|
PCI DSS和PADSS即将迎来新的小版本更新,经过支付产业的研讨和确认,最新版本将分别为PCIDSS 3.1和PADSS 3.1。
本次更新主要是针对SSL不再被认可为“强加密Strong Cryptography”。众所周知,由于其协议本身的弱点,SSL和早期版本的TLS已经不再被产业认可进行数据保护。SSL的所有版本目前不再被PCI产业所认可为强加密方式保护持卡人数据,这也是本次PCI DSS 3.1和PA DSS 3.1更新的主要内容。
atsec将一如既往协助各个机构寻求合理的整改方案,也希望各个机构引起重视并尽早消除SSL所带来的安全隐患。
PCI标准支持文档最新版本:渗透测试指导即将发布。
针对PCI DSS 11.3所要求的渗透测试工作提出进一步的指南和最佳实践建议,可以协助各个机构更好的理解渗透测试组件和方法的基本要求,选择合格的渗透测试人员,并完成高质量的渗透测试报告。atsec作 为本PCI SIG特 别工作组的核心成员,早在2013年度提出了本次指导编写的草案和提议,并积极地参与到该工作中。本次发布的指导内容将包括但不限于:
a)理解渗透测试所组成的不同组件,及其和脆弱性扫描的区别;
b)无论是外部还是内部渗透测试,通过对人员经验、人员资质证书等因素判断和决定合格的渗透测试执行人员;
c)渗透测试方法论指导;
d)完整渗透测试报告的指导,通过检查单的形式确认所有内容都在报告中有所体现;
atsec也于2015年初正式成立了@PT Lab渗透测试实验室。希望通过atsec在渗透测试领域的专注和投入,不仅配合PCI审核保护支付卡产业的持卡人数据安全,而且能够对更为广泛的IT安全领域做出应有的贡献。同时,atsec一如既往地提供外部 安全扫描(特别是PCI产业要求的ASV服务)。我们将以最高效的方式和最小的成本从远程方式检查对外可见的主机的安全脆弱性。
另外,1月27日 美国国土安全部(Department of Homeland Security) 通过计算机应急小组(US-CERT:Computer Emergency Readiness Team)警告机构关于命名为“GHOST”的重要软件脆弱性,可能导致计算机系统的严重风险。
GHOST影响Linux GNC C库(glibc) 2.18之前的版本。黑客可以利用该漏洞进行远程代码执行,使其控制被影响的系统,可能通过删除文件、安装恶意程序造成严重损失,并通过盗取的帐号信息进行任何操作。可以考虑如下方式识别并降低该脆弱性的影响:
a)首先与机构内部IT部门和/或合作伙伴,识别所有服务器、系统和应用所采用的glibc版本;
b)采用了受影响的Linux版本的机构应该:
查阅VU#967332的脆弱性说明及其整改方案。
| 
窥视卡
雷达卡
发表于 2015-3-2 15:34:35
收藏
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