Helpex - Trao đổi & giúp đỡ Đăng nhập

Một cái nhìn thoáng qua về Boston Secure World 2016

Tôi đã tham dự ngày thứ hai của  Secure World Boston  vào thứ Tư. Tôi thấy rằng việc ghi chú trong các phiên giúp tôi học hỏi thêm - ngoài ra, điều đó có nghĩa là tôi có thể tổng hợp một bài đăng blog ngắn để chia sẻ dễ dàng hơn những gì tôi đã học được với bạn về tuân thủ PCI, đảm bảo không gian mạng và sử dụng đám mây công cộng để bảo mật doanh nghiệp. Đây là một số điểm đáng chú ý...

Tuân thủ PCI - KHÔNG DÀNH CHO DUMMIES

Erika Powell-Burson

Nhân viên An ninh Thông tin,  Alegeus

Tuân thủ PCI là bắt buộc nếu bạn duy trì dữ liệu chủ thẻ, vì vậy các công ty phải giải quyết vấn đề này. Phiên bản 3.2 của tiêu chuẩn sẽ ra mắt trong tháng tới. Một cuộc khảo sát ngắn về đối tượng chỉ ra rằng các cuộc kiểm toán thường đi kèm với chứng ợ nóng. Người thuyết trình thích   báo cáo DBIR 2015 của Verizon về cả giọng điệu và nội dung, và cô ấy đã chia sẻ các xu hướng từ   báo cáo DBIR năm 2014 . Tuân thủ PCI thực tế là ba tiêu chuẩn, tùy thuộc vào cách sử dụng của bạn: PTS, PA-DSS và DSS.

Nói về PCI, bạn sẽ gặp khó khăn với ba từ viết tắt chữ cái, và cô ấy đã định nghĩa những từ viết tắt mà cô ấy sử dụng:

  • PAN = số tài khoản chính
  • CHD = dữ liệu chủ thẻ
  • ROC = báo cáo về sự tuân thủ

Erika mô tả ba vai trò quan trọng đối với PCI:

  • Các chương trình tuân thủ thương hiệu thẻ
  • Các nhà đánh giá bảo mật đủ điều kiện (QSA), bao gồm một nhà cung cấp quét được phê duyệt
  • Bảng câu hỏi tự đánh giá (SAQ)

Không phải tất cả các Chuyên gia đánh giá bảo mật đủ điều kiện (QSA) đều được tạo ra như nhau, vì vậy bạn có thể chuyển đổi. Sợ hãi chúng có lẽ là một điều tốt! Có sáu mục tiêu của PCI, dẫn đến 12 yêu cầu, mỗi mục tiêu có các yêu cầu phụ riêng, dẫn đến khoảng 240 kiểm soát. Nhân điều đó với các khía cạnh của môi trường của bạn, và bạn sẽ có được một không gian kiểm tra rất phức tạp và rộng lớn. Bà nhấn mạnh rằng PCI không phải là toàn bộ chương trình bảo mật thông tin của bạn; nó có thể là một phần hoặc thậm chí là một ống kính, nhưng cần phải có nhiều hơn thế. Bước nhảy từ tiêu chuẩn 3.0 lên 3.1 là một chút lớn. Các phiên bản đầu tiên của TLS và SSL đã bị loại bỏ, nhưng ngày tuân thủ đã bị hoãn lại đến tháng 6 năm 2018.

Người thuyết trình đã xem xét các khu vực bao phủ quan trọng của PCI:

  • Tài liệu
  • DNVVN
  • An ninh mạng
  • Cấu hình tường lửa
  • Thay đổi cách quản lý
  • Thủ tục hàng ngày
  • Ứng phó sự cố
  • Hạn chế truy cập
  • Quản lý tài khoản
  • Mã hóa
  • Ghi nhật ký
  • Thử nghiệm
  • Theo dõi & Giám sát

Cô ấy nhắc nhở chúng tôi rằng một số việc phải diễn ra hàng quý hoặc nửa năm một lần, vì vậy nếu bạn chờ đợi cho đến ngay trước khi cuộc kiểm toán bắt đầu chuẩn bị, thì đã quá muộn. PCI không thực sự bao gồm tính liên tục của hoạt động kinh doanh, quản lý rủi ro hoặc quản lý nhà cung cấp, vì vậy bạn cũng cần phải ghi nhớ những điều đó. PCI bao gồm một số bảo mật vật lý, vì vậy điều đó có nghĩa là đeo huy hiệu và theo dõi để  điều chỉnh . Bạn thực sự muốn những người vận hành tiếp quản và "sở hữu nó" để họ làm công việc của bạn cho bạn! Họ là các doanh nghiệp vừa và nhỏ. Kiểm toán viên của bạn muốn hình ảnh (sơ đồ) với các từ mô tả hình ảnh.

