您决定用源代码审查或审查Web防火墙应用程序满足PCI DSS在遵守规则的需要时,我建议你抽出时间全面了解PCI的Web应用程序要求包括澄清文档(clarification documents),并考虑这两种选择应该如何与您的结构和资源相结合。目前,企业遵守规则的方式有很多。如果实施得当,任何选择都可以帮助企业满足规则遵守要求,并可以改进Web应用程序的安全性。
当然,在应用程序安全方面没有完美的策略。除非你很幸运,否则你可以进行代码审查和运行WAF,但这仍然需要人工完成。企业是否有员工可以完成以下工作:
应用层防火墙的配置和维护?
代码审查?
使用第三方漏洞监测工具,处理审查中发现的问题?
当然,这个决定也应该考虑架构和WAF与现有系统和设备的兼容性如何。需要考虑的因素之一(特别是对于那些倾向于使用第三方代码进行审查的企业)是企业对其代码状态的满意度。随着时间的推移,支付卡应用程序的开发可能包含来历不明、目的不明的遗留代码。安全人员可能不想冒破坏任务优先级应用程序的风险而删除这些遗留代码。在应用程序前放置防火墙可能比在代码审查中重写程序更便宜或更具破坏性。
另一种方法是用威胁模型(threat modeling)识别和评估应用程序的风险。以三大关键风险为例,确定哪些方法可以确定***处理它们:代码审查、漏洞评估、WAF产品。但请注意部署。WAF不能减少对安全软件开发过程的需求(要求)6.3)!但是,应用程序漏洞评估和代码审查可以加强开发和质量保证周期。
对于小型商业网站商业网站来说太贵了。因此,我建议将支付任务外包给第三方支付服务提供商,而不必担心所有昂贵的安全要求,包括Web安全实用PCI DSS服从等等。只要你不处理任何卡支付,你就不需要服从PCI DSS标准。
规则遵循与安全的权衡
无论你选择什么方式,很多人都会争论PCI遵守是否符合可接受的安全水平。负责安全的人需要了解上述选择的局限性和能力。源代码分析本身可以遵守规则,但它不是保证应用安全的好方法。事实上,没有办法完全保证所有的要求。PCI DSS侧重于与PCI相关的支付卡应用程序和组件,但不是整体检查企业及其所有网络操作,而是需要在整个企业中全面部署安全措施。
即使有了PCI要求6.6信息补充的澄清表明,许多商家仍然不确定哪些行动可以很好地遵守规则。这导致了遵守规则的典型困难(compliance dilemma)。如果你想公布一个可以增加安全性的标准,你必须回答这个问题:“我必须做什么工作来满足这个标准?”这个问题将迅速演变为:“满足标准的最小工作量是多少?”如果你只是以“选择复选框并继续”从观点上看PCI如果遵守规则,那么WAF这将是一个快速、简单的选择。
然而,PCI DSS它确实为企业创建安全结构和商业模式提供了基础。它还让企业高层关注安全问题。如果你关心安全,遵守PCI要求只是一件合乎逻辑的事情。在你的开发人员能够安全编程之前,多层次的安全计划将永远降低风险***因为在这种情况下,安全方案包括代码审查、漏洞评估和WAF产品。一旦将漏洞扫描结果整合到WAF的配置中,WAF它将更有效。这将为程序提供保护,并分析和纠正源代码,以消除漏洞。
在PCI审查后,漏洞会暴露出来吗?当然,但不是那么多,也不是那么严重。降低成本和商业因素可能会导致低水平的评估和保护,但在真实的商业世界中,安全必须引起人们的关注。
【编辑推荐】