DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

应对ddos_能不能_广西纸牌防御

04-09 DDOS防御

应对ddos_能不能_广西纸牌防御

这里是PCI 3.0。自2015年1月1日起,其管辖范围内的组织必须遵守更新的标准。许多变化都源于最近备受关注的违规行为,尽管这些违规行为是合规的。在这篇文章中,我们将主要关注3.0对应用程序和网络安全的影响。第6节和第11节中的某些要求的截止日期为2015年6月30日。为达到最新标准所需的努力可能是巨大的,不应低估。就上下文而言,PCI DSS合规性变得越来越重要,因为全球卡欺诈造成的损失继续升级:从哲学上讲,更新和新需求源自以下观察:第三方软件以及服务提供商或承包商的漏洞对持卡人环境构成重大风险周界漏洞很常见,在周界内的安全与周界本身一样重要Pentests需要符合行业标准方法由于缺乏适当的网络分段和访问控制,攻击者成功了以下是对相关变更的部分讨论。6.3安全开发指南适用于内部软件和定制软件定制软件是指所有由您自己或第三方构建的定制软件。您可能会为自己的代码坚持一个安全的开发过程,但是如果您从外部获取一些代码,并且如果他们没有将安全性引入到SDLC中,那么它们将成为最薄弱的环节。虽然这是有意义的,但最具挑战性的部分是解决外包代码中的问题,特别是在合同结束或专业知识丧失的情况下。6.5更新开发人员关于常见编码漏洞的培训,并了解如何在内存中处理敏感数据这样做的动机很容易追溯到所有的POS内存刮取攻击,这些攻击占据了最近的新闻(例如,Target)。虽然这对于正在开发的软件来说是一个很好的指导方针,但是在生产中审查和修复软件程序可能是一个挑战。6.5.10中断认证和会话管理例如,将cookies标记为安全的、不在url中公开会话id、确保会话id不可预测和超时。Barracuda Web应用程序防火墙在默认情况下保护会话ID和Cookie(使用签名或加密)以及防止会话欺骗和CSRF攻击。URL中的会话id很难在代码中修复,但是可以通过使用Barracuda Web应用程序防火墙的URL加密来轻松保护。虽然第6.6节基本保持不变,但它增加了一个小条款,允许WAFs处于监视模式。正如Gartner的安东·丘瓦金(Anton Chuvakin)指出的那样,这并不好,我们同意。这可能是出于避免误报的愿望,linux集群ddos防御,但这实际上优先考虑了便利性而非安全性。任何与生产WAF打过交道的人都知道,WAF会遇到很多攻击。手动处理此类警报会导致延迟,高级攻击者很容易利用这些延迟。行业最佳实践是以主动保护模式部署WAF,我们建议这样做。11.3渗透测试应基于行业认可的方法(例如,NIST SP800-115)第11节涉及扫描和渗透测试,以评估安全控制的有效性。根据Verizon PCI Compliance Report 2014,第11节仍然是最不符合的要求。去年只有13.2%的组织遵守了这一规定。其中一个原因是,关于"隐忍"的定义和范围一直有待解释。这是被低劣的公司利用的,这些公司把扫描报告当作最终的笔试报告来填写一个复选框。在3.0中则不是这样。11.3在2015年6月30日之前提供了几项作为最佳实践的更新,之后成为一项要求。第一种方法确保笔测试符合行业标准,而不是一种复选框形式。11.3:Pentest应包括CDE周界和网络内外的测试。应用层测试必须包含6.5中的要求(例如OWASP Top 10)。从应用程序安全的角度来看,其后果是显著的。早些时候,你可以通过只考虑面向公众的应用程序来逃脱惩罚。但是现在,测试的范围明确要求在外围环境中进行测试。虽然这听起来很繁重(尤其是对中小企业而言),但确实有道理。周界漏洞很常见。无论是攻击者、内部人员还是承包商,一旦进入内部,可以访问持卡人数据的内部应用程序就是主要目标。它们的攻击面需要与面向公众的应用程序一样安全,甚至更多。11.3.1/11.3.2内部和外部pentest需要至少每年进行一次,并且在任何重要的基础设施或应用程序升级或修改之后因此,例如,如果这在2014年适用,那么除了对我们的应用程序进行其他重大更改外,您可以在每次发生心血、shellshock、winshock和贵宾犬攻击之后重做Pentest,这些攻击都涉及大量的修补活动。11.3.4:包括验证任何细分和范围缩减控制的测试在过去,对零售商的攻击一直是成功的,因为网络没有被正确地分割,所以例如攻击者能够从HVAC到POS网络,并将数据过滤到互联网上。具有强大的细分、严格的主机访问控制和应用程序感知的网络控制是一个逻辑指导。如果您还没有探索过梭子鱼防火墙功能,现在是时候这样做了。枪下的中小企业大型组织都有专门的信息和应用程序安全团队,ddos防御10g,而且在某种程度上,他们总是在外围环境中沉迷其中,通常遵循特定于行业的持久性方法,例如渗透测试执行标准。网络分割和主机访问控制也是企业中常见的体系结构。因此,他们将更快地实现3.0法规遵从性,尽管规模更大。然而,中小企业将首当其冲,因为它们的预算和信息安全人员有限。他们将需要帮助来确定CDE,评估范围,可能会雇佣新的QSA,更新他们的安全解决方案和态势,阿里云免费DDOS防御,包括在周边地区。重新构建他们的网络环境以遵守新的指导方针也需要大量的投资。中小企业所能做的最糟糕的事情就是低估这些新指令的范围和挑战。从安全角度来看,国外免费ddos防御,这些指令是有意义的,但需要投入大量的时间和资源才能落实到位。中小企业也可以通过对传统的大型安全供应商保持警惕,因为这些供应商并不真正关注其利基需求,对其市场表现出不一致的兴趣。他们最好寻找那些提供差异化、交钥匙式安全解决方案的供应商,这些解决方案从一开始就考虑到中端市场,防御ddos云服务中心,这些解决方案具有成本效益,易于使用和管理,而不需要大量专业支持人员,并且能够快速实现价值。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/39873.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5479559访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X