Lời khuyên:

  • Kiểm tra giả giúp khám phá các câu hỏi "gotcha".
  • Hãy nhớ Top Ten của OWASP.
  • Quản lý dự án là một phần quan trọng của việc tuân thủ PCI.
  • Dán nhãn bằng chứng với tiền tố yêu cầu.
  • Đừng thông tin tình nguyện.
  • Nuôi người của bạn!

Báo cáo PCI của Verizon 2015 cho thấy việc tuân thủ PCI thực sự giúp bảo vệ khỏi mất mát dữ liệu.

[Hai câu hỏi mở mà tôi có:

  • Theo kinh nghiệm và ý kiến ​​của bạn, những công cụ nào đã tạo điều kiện thuận lợi hoặc cản trở việc đánh giá PCI thành công?
  • Bạn có thể nói về việc thanh toán như một dịch vụ so với chi phí duy trì tuân thủ PCI không?]

LƯU Ý MỞ RỘNG: Nâng cao khả năng phục hồi của doanh nghiệp thông qua Bảo hiểm phần mềm và Quản lý rủi ro chuỗi cung ứng

Joe Jarzombek, CSSLP

Cựu Giám đốc Bảo hiểm Phần mềm - An ninh mạng & Truyền thông,  Bộ An ninh Nội địa Hoa Kỳ

Joe bắt đầu bằng cách cảm ơn SecureWorld vì đã xây dựng một cộng đồng. Chúng tôi đến với nhau bởi vì chúng tôi nhận ra một vấn đề thực tế. Ngày nay chúng ta ngày càng dựa nhiều hơn vào các yếu tố phụ thuộc bên ngoài. Chuyển động bên là cách các thỏa hiệp đang diễn ra. Vật lý và mạng đang kết hợp với IoT. Tổn hại về thể chất đến từ các vi phạm mạng: quốc hội và bảo hiểm sẽ đến khi điều đó xảy ra. Ông đã đề cập đến  báo cáo của Nhóm Barr . Ngày càng có nhiều luật lệ do chúng ta không thể tự điều chỉnh.

Niềm tin vào bảo đảm không gian mạng là sự hội tụ với chất lượng, an toàn và bảo mật. Theo quan điểm của Joe, an ninh thay vì an toàn. Mọi người thường cố gắng “xây một bức tường” để đạt được sự đảm bảo. Tất cả đều có phản ứng. Cần thiết, nhưng phản ứng. Thay vào đó, chúng ta có thể kiểm soát bề mặt tấn công của mình. Phần mềm ứng dụng là phần mềm cơ bản của doanh nghiệp. Các chuyên gia CNTT cần có khả năng giải thích rủi ro kinh doanh hoặc sứ mệnh của việc sử dụng một ứng dụng. Hãy nhớ rằng: nếu bạn bị vi phạm, điều đó đơn giản có nghĩa là ai đó khác cam kết tìm ra điểm yếu của bạn hơn bạn. Trang trình bày của anh ấy liệt kê một số kỳ vọng liên quan đến phần mềm cho năm 2016.

