戻る

PCI コンプライアンスの実証は難しいことではありません

著者注 by バルバラ・フロンメル 2017 年 8 月 25 日

ネットワークが適切に保護され、監査のための PCI コンプライアンス基準を満たしていることを確認することは、多くの組織にとってますます懸念されています。 コンプライアンスの境界内で運用している可能性がありますが、ほとんどの場合、社内および規制監査の両方でそれを証明するのは困難です。 これは主に、既存のネットワーク インフラストラクチャのドキュメントが日常的に手作業であり、しばしば時代遅れであるという事実によるものです。

多くの人にとって、自動化されたソリューションがないために、クレジット カードのトランザクション フローに沿ったセキュリティ ポリシーの表示と理解が制限されています。 問題をさらに複雑にしているのは、ネットワーク チームとセキュリティ チームがあまり協力せず、意見が一致することはめったにないという事実です。

これらの要因を念頭に置いて、PCI コンプライアンス監査を確実に成功させるための XNUMX つの重要なフェーズを概説しました。

ドキュメントによる検証

文書化は、チームがコンプライアンスを証明するための最も重要なステップです。 しかし、ほとんどの企業で現在進行中の問題は、プロセスの手作業で骨の折れる性質です。 監査の場合、ファイアウォール ポリシー、アクセス リスト、ポリシーベース ルーティングなどを文書化できないことは、実際の問題です。

ダイナミックで ネットワーク マップ、組織は既存のネットワークを詳細に自動化して、エンドツーエンドの可視性を提供するだけでなく、詳細な資産レポートなどを提供できます. クレジット カード トランザクション パスを検証するには、エンジニアは考えられるすべてのパスを評価する方法が必要です。 NetBrainの A/B パス計算機能は、レイヤー 4 ポート レベルで動作し、ACL とポリシーベースのルーティングを分析してアプリケーション パスを視覚的に表示し、PCI の自動化を可能にします。 compliance check関連するデバイス間で

NetBrain AB パス

図1: NetBrainの A/B カルキュレータは、パスのすべてのホップで包括的な分析を実行し、ポリシーベース ルーティング、NAT、アクセス リストなどの高度なテクノロジーを考慮に入れます。

セキュリティ プロセスを標準化する Runbooks

共通のコンプライアンス ルール セット (デバイス パスワードが暗号化されている、タイムアウトが構成されている、ベンダーのデフォルトが存在しないなど) に照らしてすべてのネットワーク構成を検証することは、PCI コンプライアンスに向けた重要なステップです。 多くの組織は、作成時にコンプライアンスの問題に遭遇します。 ネットワークへの変更. これに対抗するために、セキュリティ チームは実行可能ファイルを作成できます Runbook新しいサービスの導入や運用の変更を通じてコン​​プライアンスを確保するために、ネットワークの変更に使用します。これらの実行可能ファイル Runbookには、今後のセキュリティのベスト プラクティスを強化するのに役立つ設計ガイドとベスト プラクティスが含まれる場合があります。

変更の構成時に、実装エンジニアは脆弱性評価も実行する必要があります Runbook 事前に定義された PCI コンプライアンス基準を満たしていることを確認します。 イベント管理システムは、変更が発生した瞬間に PCI 評価を自動トリガーするように構成することもできます。

セキュリティ強化-Runbook

図 2: すべてのネットワーク デバイスがアクセス強化されていることを確認するため、このサンプル runbook すべての設定ファイルを一連のセキュリティ標準に照らしてチェックします。 設計エンジニアは、これをネットワーク全体で XNUMX 回実行し、次に新しい構成変更ごとに実行します。

コンプライアンスは XNUMX 回限りのイベントではありません

PCI 準拠を維持することは継続的なプロセスであり、XNUMX 回限りの修正ではありません。 潜在的なセキュリティの脅威に対する防御も同様です。 プロセス全体が効果的に機能するためには、コラボレーションが不可欠です。 と NetBrain、セキュリティ チーム、およびネットワーク チームは、トリアージ、フォレンジック、およびセキュリティのためにプラットフォームを介して協力して、脅威をプロアクティブに防止できます。

サイバー攻撃中および攻撃後に適切なコンプライアンス手順を確実に遵守し、ネットワーク チームが定義されたセキュリティ プラクティスに従うようにすることが重要です。 そして覚えておいてほしいのは、監査中に何をしたかを言うだけでは十分ではなく、それを証明しなければならないということです。

関連記事