视频: --Í--Æ—Å--Μ--Ω—Ñ --±--Æ--∑--º--Æ—Û--Μ (十二月 2024)
Target,Neiman Marcus和其他零售店最近发生的数据泄露事件证明,符合行业标准并不能带来更好的安全性。 那么,为什么我们要浪费一份清单呢?
Target和Neiman Marcus的高管于2月5日在众议院能源与商业委员会商业,制造和贸易小组委员会听证会上作证,攻击者在刷卡时以及在对信息进行加密之前拦截了支付卡的详细信息。 内曼·马库斯(Neiman Marcus)高级副总裁兼CIO迈克尔·金斯顿(Michael Kingston)说:“刷卡后,信息立即被擦除-毫秒,然后通过加密隧道进行处理。”
刷卡时,来自磁条的信息不会被加密。 阻止零售商的销售点终端上的恶意软件获取信息的唯一方法是从一开始就对数据进行加密。 问题是,行业法规目前尚未强制进行端到端加密,这意味着这种差距不会很快消失。
即使从磁条卡转移到EMV芯片卡也无法解决端到端加密问题,因为在刷卡数据时仍以明文形式传输数据。 采用EMV卡是必要的,但如果组织不考虑加强其安全防御的所有方面,这还远远不够。
PCI-DSS不起作用
零售商(实际上是处理支付数据的任何组织)都必须遵守支付卡行业数据安全标准(PCI-DSS),以确保安全地存储和传输消费者信息。 PCI-DSS有很多规则,例如确保数据已加密,安装防火墙以及不使用默认密码等。 这听起来像是一个好主意,但是正如最近发生的几笔数据泄露所表明的那样,坚持这些安全要求并不意味着该公司将永远不会遭到破坏。
Gartner副总裁兼杰出分析师Avivah Litan在上个月的博客中写道:“显然,PCI合规性不能很好地发挥作用,尽管商家和卡片处理器为此付出了数十亿美元。”
该标准侧重于常规防御措施,未跟上最新的攻击手段。 最新一轮零售商的攻击事件中的攻击者使用了恶意软件,这些恶意软件在将数据传输到外部服务器之前规避了防病毒检测和加密数据。 Litan说:“我所知道的PCI标准中没有任何东西能抓住这些东西。”
利坦将违规行为归咎于发卡银行和信用卡网络(Visa,万事达卡,美国运通,Discover),“他们没有采取更多措施来防止崩溃。” Litan说,至少,他们应该已经升级了支付系统基础设施,以支持对卡数据进行端到端(从零售商到发卡人)加密,这与在ATM上管理PIN的方式大体相同。
合规不安全
似乎没有人认真对待PCI兼容标签。 刚刚发布的《 Verizon 2014 PCI合规性报告》发现,只有11%的组织完全符合支付卡行业标准。 该报告发现,许多组织花费大量时间和精力来通过评估,但是一旦完成,就不会(或者无法)继续进行维护任务以保持合规性。
实际上,趋势科技公共技术和解决方案总监JD Sherry称迈克尔斯和内曼·马库斯为“重复犯规者”。
更令人不安的是,2013年约有80%的组织满足了“至少80%”的合规性规则。“基本”合规听起来像“不实际”合规,这是可疑的,因为基础架构中存在漏洞。
Trustwave的高级副总裁Phillip Smith在众议院听证会上作证说:“一个普遍的误解是PCI被设计为一种万能的安全性。”
那么,为什么我们仍然坚持使用PCI? 它要做的就是让银行和VISA / MasterCard不必采取任何措施来提高我们的整体安全性。
关注实际安全
安全专家一再警告说,关注一系列需求意味着组织不会注意到这些差距,也无法适应不断发展的攻击方法。 众议员马莎·布莱克本(R-Tenn)在众议院听证会上指出:“守法与安全是有区别的。”
我们知道Target已经投资了该技术和一支优秀的安全团队。 该公司还花费了大量时间和金钱来实现和证明合规性。 相反,如果Target可以将全部精力花在PCI中未提及的安全措施上,例如采用沙盒技术或什至对网络进行分段以隔离敏感系统?
如果零售商不用花几个月的时间来记录文件并显示其活动如何映射到PCI的清单,该怎么办,而零售商可以将精力集中在采用灵活且可以适应不断发展的攻击的多层安全性上呢?
如果我们让银行和卡网络负责,而不是让零售商和个人组织担心PCI,该怎么办? 在此之前,我们将继续看到更多此类违规行为。