DHS CIO Enterprise Services của Hoa Kỳ báo cáo: 92% lỗ hổng ở cấp ứng dụng và 70% vi phạm bảo mật xảy ra ở cấp ứng dụng. Joe khẳng định rằng CVE có thể được sử dụng để đánh giá sự trưởng thành của phần mềm. Loại bỏ hoặc giảm thiểu điểm yếu khi bạn tìm thấy chúng. Nói về chuỗi cung ứng có nghĩa là nghĩ đến việc kết hợp các thư viện phần mềm (nguồn cung cấp). Mọi người đang đưa ra quyết định rủi ro với mỗi thư viện mà họ đưa vào. Mọi người có thể sử dụng các sản phẩm trong danh sách trắng nhưng sau đó thậm chí không thực hiện kiểm tra nhị phân để tìm các lỗ hổng đã biết (CVE). Công cụ tồn tại cho điều đó. Hầu hết việc phát triển phần mềm hiện đại bao gồm việc tập hợp các thư viện và mã của bên thứ ba lại với nhau. Bạn có tin tưởng những gì trong mã bên thứ ba của bạn? Phần mềm 'phân rã' theo thời gian mà không có bản vá. Bạn cần một môi trường DevOps hoạt động! 69% lỗi bảo mật đến từ mã nguồn mở.

[Tôi đã có một số bất hòa về nhận thức nghiêm trọng ở đây. Có phải số lượng lớn các lỗi bảo mật trong mã nguồn mở là do nó là mã xấu, hay vì chúng ta thực sự có thể nhìn thấy mã? Nếu hơn 2/3 lỗi bảo mật đến từ mã nguồn mở, tại sao chỉ 10% lỗi nghiêm trọng đến từ nhóm đó?]

Làm cách nào để chúng tôi đảm bảo rằng một nhóm phát triển trung bình có thể kết hợp tự động hóa bảo mật?

Người thuyết trình làm việc tại Synopsis và họ đã sử dụng Nhóm công tác bảo mật phần mềm bên thứ 3 của FS-ISAC làm hướng dẫn. Leveraged Signoff (và Coverity nữa). Phân tích thành phần phần mềm (SCA) giúp điều phối các nhóm phát triển, pháp lý và bảo mật. Đảm bảo tận dụng  CVSS .

Có một mối quan hệ giữa bảo đảm không gian mạng và bảo hiểm không gian mạng. Hãy nghĩ về hệ thống báo cháy cho bảo hiểm gia đình: mạng cần một thiết bị tương tự. Ngành công nghiệp ô tô đã "có đạo" về an ninh. Ngày 9 tháng 2 năm 2016: Tăng cường an ninh mạng của Quốc gia chúng tôi  đã dẫn đến Chương trình đảm bảo an ninh không gian mạng của Underwriters Labs (UL CAP). Chương trình sẽ chính thức được công bố vào thứ Hai (04/04/2016). Nó bao gồm ba phần: chung, quy trình cụ thể của ngành và quy trình tổ chức. UL CAP: các tiêu chuẩn mở để cung cấp bảo đảm không gian mạng. Joe hy vọng rằng bảo hiểm sẽ thúc đẩy điều này hơn bất kỳ ai. 

Cách áp dụng đám mây công cộng có thể cải thiện bảo mật doanh nghiệp của bạn

Bill Wilder

Giám đốc Công nghệ

Tổng công ty Finomial

Người thuyết trình đã liệt kê một số ví dụ chính về đám mây doanh nghiệp: Google, Amazon, Azure, Salesforce, Dropbox. Anh ấy đã dành thời gian nói về các kiểu triển khai đám mây và đặc điểm của các đám mây. Ông lưu ý rằng một quản trị viên truyền thống có thể xử lý từ 100 đến 250 thứ, trong khi một quản trị viên đám mây xử lý từ một đến 25.000 thứ.

Có một loạt việc sử dụng đám mây với độ phức tạp và nguy cơ bảo mật ngày càng tăng: SaaS -> PaaS -> IaaS -> On-Prem. Câu hỏi về sự tuân thủ đã trở nên phức tạp hơn. Bạn có thể tải xuống các trang tuân thủ từ các nhà cung cấp đám mây khác nhau. Một mối đe dọa phổ biến là bảo mật đám mây là trách nhiệm chung. Russinovich (CTO của Azure) và Amazon đều đã tuyên bố rằng.

Bill đã đưa ra một ví dụ thú vị và bi thảm  về Code Spaces . Họ bị tấn công DDoS và sau đó là yêu cầu tiền chuộc. Họ nhận thấy một lỗ hổng bảo mật tương ứng và bắt đầu chống trả. Sau đó, những kẻ tấn công đã tiến hành phá hủy tài sản với mục đích xấu dẫn đến lỗi bảo mật & kinh doanh #fail. Toàn bộ quá trình diễn ra trong 12 giờ. Có một mặt phẳng dữ liệu và một mặt phẳng điều khiển, và chúng ta phải nghĩ về cả hai. Một trong những sai lầm mà Code Spaces đã mắc phải là không làm điều đó.

