Se osserviamo la potenziale importanza di questi server di log per la sicurezza dell'organizzazione, non esiterei nemmeno a implementare l'autenticazione multi-fattore su di essi. PCI DSS richiede principalmente la pista di controllo per segnalare le conseguenze di una violazione e ciò significa denaro. Se viene violato, è possibile utilizzare tali dati per dire "l'hacker ha colpito il sistema di pagamento X dal 3 al 10 gennaio, ma non ha mai inserito il database", il che può limitare la responsabilità ai sette giorni di dati che fluivano attraverso il sistema X. Senza registrazione affidabile , gli investigatori potrebbero affermare "non è sicuro, quindi stiamo trovando tutti i dati da ottobre a gennaio a rischio". Questa potrebbe essere la differenza tra migliaia di account contro milioni; quale potrebbe essere la differenza tra l'invio di alcune lettere di notifica e la fine delle notizie notturne. Entrambi sono cattivi, ma credimi, uno è molto peggio.
Questi sono solo i peggiori costi. Dal punto di vista dell'architettura, i dati di registro rappresentano il luogo ideale in cui collegare i motori analitici per consentire di rilevare tempestivamente attività anomale e possono aiutare a identificare un'intrusione molto prima che l'utente malintenzionato faccia deragliare i propri dati. Quindi, mentre molti intrusi sono di tipo "snatch-and-grab", alcuni degli agenti di minaccia APT più seri cercano di coprire le loro tracce e cercano modi per disabilitare la registrazione e l'analisi, in modo che possano rimanere nascosti per un lungo periodo. Non renderlo facile per loro.
E se hai già un sistema 2FA già in uso per accedere al resto dei tuoi dispositivi in-scope, non dovrebbe essere troppo difficile estenderlo anche al tuo log server.
Tuttavia, la risposta ufficiale sarà "qualunque cosa decida il tuo QSA è sicuro". L'autenticazione a più fattori renderà molto più facile per lei firmare questo requisito. Ma in realtà, dovresti desiderare che quei server siano sicuri, ancor più che l'auditor.