Theo Ryan O'Leary, Phó Giám đốc Trung tâm nghiên cứu mối đe dọa thuộc WhiteHat Security: “Ba khuyến nghị này thực sự là nhữngtiêu chuẩn của ngành công nghiệp bảo mật và cuối cùng đang trở thành sự bắt buộcđối với các công ty”.
Hiện nay, các nhà quảntrị muốn truy nhập thẻ dữ liệu phải có hai yếu tố xác thực khi đăng nhập. Trướcđây, những yêu cầu này chỉ áp dụng cho những truy nhập từ xa trên những mạngkhông đáng tin cậy. Nhưng đến nay “chỉ một mật khẩu đơn độc sẽ là không đủ để xác thực danh tính của người quản trị và để được trao quyềntruy nhập tới những thông tin nhạy cảm”, Troy Leach, Giám đốc kỹ thuật của PCISecurity Standards Council đã nhấn mạnh trong một tuyên bố mới đây.
Nhiều công ty hiệnđang sử dụng hai yếu tố xác thực trên tất cả các hệ thống dễ có nguy cơ bị tấncông. “Việc sử dụng hai yếu tố xác thựccho việc truy nhập trong các môi trường quan trọng của lĩnh vực tài chính là nhữnggì mà chúng tôi đã và đang hỗ trợ trong khoảng 10 năm với mức chi phí hợp lý”, JohnBambenek, người quản lý các hệ thống mối nguy hại tại Fidelis Cybersecurity cho biết.
Chủ động kiểm thử thâm nhập
Trước đây, việc quétlỗ hổng thụ động là đủ để đảm bảo tuân thủ những yêu cầu của PCI. Tuy nhiên, vớinhững quy tắc mới này thì chủ động kiểm thử thâm nhập sẽ mang tính bắt buộc.
Việc chuyển sang kiểmthử thâm nhập là tập trung vào thử nghiệm những gì mà tin tặc có thể thực hiệntrong thực tế thay vì sử dụng những công cụ quét lỗ hổng tĩnh, mà nó có thể bỏ qua rấtnhiều khả năng bị tấn công.
Nhà bảo mật O'Leary của WhiteHat cho biết, trong vài nămqua, có một số lỗ hổng bảo mật liên quan đến giao thức SSL (Secure Sockets Layer – một giao thức bảo mậtmà người dùng Internet sử dụng để mã hóa và đảm bảo an toàn thông tin). Mộtsố máy chủ và trình duyệt vẫn sử dụng những phiên bản theo những chuẩn đã lỗithời. Những phiên bản cũ đó cần phải được loại bỏ và không cho phép bất kỳ tấncông hạ cấp (downgrade attacks) nào xảy ra. Trong quá trình nâng cấp từ SSL lênTLS(Transport Layer Security), ông khuyến nghị ngườidùng sử dụng hẳn phiên bản mới nhất, an toàn nhất là TLS 1.3 thay vì sử dụngTLS 1.1 được quy định bởi PCI.
Thời hạn để các công ty chuyển đổi nhằm tuân thủ những quy định về xác thực và kiểm thử thâm nhập là đến tháng 2/2018, và chuyển sang TLS là đến tháng 7/2018
Tình thế bắt buộc phải tính xa hơn
Những phàn nàn duy nhất từ phía các chuyên gia bảo mật đối với các hướng dẫn mới là chúng luôn luôn không vượt trước đủ xa so với yêu cầu. Theobáo cáo mới đây nhất của Verizon, các thông tin cá nhân bị đánh cắp chiếm 63% tổng dữ liệu xácnhận bị vi phạm.
Theo các nhà bảo mật, việc sử dụng hai yếu tốxác thực cơ bản sẽ làm giảm một loạt các vi phạm. Những tiêu chuẩn mới cuả PCI đủnâng cáo độ an toàn dữ liệu của chủ thẻ trong một thời gian nhất định.
Bởi có những yêu cầu phải tuân thủ, nên quátrình tạo ra các chuẩn mới còn chậm và mất nhiều thời gian, và là nguyên nhân củaviệc luôn đi sau những gì mà tội phạm mạng đang thực hiện. Do vậy, ngành côngnghiệp bảo mật cần cải tiến những khả năng ứng phó và phát hiện mối đe dọa trướckhi có những tổn hại xảy ra.
Ngoài ra, có nhiều yếu tố nguy hại khác cũng chưa được đề cập đến ở những quy định mới, đơn cử như chưa xem xét liệu sự phổ biến tràn lan của phần mềm độc hại POS sẽ bị ảnh hưởng như thế nàu bởi các thay đổi này. Do vậymà dữ liệu khách hàng sẽ vẫn chưa hẳn được an toàn.
Theonetworksasia.net