Arthur C. Clarke nói rằng “Bất kỳ công nghệ đủ tiên tiến nào cũng không thể phân biệt được với ma thuật”. Theo một số cách, bảo mật đám mây giống như ma thuật. Các nhà cung cấp dịch vụ đám mây có cảm biến bảo mật. Bạn có thể dễ dàng triển khai các giải pháp trước tài sản của mình. Tuy nhiên, bảo mật đám mây thực ra không phải là ma thuật.

Những đám mây lớn đã sẵn sàng! Trang trình bày sẽ có sẵn trên  blog.codingoutloud.com . Trong phần Hỏi & Đáp, Bill khẳng định rằng Microsoft Azure sẽ ký HIPAA BAA.

Bảng điều khiển: Các mối đe dọa mới nổi

Jack Daniel , Tenable

Paul Fletcher , AlertLogic

Jimmy Ray Purser , Illumio

Sorin Dediu , Bitdefender

Robert Slocum , ForcePoint

Scott Drucker , SecureAuth

Người điều hành:  Ken Patterson

Tôi thừa nhận rằng tôi đã có một chút chủ nghĩa hâm mộ khi nghe trực tiếp Jack Daniel thay vì chỉ trên  Tuần báo An ninh của Paul .

Ken Patterson đã khởi động mọi thứ bằng cách chỉ ra rằng, "Nếu bạn đợi đủ lâu, các mối đe dọa sẽ không xuất hiện." Sau đó, anh ta trưng cầu các mối quan tâm của khán giả: các mối đe dọa và phản ứng cụ thể trên đám mây, IoT, cách ưu tiên và các tác nhân đe dọa. Sau đó, anh ấy bắt đầu với câu hỏi của chính mình, nhưng trước đó Jack đã so sánh anh ấy với một người quản lý tồi: "Cảm ơn bạn đã đóng góp ý kiến, tôi sẽ làm những gì tôi muốn"

Mối đe dọa lớn nhất mới nổi của chúng ta là gì?

  • Mối đe dọa nội bộ: Đó thậm chí không phải là một thuật ngữ được định nghĩa rõ ràng hoặc hiểu rõ.
  • Kỹ năng: Thế tiến thoái lưỡng nan của hậu vệ từ Microsoft và thiếu đào tạo kỹ năng. Jack nhắc nhở mọi người: "Điều gì sẽ xảy ra nếu chúng tôi đào tạo nhân viên của mình và họ rời đi? Điều gì sẽ xảy ra nếu chúng tôi không làm và họ ở lại?"
  • Kiểm kê tài sản: Bảo mật bắt đầu bằng việc kiểm kê chính xác những gì trong môi trường của chúng ta.
  • Khả năng hiển thị: Microsoft cho biết một ngày trước đó rằng họ thấy thời gian tồn tại 200 ngày cho các vi phạm.
  • Giáo dục người dùng cuối của bạn: Người dùng vẫn là liên kết yếu nhất.

Ken đã đề cập đến một số điểm dữ liệu thú vị: giá trị của một hồ sơ chăm sóc sức khỏe là $ 393, trong khi giá trị của các hồ sơ khác là $ 157.

Các mối đe dọa và phản hồi dành riêng cho đám mây

Mọi thứ đều là dịch vụ với các mối đe dọa dành riêng cho đám mây, bao gồm cả "phần mềm độc hại dưới dạng dịch vụ". Họ thậm chí còn cung cấp SLA. Hầu hết tất cả các mối đe dọa đều dựa trên đám mây tại một số điểm. Các dịch vụ đám mây không cung cấp các phương thức bảo mật nhất quán. Paul Fletcher đã nói về kinh nghiệm của họ với mạng lưới mật ong của họ. Jack lưu ý rằng "các nguyên tắc cơ bản vẫn được áp dụng: bạn có thể hoàn thiện quy mô trên đám mây."

