפייה ואבחון של לוגים מכל המערכות בארגון(סביבה אשראי כמובן), למעשה 90% מהחברות שנפרצו נמצאו כי לא עמדו בתקן מה שמוכיח לנו שיש לנהל את התקן על בסיס יומי וכדרך חיים ארגונית, מה הטעם בלסמן v בכל דרישה ולשכח מהפרויקט? בזמן אמת חברות אלו נקנסות בסכומי עתק, מדובר בסופו של דבר במספרי אשראי לא שלנו.
בשנה שעברה, ספקית שירותי אבטחה גדולה פרסמה מחקר המראה כי מעל ל80% מהחברות שנפרצו התעלמו או אפילו לא קראו את הלוגים בצורה שוטפת, נתוני הפרצה הופיעו בלוגים וכמובן לא היה מי שיאבחן וימנע את הרע מכל.
אם ניהול יומן ולוגים מבוצע היטב הארגון יכול להפחית באופן משמעותי את הסיכון של פריצה או הפרה, מדוע ארגונים לא מקפידים על ניהול לוגים קבוע? מדוע לא מתמיאים מערכת לוגים מרכזית אשר תסייע בניפוי הלוגים? ההסבר הפשוט הוא ''תהליך'', להתמיד עם דרישה 10.6 ולהשאיר אותה באוויר ואו להתמיע מערכת לוגים זה תהליך, מדובר על ניפוי של מאות אלפים ואפילו מיליונים של לוגים שמשתוללים במערכת - זה מפרך ומצריך זמן.
הגישה הבריאה היא יעילות, לפני הסמכת הלקוח יש לזהות בברור מה מנותר ומה לא, היכן זרם העסקאות והיכן השרתים הרגישים אותם יש לנתר, מעל ל 35% מהארגונים לא מבצעים סיגמנטציה נכונה ויעילה של שרתי האשראי(בסיס נתונים ושרתים המשתתפים בתהליך הסליקה/טרנזקציה). אבחון תחום וטווח השרתים הרגישים הוא הגישה הכללית במטודולוגיה ותקף עבור סטנדרטים אחרים כגון משפט, ביטוח, Sarbanes-Oxley וכדומה.
מיפוי הסביבה והגדרתה:
רצוי כי תהיה לחברה דיאגרמה מעודכנת עד חצי שנה אחרונה ולעדכנה מעת לעת, מיפוי נכון של סביבות הטרנזקציה והסביבה המעורבת בעיבוד או/ו שידור של נתוני אשראי תקל על החברה פלאים, תחסוך הון ואף תאפשר לנו לחשוב צלול וברור אל תוך המערכת וכיצד לשלב מוצרים במערכת שיצמצמו לנו עלויות נוספות או דרישות נוספות של התקינה.
סביבה גדולה ולא ברורה תגרום לנו לנחות, לרצון עז לסיים את התהליך ולהוציא סכומי עתק על שיפורים והקשחות, צמצמו את הסיבבה עי מוצרים יעודיים, תעדו הכל בנהלים, דרשו מאדם אחד לעקוב אחר השינויים של הסביבה ולעדכן את הדיאגרמה וכמובן לחסוף כסף וזמן.
דרישה 10.6 תקטן משמעותי אם תמפו ותגדירו נכון ויעיל את סביבתכם וכך נכון לשאר הדרישות, לא מעט לקוחות ענק מצאו את עצמם עם סביבה של 3 שרתים :)......(כשיתר הסביבה מורכת מ 450 מחשבים ומעל ל25 שרתים).
בהצלחה!
Thank You!,
NSAP IT-consider IT done?
Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSE
Mail: BB@nsapIT.com
Phone :1599-599-596
Mobile :+972-50-260-7456
Fax :+972-3-647-9731
USA&CANADA: +1 315-608-6534
United Kingdom: +44 (0)20-3286-3563
Hong Kong: +852-8174-5947
St atidim, building 6, Tel-aviv, zip 61580 pob 58067, Israel
www.nsapIT.com
*Please consider the environment before printing this email.
