W

为什么合规性始于登录

法规遵从性要求曾经使IT感到烦恼。由一群对IT几乎一无所知的官僚制定的规则并不是IT的主要重点,除非管理层告知。但是今天,IT部门认识到数据安全性(大多数法规遵从性要求的关键组成部分)的重要性,以及法规遵从性标准如何提供建立适当安全性的框架。

大多数IT组织都将精力集中在建立和维护安全级别上,这是必不可少的步骤。但是,在尝试不断验证环境时 遗迹 合规,答案不是继续检查墙壁是否仍然站立;您需要查看环境的使用方式,并确定该使用方式是否超出可接受范围。

因此,问题就变成了在确定是否合规之前,您使用“兔子漏洞”到底走了多远?当然,您不想等到发生违规事件就意识到自己不合规。您需要一种在使用过程中更早测试合规性的方法。

幸运的是,存在这样一种合规性测试–登录。

登录不只是安全协议的问题,它可以防止不必要的注意。这是特定用户标识自己的关键时刻。不仅是用户名和密码;当您深入研究时,登录时会提供更多细节。其他详细信息,例如登录的日期和时间,从中登录的IP地址和工作站,甚至登录频率,都在确定环境是否超出合规性方面起作用。

请看以下示例:

有权访问遵从性要求的数据的用户在几个小时后连续从远程计算机登录。

这里有三个危险信号–

  • 一天中的时间
  • 登录次数
  • 登录发生的位置

坏消息是登录并不会告诉您完全违反合规性,但确实会为您提供领先的指标,可能存在问题 早于任何访问(请参阅:违反合规性)发生之前。

许多标准敏锐地意识到了登录和后续操作的重要性。以当今最详细的标准之一为例– PCI DSS –了解登录如何在合规性中发挥作用。

PCI数据安全标准的目标是保护持卡人数据免受任何未经授权的访问。采取当前PCI标准中的以下预防措施:

  • 要求7: 根据业务需要限制对持卡人数据的访问
  • 要求9: 限制对持卡人数据的物理访问
  • 要求10: 跟踪和监视对网络资源和持卡人数据的所有访问

这些要求中的每一项都是确保持卡人数据安全的必要条件。但是每个都取决于在每个需求中找到的一个关键词: 访问.

这个单词代表一个帐户用于主动连接到系统并打开/读取/复制/下载持卡人数据的过程– 从他们登录开始的操作。

甚至PCI的作者也明白这一点:存在要求8(标识和认证对系统组件的访问)以建立对环境的单独访问和使用。存在此要求是为了确保有一种方法(在要求10中) 审核每个用户与网络的互动 以及最终的持卡人数据。

开始符合登录要求

虽然实施合规性控制需要在很多方面做出努力(取决于每个任务),但是确保组织保持合规性的实际监控实际上是关于您是否对敏感数据的不当访问。而且,由于组织无法承受这种不适当的访问,所以有必要(而且很聪明)利用任何领先的指标。

登录是监视合规性以及(如果已准备好适当的安全解决方案)阻止潜在不当访问的最引人注目的点(再次请阅读: 合规 违反)。通过利用访问过程中的这一必要步骤,您可以简化IT部门需要监视的位置,以确保保持合规性。