[Tôi nhận thấy rằng không ai nói về vật nuôi và gia súc. Tôi thấy đây là một mô hình sống trong đám mây hữu ích và quan trọng, nhưng nó có thể không phù hợp với chế độ xem phi đám mây của khán giả, nơi mọi thứ đều là thú cưng.]

IOT

Cuộc thảo luận bắt đầu với giai thoại của  một quan chức cấp cao của chính phủ  lo lắng về việc máy điều hòa nhịp tim của mình bị tấn công qua bluetooth, vì vậy bây giờ chúng ta không còn điều đó nữa. IoT cho phép các loại mối đe dọa mới. Ví dụ, kẻ tấn công có thể tắt khóa phòng máy chủ của bạn và sau đó tăng nhiệt để phá hủy tất cả thiết bị và dữ liệu. Một tham luận viên đã mô tả cách công ty của anh ấy giúp một khách hàng đối phó với một cuộc tấn công vào phòng máy chủ của họ và sao lưu dữ liệu bắt đầu thông qua tủ lạnh của họ. Paul đáp lại: "Hai từ: Phân đoạn mạng!"

Làm thế nào để chúng tôi ưu tiên?

Jack bắt đầu bằng cách chỉ ra rằng nếu tôi có những thứ là số một trong môi trường của mình, thì đừng cho rằng nó là số một trong môi trường của bạn (ngay cả khi chúng ta cùng ngành). Một tham luận viên khác nói: "Nó phụ thuộc vào con người". Bạn cần những người được đào tạo bài bản. "Niềm tin là điều quan trọng nhất." Sau đó, Jack trả lời rằng "Đừng thuê ngoài những người kém năng lực. Tất cả chúng ta đều có thể tự mình kém năng lực với giá rẻ hơn nhiều."

Robert Slocum đã tóm tắt phần này của cuộc thảo luận:

  1. Bắt đầu với những người thông minh
  2. Kiểm kê hệ thống và dữ liệu của bạn
  3. Biết ai là người tạo ra rủi ro
  4. Quá trình này là gì?

Chi tiêu quốc phòng phòng ngừa là 86% ngân sách, chỉ để lại 14% cho khả năng hiển thị. Chúng tôi chi quá nhiều tiền cho việc phòng thủ và không đủ cho khả năng hiển thị. Anh ấy thúc giục chúng tôi cân đối chi tiêu. Đừng chỉ mua năm sản phẩm mà tất cả đều bảo vệ khỏi cùng một mối đe dọa.

Các diễn viên đe dọa

  • Bắt đầu với các nhân viên hiện tại và các mối đe dọa nội bộ.
  • Các quốc gia

- Hãy nghĩ xem cuộc cách mạng công nghiệp của Mỹ đã xảy ra với việc chúng ta ăn cắp công nghệ từ Anh như thế nào, chỉ mất nhiều năm. Bây giờ nó nhanh hơn nhiều.

- Sự sụp đổ của ngành công nghiệp hóa chất Hoa Kỳ, phần lớn không được công khai, là do gián điệp mạng của Trung Quốc.

  • Những người theo chủ nghĩa tin tặc.

Kỹ thuật xã hội vẫn là một cách dễ dàng. Một người tham gia hội thảo liên quan đến một câu chuyện về việc nén toàn bộ giá trị W2 của một tập đoàn cho một cuộc điện thoại tự xưng là giám đốc tài chính. Sorin cảnh báo rằng sẽ có thêm nhiều cuộc tấn công kiểu Blitzkrieg. Toàn bộ hội đồng đã cảnh báo những người có mặt hãy cẩn thận với việc ghi nhận tác giả. Chúng tôi, với tư cách là một ngành công nghiệp và một quốc gia, có một vấn đề với việc lập hồ sơ. Một tham luận viên đã chia sẻ câu chuyện về con trai của ông ở Oklahoma, người đã bị đuổi khỏi nhà vì mặc một chiếc áo cao bồi sau vụ nổ súng ở Columbine.

Lời cuối: Học máy sẽ hữu ích. Khả năng hiển thị là chìa khóa. IPv6 sắp ra mắt. Đó là "tôi đã ở khi nào" chứ không phải "nếu bạn bị" hack.

3 hữu ích 0 bình luận 3.9k xem chia sẻ

Có thể bạn quan tâm

loading