Video: Jak włożyć karte sim i pamięci do Huawei Mate 10 lite (Listopad 2024)
Nedávné narušení dat u Target, Neiman Marcus a dalších maloobchodních prodejnách prokázalo, že dodržování průmyslových standardů nevede k lepší bezpečnosti. Tak proč ztrácíme čas kontrolním seznamem?
Útočníci zachytili údaje o platebních kartách, když byly karty převráceny, a než mohly být informace zašifrovány, vedoucí pracovníci Target a Neiman Marcus dosvědčili 5. února v podvýboru Výboru pro energetiku a obchod pro obchod, výrobu a obchod. „Informace byly seškrábány okamžitě po přejetí - milisekundy, než byly odeslány přes šifrované tunely ke zpracování, “ řekl Michael Kingston, senior viceprezident a ředitel CIO v Neimanu Marcusovi.
Když karty přejdou, informace z magnetického proužku nejsou šifrovány. Jediným způsobem, jak zmařit malware na prodejních terminálech prodejců od získání informací, je mít šifrovaná data hned od začátku. Jde o to, že šifrování typu end-to-end v současné době není nařízeno průmyslovými předpisy, což znamená, že tato mezera nebude brzy odstraněna.
Dokonce ani posun z karet s magnetickým proužkem na čipové karty EMV by nevyřešil problém šifrování typu end-to-end, protože data jsou stále přenášena v čistém textu v okamžiku, kdy jsou přejížděna. Přijetí karet EMV je nezbytné, ale nestačí, pokud organizace nepřemýšlejí o posílení všech aspektů své bezpečnostní obrany.
PCI-DSS nefunguje
Maloobchodníci - jakákoli organizace, která ve skutečnosti zpracovává platební údaje - jsou povinni dodržovat bezpečnostní standard pro průmyslová data platebních karet (PCI-DSS), aby se zajistilo bezpečné ukládání a přenos informací o spotřebitelích. PCI-DSS má mnoho pravidel, jako je například zajištění šifrování dat, instalace brány firewall a nepoužívání výchozích hesel. Zní to jako dobrý nápad na papíře, ale jak ukázalo několik nedávných porušení údajů, dodržování těchto bezpečnostních mandátů neznamená, že společnost nebude nikdy porušena.
"Je zřejmé, že dodržování PCI nefunguje dobře - navzdory miliardám dolarů, které obchodníci a zpracovatelé karet utratili ve snaze dosáhnout tohoto cíle, " napsal minulý měsíc blogový příspěvek Avivah Litan, viceprezident a významný analytik společnosti Gartner.
Standard se zaměřuje na konvenční obranná opatření a neudržel krok s nejnovějšími vektory útoku. Útočníci v posledním kole porušení maloobchodníků používali malware, který se vyhnul antivirové detekci, a šifrovaný data před jejich přenosem na externí servery. "Nic, co vím ve standardu PCI, by to nemohlo chytit, " řekl Litan.
Litan umístil vinu za porušení přímo na banky vydávající karty a na kartové sítě (Visa, MasterCard, Amex, Discover) „za to, že neudělal více, aby zabránil debetám“. Přinejmenším by měli upgradovat infrastrukturu platebních systémů tak, aby podporovali end-to-end (maloobchodník k vydavateli) šifrování dat z karet, podobně jako PIN jsou spravovány v bankomatech, uvedl Litan.
V souladu není zabezpečení
Zdá se, že nikdo nebere nálepku kompatibilní s PCI vážně. Právě vydaná zpráva Verizon 2014 PCI Compliance Report zjistila, že pouze 11 procent organizací bylo plně v souladu s průmyslovými standardy platebních karet. Zpráva zjistila, že mnoho organizací tráví spoustu času a energie, aby provedly hodnocení, ale jakmile to udělá, nedokázaly - nebo nemohly - držet krok s údržbovými úkoly, aby zůstaly v souladu.
JD Sherry, ředitel veřejné technologie a řešení ve společnosti Trend Micro, ve skutečnosti označil Michaels a Neiman Marcus za „opakující pachatele“.
Ještě více znepokojující je, že přibližně 80 procent organizací splnilo „nejméně 80 procent“ pravidel pro dodržování předpisů v roce 2013. Být „většinou“ vyhovující zní podezřele jako „ne skutečně“, protože někde v infrastruktuře je mezera.
„Obvyklou mylnou představou je, že PCI byl navržen tak, aby byl pro bezpečnost všestranný, “ potvrdil Phillip Smith, senior viceprezident Trustwave, při slyšení v domě.
Tak proč se stále držíme PCI? Jediné, co dělá, je dostat banky a VISA / MasterCard z háčku, aby nemusely dělat nic pro zlepšení naší celkové bezpečnosti.
Zaměřte se na skutečnou bezpečnost
Odborníci na bezpečnost opakovaně varovali, že zaměření na seznam požadavků znamená, že si organizace nevšimnou mezery a nejsou schopny přizpůsobit se vyvíjejícím se metodám útoku. „Existuje rozdíl mezi poddajností a bezpečností, “ podotkla při slyšení v domě Rep. Marsha Blackburn (R-Tenn).
Víme, že Target investoval do technologie a do dobrého bezpečnostního týmu. Společnost také strávila spoustu času a peněz dosahováním a prokazováním souladu. Co kdyby místo toho mohl Target vynaložit veškeré úsilí na bezpečnostní opatření, která nejsou uvedena v PCI, jako je přijetí technologií sandboxu nebo dokonce segmentace sítě, aby byly citlivé systémy zděné?
Co když by se prodejci mohli namísto strávit příštích několik měsíců dokumentováním a ukázáním toho, jak se jejich činnosti mapují na kontrolní seznam PCI, zaměřit na přijetí více vrstev zabezpečení, které jsou hbité a mohou se přizpůsobit vyvíjejícím se útokům?
Co když namísto maloobchodníků a jednotlivých organizací, které se obávají PCI, držíme banky a karetní sítě zodpovědné? Do té doby budeme nadále vidět více těchto porušení.
