拉斯维加斯——The city安全标准一名安全专家表示,用于保护信用卡的工具无法胜任这项任务,而计划在今年秋季进行的升级几乎无助于改善它互操作本周与会者。
不仅如此,所谓的支付卡行业数据安全标准(PCI DSS)正在推动企业把安全资金花在什么地方,而这并不一定是他们为了最好地保护自己的资产而会做的事情,the 451 Group企业安全实践研究主管乔希·科尔曼(Josh Corman)说。
PCI DSS的一个明显缺点之一是它不会解决云计算总之,让那些对云所承诺的成本节约感兴趣的企业无法以符合要求的方式使用它。他说,今年秋天生效的改革草案也没有涉及云计算。
问题是,由于预算紧缩,首席信息官和首席信息官被迫限制他们的安全预算。Corman说,由于PCI DSS对任何处理信用卡数据的人都是强制性的,它的要求得到了满足,通常是以牺牲其他措施为代价的。
Corman说:“PCI已经在没有预算的地方创造了预算。”人们普遍认为IT安全是不受经济衰退影响的,但PCI的合规已经迫使原本可能被削减的大部分支出。他表示:“或许更准确的说法是,合规使(安全)免于衰退。”
Corman表示,PCI DSS可能会或可能无法做好保护信用卡数据的良好工作,但绝对不会根据其对公司的价值保护所有公司资产的最佳工作。“PCI并不意味着保护[您的业务],这意味着保护您已负责的数据,”他说。“[合格的安全评估员]不保护上校的草药和香料;他保护信用卡。”
然而,在业界的印象是,PCI DSS是一种标准,如果应用于任何商业网络将充分保护它。Corman说,由于PCI DSS是许多企业的强制性标准,它为充分的安全设置了标准——也许不是很高的标准。他采访的许多安全高管表示,他们的大部分支出是为了确保业务能够通过PCI DSS安全审计,而不是为了保护风险最高的资产。“比起攻击者,我们现在更害怕审计师。这是好事吗?”科曼说。
威胁的性质一直在变化,敌人坚持并不断尝试新的攻击手段。
Corman说,与此同时,PCI DSS每两年更新一次,这使得它在与来自攻击者的最新创新的战斗中落后。
他说,支持这些标准的一些原则经不起分析。例如,定期、及时地为操作系统和应用程序打补丁被吹捧为数据保护的关键。但他说,根据Verizon Business的一份数据泄露报告,在2009年有必要采取事件应对措施的90起泄密事件中,只有6起本可以通过更及时的修补程序得到阻止。
同样,常见的思维是大多数违规者都是由内部人引起的,但只有20%的verizon报告的事件涉及内部人员。其中,一半是由于用户错误,而不是内在人的错误。“那是一个都市传说。我们有糟糕的数据,”他说。
反病毒Corman说,在PCI的强制要求下,安全支出占了最大的比例,但85%的入侵是由用户定制的恶意软件造成的,病毒软件无法捕捉到。
PCI委员会的立场是,对于完全符合PCI标准的网络,没有任何数据泄露是成功的,如果受害者更好地关注他们的日志数据,他们就会发现这些泄露。科曼说:“这意味着他们的遵守是绝对正确的。”
但他说,根据Verizon的报告,三分之一的入侵日志没有证据表明存在入侵。
Corman说,PCI让那些没有做任何保护卡的人做一些事情-满足最低标准。PCI.可能会更好地工作。“有太多的移动碎片,”他说。
最重要的是,没有足够的数据来了解PCI是否有效,以及如果没有这些数据,安全控制业务是否会到位
科尔曼说,要复制这个问题,考虑审查三年来审查三年而不是两个,落后于攻击者创新的标准。
他说,内华达州、华盛顿州和马萨诸塞州这三个州的数据保护法很大程度上是基于PCI的,给了它比它应得的更多的信任。他说:“这完全是疏忽大意。”“这不应该被视为行业最佳做法。”