Videó: NEM'S -Poignée de Punchlines pour Give me 5 Prod. (November 2024)
A Target, Neiman Marcus és más kiskereskedelmi üzletek nemrégiben bekövetkezett adatsértése bebizonyította, hogy az ipari szabványoknak való megfelelés nem jelent jobb biztonságot. Akkor miért pazaroljuk az idejét egy ellenőrző listával?
A támadók elfogták a fizetési kártyák adatait, amikor a kártyákat elcsépelték, és mielőtt az információkat titkosítani lehetett volna. A Target és Neiman Marcus vezetõi február 5-én tanúvallomást tettek a Ház Energia és Kereskedelmi Bizottság Kereskedelmi, Gyártási és Kereskedelmi Albizottságán. "Az információt közvetlenül az ellop után kapták meg - ezredmásodperccel azelőtt, hogy titkosított alagutakon küldték feldolgozásra" - mondta Michael Kingston, a Neiman Marcus vezetője és a CIO.
Amikor a kártyákat elcsúsztatják, a mágneses csíkból származó információk nem kerülnek titkosításra. Az egyetlen módja annak, hogy megakadályozzák a rosszindulatú szoftvereket a kiskereskedők értékesítési pontjain az információk megragadásától, az adatok titkosítása az elején. A helyzet az, hogy a végpontok közötti titkosítást jelenleg nem kötelezik meg az iparági előírások, ami azt jelenti, hogy ez a rés nem hamarosan megszűnik.
Még a mágnescsík-kártyáktól az EMV-chipkártyáig történő átállás sem oldja meg a végpontok közötti titkosítási problémát, mivel az adatok átvitelekor még mindig tiszta szövegben kerülnek továbbításra. Az EMV-kártyák elfogadása szükséges, de ez nem lesz elég, ha a szervezetek nem gondolkodnak a biztonsági védekezés minden szempontjainak megteremtéséről.
A PCI-DSS nem működik
A kiskereskedőknek - a szervezeteknek, amelyek valóban fizetési adatokat kezelnek - kötelesek betartani a PCI-DSS fizetési kártyák ipari adatbiztonsági előírásait annak biztosítása érdekében, hogy a fogyasztói információkat biztonságosan tárolják és továbbítsák. A PCI-DSS-nek sok szabálya van, például az adatok titkosításának ellenőrzéséről, a tűzfal telepítéséről és többek között az alapértelmezett jelszavak használatáról. Úgy hangzik, mint egy jó ötlet papíron, de amint azt a közelmúltban több adatmegsértés is kimutatta, ezen biztonsági megbízások betartása nem jelenti azt, hogy a vállalat soha nem fog megsérteni.
"Nyilvánvaló, hogy a PCI-megfelelés nem működik nagyon jól - annak ellenére, hogy a kereskedők és a kártyafeldolgozók milliárd dollárt költöttek annak elérésére" - írta Avivah Litan, a Gartner alelnöke és kiváló elemzője a múlt hónapban egy blogbejegyzésben.
A szabvány a hagyományos védelmi intézkedésekre összpontosít, és nem tartott lépést a legújabb támadási vektorokkal. A támadók a kiskereskedők legutóbbi fordulójában olyan rosszindulatú programokat használtak, amelyek elkerülték a víruskeresést és titkosított adatokat, mielőtt azokat külső szerverekre továbbították. "Semmi, amit a PCI szabványban nem tudok, elkaphatta volna ezeket a dolgokat" - mondta Litan.
Litan egyértelműen a kártyakibocsátó bankokra és a kártyahálózatokra (Visa, MasterCard, Amex, Discover) vádolta a jogsértéseket, "mert nem tettek többet a kudarcok megakadályozása érdekében". Legalább frissíteniük kellett volna a fizetési rendszerek infrastruktúráját, hogy támogassák a kártya adatok végponttól (kiskereskedőtől kibocsátóig) való titkosítását, ugyanúgy, mint a PIN-kódok kezelése az ATM-ekben - mondta Litan.
A megfelelő nem biztonság
Úgy tűnik, hogy senki sem veszi komolyan a PCI-kompatibilis matricát. A nemrégiben kiadott Verizon 2014 PCI megfelelési jelentés megállapította, hogy a szervezetek mindössze 11% -a felel meg teljes mértékben a fizetési kártyák iparági szabványainak. A jelentés megállapította, hogy sok szervezet sok időt és energiát költ az értékelés átadására, ám ha egyszer megtették, nem tartották - vagy nem tudták - lépést tartani a karbantartási feladatokkal, hogy megfeleljenek a követelményeknek.
Valójában JD Sherry, a Trend Micro nyilvános technológiájának és megoldásainak igazgatója Michaels és Neiman Marcus-ot hívta fel "ismétlődő bűnelkövetőknek".
Még ennél is zavaróbb, hogy a szervezetek mintegy 80% -a teljesítette a megfelelési szabályok "legalább 80% -át" 2013-ban. A "többnyire" megfelelőség gyanúsan úgy hangzik, mint "valójában" nem megfelelő, mivel valahol az infrastruktúrában van lyukak.
"Általános tévhit, hogy a PCI-t úgy tervezték, hogy mindenki számára biztonságot nyújtson" - mondta Phillip Smith, a Trustwave vezető alelnöke a ház meghallgatásán.
Miért maradunk még mindig a PCI-vel? Csak annyit kell tennie, hogy a bankok és a VISA / MasterCard neked tegyenek semmit az általános biztonság fokozása érdekében.
Fókuszban a tényleges biztonság
A biztonsági szakértők többször figyelmeztették, hogy a követelménylista összpontosítása azt jelenti, hogy a szervezetek nem veszik észre a hiányosságokat, és nem képesek alkalmazkodni a fejlődő támadási módszerekhez. "Különbség van a betartás és a biztonság között." - mondta Marsha Blackburn (R-Tenn) képviselő a ház meghallgatásán.
Tudjuk, hogy a Target beruházott a technológiába és egy jó biztonsági csapatba. A cég sok időt és pénzt költött a megfelelés bizonyítására. Mi lenne, ha a Target ehelyett mindent megtett volna a PCI-ben nem említett biztonsági intézkedésekre, például homokozó technológiák elfogadására vagy akár a hálózat szegmentálására oly módon, hogy az érzékeny rendszereket lezárja?
Mi lenne, ha ahelyett, hogy a következő néhány hónapot dokumentálná és bemutatná, hogy a tevékenységeik miként illeszkednek a PCI ellenőrző listájához, a kiskereskedők arra összpontosíthatnak, hogy több biztonsági réteget fogadjanak el, amelyek gyorsak és képesek alkalmazkodni a fejlődő támadásokhoz?
Mi lenne, ha a PCI-től aggódó kiskereskedők és egyes szervezetek helyett a bankokat és a kártyahálózatokat elszámoltathatóvá tennénk? Addig is többet fogunk megfigyelni ezekről a jogsértésekről.
