Видео: whatsaper ru ÐедеÑÑкие анекдоÑÑ Ð¿Ñо ÐовоÑÐºÑ (Септември 2024)
Неотдавнашните нарушения на данните в Target, Neiman Marcus и други търговски обекти доказаха, че спазването на индустриалните стандарти не означава по-добра сигурност. Така че защо си губим времето с контролен списък?
Нападателите прихванаха данните за разплащателните карти, докато картите бяха прекарани и преди информацията да може да бъде шифрована, ръководителите на Target и Neiman Marcus свидетелстваха на 5 февруари в подкомитета за търговия, производство и търговия на Комитета по енергетика и търговия на House House. "Информацията бе изтрита веднага след препродажбата - милисекунди, преди да бъде изпратена през криптирани тунели за обработка", заяви Майкъл Кингстън, старши вицепрезидент и CIO в Neiman Marcus.
Когато картите се прекарват, информацията от магнитната лента не се криптира. Единственият начин за предотвратяване на злонамерен софтуер в терминалите на търговските обекти от грабване на информацията е да бъдат криптирани данни още от самото начало. Работата е там, че понастоящем криптирането от край до край не е наложено от индустриалните разпоредби, което означава, че тази празнина няма да изчезне скоро.
Дори преминаването от карти с магнитна лента към EMV чип карти не би решило проблема с криптирането от край до край, тъй като данните все още се предават с ясен текст в момента, в който се прекарват. Приемането на EMV карти е необходимо, но няма да е достатъчно, ако организациите също не мислят за подобряване на всички аспекти на защитната си защита.
PCI-DSS не работи
Търговците на дребно - всяка организация, която обработва данни за плащанията, наистина - са длъжни да спазват стандарта за сигурност на данните на платежната карта (PCI-DSS), за да гарантират, че информацията за потребителите се съхранява и предава безопасно. PCI-DSS има много правила, като например да се уверите, че данните са криптирани, инсталирането на защитна стена и не се използват пароли по подразбиране. Звучи като добра идея на хартия, но както показаха няколко скорошни нарушения на данните, спазването на тези мандати за сигурност не означава, че компанията никога няма да бъде нарушена.
"Ясно е, че спазването на PCI не работи много добре - въпреки милиарди долари, изразходвани от търговци и картови процесори в усилията им да го постигнат", написа в блог пост миналия месец Avivah Litan, вицепрезидент и изтъкнат анализатор от Gartner.
Стандартът се фокусира върху конвенционалните защитни мерки и не е в крак с най-новите вектори за атака. Нападателите в последния кръг от нарушения на търговеца на дребно използваха зловреден софтуер, който избягваше откриване на антивирусни и криптирани данни, преди да ги прехвърли на външни сървъри. "Нищо, за което знам в стандарта PCI, не би могло да улови тези неща", каза Литан.
Литан постави вината за нарушенията директно върху банките, издаващи карти и картовите мрежи (Visa, MasterCard, Amex, Discover), „за това, че не правят повече за предотвратяване на дебалите“. Най-малкото те трябваше да надстроят инфраструктурата на платежните системи, за да поддържат криптиране от край до край (търговец на дребно до емитент) за картови данни, почти по същия начин, по който ПИН кодовете се управляват в банкомати, каза Литан.
Съвместимостта не е сигурност
Изглежда никой не приема сериозно PCI-стикера. Току-що пуснатият Verizon 2014 PCI Compliance Report установи, че само 11 процента от организациите са напълно съобразени със стандартите за индустрията на разплащателни карти. Докладът установява, че много организации изразходват много време и енергия, за да преминат оценката, но веднъж извършена, не е била или не е била в състояние да се справят със задачите по поддръжката, за да бъдат спазени.
Всъщност Дж.Д. Шери, директор на обществените технологии и решения в Trend Micro, нарече Майкълс и Нейман Маркъс „повторни нарушители“.
Още по-притеснително е, че през 2013 г. около 80 процента от организациите са изпълнили „поне 80 процента“ от правилата за спазване на изискванията. Да бъдеш „най-вече“ съвместим звучи подозрително като „не всъщност“, тъй като някъде в инфраструктурата има дупка.
"Често срещано погрешно схващане е, че PCI е създаден да бъде улов на сигурността", свидетелства Филип Смит, старши вицепрезидент в Trustwave, в съдебното заседание на Камарата.
Така че защо все още се придържаме към PCI? Всичко, което прави, е да извади банките и VISA / MasterCard от куката да не се налага да правим каквото и да било, за да подобрим цялостната си сигурност.
Съсредоточете се върху реалната сигурност
Експертите по сигурността многократно са предупреждавали, че съсредоточаването върху списък с изисквания означава, че организациите не забелязват пропуските и не са в състояние да се адаптират към развиващите се методи за атака. "Има разлика между спазването и сигурността", отбеляза репортер Марша Блекбърн (R-Tenn) в изслушването на Камарата.
Знаем, че Target е инвестирал в технологиите и добър екип за сигурност. Компанията също е изразходвала много време и пари за постигане и доказване на съответствие. Какво ще стане, ако вместо това Target би могло да похарчи всички тези усилия за мерки за сигурност, които не са споменати в PCI, като например възприемане на технологии за пясъчни кутии или дори сегментиране на мрежата, така че чувствителните системи да бъдат премахнати?
Какво става, ако вместо да прекарат следващите няколко месеца за документиране и показване как техните дейности се привеждат към контролния списък на PCI, търговците на дребно могат да се съсредоточат върху възприемането на множество слоеве на сигурност, които са пъргави и могат да се адаптират към развиващите се атаки?
Какво става, ако вместо търговци на дребно и отделни организации, които се тревожат за PCI, държим отговорните банки и картови мрежи? Дотогава ще продължаваме да виждаме повече от тези нарушения.
