Các nhà bán lẻ phải nâng cấp quá trình xác thực, mật mã hóa và kiểm thử xâm nhập

HG| 12/05/2016 16:10
Theo dõi ICTVietnam trên

Hội đồng Tiêu chuẩn An toàn Thẻ thanh toán (The PCI Security Standards Council) yêu cầu mức độ cao hơn về xác thực, mật mã hóa và kiểm thử thâm nhập (penetration testing) đối với các công ty đảm nhận việc thanh toán cho người tiêu dùng.

Theo Ryan O'Leary, Phó Giám đốc Trung tâm nghiên cứu mối đe dọa thuộc WhiteHat Security: “Ba khuyến nghị này thực sự là nhữngtiêu chuẩn của ngành công nghiệp bảo mật và cuối cùng đang trở thành sự bắt buộcđối với các công ty”.

Hiện nay, các nhà quảntrị muốn truy nhập thẻ dữ liệu phải có hai yếu tố xác thực khi đăng nhập. Trướcđây, những yêu cầu này chỉ áp dụng cho những truy nhập từ xa trên những mạngkhông đáng tin cậy. Nhưng đến nay “chỉ một mật khẩu đơn độc sẽ là không đủ để xác thực danh tính của người quản trị và để được trao quyềntruy nhập tới những thông tin nhạy cảm”, Troy Leach, Giám đốc kỹ thuật của PCISecurity Standards Council đã nhấn mạnh trong một tuyên bố mới đây.

Nhiều công ty hiệnđang sử dụng hai yếu tố xác thực trên tất cả các hệ thống dễ có nguy cơ bị tấncông. “Việc sử dụng hai yếu tố xác thựccho việc truy nhập trong các môi trường quan trọng của lĩnh vực tài chính là nhữnggì mà chúng tôi đã và đang hỗ trợ trong khoảng 10 năm với mức chi phí hợp lý”, JohnBambenek, người quản lý các hệ thống mối nguy hại tại Fidelis Cybersecurity cho biết.

Chủ động kiểm thử thâm nhập

Trước đây, việc quétlỗ hổng thụ động là đủ để đảm bảo tuân thủ những yêu cầu của PCI. Tuy nhiên, vớinhững quy tắc mới này thì chủ động kiểm thử thâm nhập sẽ mang tính bắt buộc.

Việc chuyển sang kiểmthử thâm nhập là tập trung vào thử nghiệm những gì mà tin tặc có thể thực hiệntrong thực tế thay vì sử dụng những công cụ quét lỗ hổng tĩnh, mà nó có thể bỏ qua rấtnhiều khả năng bị tấn công.

Nhà bảo mật O'Leary của WhiteHat cho biết, trong vài nămqua, có một số lỗ hổng bảo mật liên quan đến giao thức SSL (Secure Sockets Layer – một giao thức bảo mậtmà người dùng Internet sử dụng để mã hóa và đảm bảo an toàn thông tin). Mộtsố máy chủ và trình duyệt vẫn sử dụng những phiên bản theo những chuẩn đã lỗithời. Những phiên bản cũ đó cần phải được loại bỏ và không cho phép bất kỳ tấncông hạ cấp (downgrade attacks) nào xảy ra. Trong quá trình nâng cấp từ SSL lênTLS(Transport Layer Security), ông khuyến nghị ngườidùng sử dụng hẳn phiên bản mới nhất, an toàn nhất là TLS 1.3 thay vì sử dụngTLS 1.1 được quy định bởi  PCI.

Thời hạn để các công ty chuyển đổi nhằm tuân thủ những quy định về xác thực và kiểm thử thâm nhập là đến tháng 2/2018, và chuyển sang TLS là đến tháng 7/2018 

 Tình thế bắt buộc phải tính xa hơn

Những phàn nàn duy nhất từ phía các chuyên gia bảo mật đối với các hướng dẫn mới là chúng luôn luôn không vượt trước đủ xa so với yêu cầu. Theobáo cáo mới đây nhất của Verizon, các thông tin cá nhân bị đánh cắp chiếm 63% tổng dữ liệu xácnhận bị vi phạm.

Theo các nhà bảo mật, việc sử dụng hai yếu tốxác thực cơ bản sẽ làm giảm một loạt các vi phạm. Những tiêu chuẩn mới cuả PCI đủnâng cáo độ an toàn dữ liệu của chủ thẻ trong một thời gian nhất định

Bởi có những yêu cầu phải tuân thủ, nên quátrình tạo ra các chuẩn mới còn chậm và mất nhiều thời gian, và là nguyên nhân củaviệc luôn đi sau những gì mà tội phạm mạng đang thực hiện. Do vậy, ngành côngnghiệp bảo mật cần cải tiến những khả năng ứng phó và phát hiện mối đe dọa trướckhi có những tổn hại xảy ra.

Ngoài ra, có nhiều yếu tố nguy hại khác cũng chưa được đề cập đến ở những quy định mới, đơn cử như chưa xem xét liệu sự phổ biến tràn lan của phần mềm độc hại POS sẽ bị ảnh hưởng như thế nàu bởi các thay đổi này. Do vậymà dữ liệu khách hàng sẽ vẫn chưa hẳn được an toàn.

Theonetworksasia.net 

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Các nhà bán lẻ phải nâng cấp quá trình xác thực, mật mã hóa và kiểm thử xâm nhập
POWERED BY ONECMS - A PRODUCT OF NEKO