PCI-DSS監査の一環として、すべての開発者がこの分野の重要性を確実に理解できるように、セキュリティ分野のコーディング基準の改善を検討しています。
組織内でこのトピックにどのように取り組んでいますか?
余談ですが、クレジット/デビット カードによる支払いを受け入れる .NET 3.5 で公開 Web アプリを作成しています。
3 に答える
1
QSA または ASV に、開発者にトレーニングを提供するよう依頼することを検討してください。
于 2010-01-19T12:33:59.567 に答える
0
セキュリティは基本的に、次の 3 つのドメインの 1 つまたは複数に分類されます。
1) 内部利用者
2) ネットワークインフラ
3) クライアント側のスクリプト
そのリストは重大度の順に書かれており、違反確率の順序とは逆になっています。非常に広い視野から適切な管理ソリューションを以下に示します。
内部ユーザーによる違反を防止する唯一の解決策は、ユーザーを教育し、会社のポリシーを認識させ、ユーザーの自由を制限し、ユーザーの活動を監視することです。これは、悪意があるかどうかにかかわらず、最も重大なセキュリティ違反が常に発生する場所であるため、非常に重要です。
ネットワーク インフラストラクチャは、情報セキュリティの従来の領域です。2 年前、セキュリティの専門家は、セキュリティ管理のために他の場所を探すことを考えていませんでした。すべての内部 IP アドレスに NAT を使用し、ネットワーク スイッチでポート セキュリティを有効にし、物理的にサービスを別のハードウェアに分離し、すべてがファイアウォールの背後に埋もれた後も、これらのサービスへのアクセスを慎重に保護するという基本的な戦略があります。データベースをコード インジェクションから保護します。IPSEC を使用して、ファイアウォールの背後にあるすべての自動化サービスに到達し、IDS または IPS の背後にある既知のポイントへのアクセス ポイントを制限します。基本的に、すべてへのアクセスを制限し、そのアクセスを暗号化し、すべてのアクセス要求が悪意のある可能性があると本質的に信頼します。
報告されたセキュリティ脆弱性の 95% 以上は Web からのクライアント側スクリプトに関連しており、その約 70% はバッファ オーバーフローなどのメモリ破損を対象としています。ActiveX を無効にし、ActiveX を有効にするには管理者権限が必要です。ベンダーからパッチがリリースされてから 48 時間以内に、テスト ラボであらゆる種類のクライアント側スクリプトを実行するすべてのソフトウェアにパッチを適用します。テストで会社が承認したソフトウェア構成への干渉が示されない場合は、パッチをすぐに展開してください。メモリ破損の脆弱性に対する唯一の解決策は、ソフトウェアにパッチを適用することです。このソフトウェアには、Java クライアント ソフトウェア、Flash、Acrobat、すべての Web ブラウザ、すべての電子メール クライアントなどが含まれます。
開発者が PCI 認定に準拠していることを確認する限り、開発者とその管理者がセキュリティの重要性を理解するよう教育されていることを確認してください。ほとんどの Web サーバーは、大規模な企業クライアント向けの Web サーバーであっても、パッチが適用されることはありません。パッチが適用されたものは、脆弱性が発見されてからパッチが適用されるまでに数か月かかる場合があります。これは技術的な問題ですが、さらに重要なのは、全体的な管理の失敗です。Web 開発者は、クライアント側のスクリプト作成が本質的に、JavaScript でさえも悪用されやすいことを理解する必要があります。この問題は、AJAX の進歩によって容易に実現されます。これは、同一発信元ポリシーに違反して匿名の第三者に情報が動的に注入され、SSL によって提供される暗号化を完全に回避できるためです。 肝心なのは、Web 2.0 テクノロジは本質的に安全ではなく、テクノロジの利点を損なわずにこれらの根本的な問題を解決することはできないということです。
他のすべてが失敗した場合は、管理経験のあるCISSP認定のセキュリティマネージャーを雇って、会社の幹部と直接話すことができます. あなたの経営陣がセキュリティを真剣に考えていない場合、あなたの会社は決して PCI コンプライアンスを満たすことはありません。
于 2010-01-19T17:53:09.727 に答える