비디오: [íì´í¸ë³´ë]ê°ìí íê²½ì ì¤í ë¦¬ì§ âIP SANâì ì ííë ì´ì (12 월 2024)
Target, Neiman Marcus 및 기타 소매점의 최근 데이터 유출로 업계 표준을 준수한다고해서 보안이 향상되지는 않는다는 것이 입증되었습니다. 왜 우리는 점검표로 시간을 낭비합니까?
공격자들은 카드가 스 와이프되고 정보가 암호화되기 전에 지불 카드 세부 정보를 가로 채었습니다. Target and Neiman Marcus 경영진은 2 월 5 일 하원 에너지 및 상업위원회 상공, 제조 및 무역 청문회 소위원회에서 증언했습니다. Neiman Marcus의 수석 부사장이자 CIO 인 Michael Kingston은 "스 와이프 후 즉시 정보가 스크랩되어 처리를 위해 암호화 된 터널을 통해 전송되기 전에 수백만 초가 걸렸습니다."라고 말했습니다.
카드를 스 와이프하면 마그네틱 스트라이프의 정보가 암호화되지 않습니다. 소매 업체의 POS 터미널에서 정보를 수집하지 못하도록 막는 유일한 방법은 처음부터 데이터를 암호화하는 것입니다. 엔드-투-엔드 암호화는 현재 업계 규정에 의해 의무화되어 있지 않기 때문에 이러한 격차가 곧 사라지지 않을 것입니다.
마그네틱 스트라이프 카드에서 EMV 칩 카드로 전환하더라도 데이터가 스 와이프되는 시점에서 여전히 일반 텍스트로 전송되므로 종단 간 암호화 문제를 해결하지 못합니다. EMV 카드를 채택하는 것이 필요하지만, 조직이 보안 방어의 모든 측면을 강화할 생각도하지 않는다면 충분하지 않습니다.
PCI-DSS가 작동하지 않습니다
결제 데이터를 처리하는 모든 조직인 소매 업체는 소비자 정보가 안전하게 저장되고 전송되도록 PCI-DSS (Payment Card Industry-Data Security Standard)를 준수해야합니다. PCI-DSS에는 데이터 암호화, 방화벽 설치 및 기본 비밀번호 사용과 같은 많은 규칙이 있습니다. 종이에 대한 좋은 생각처럼 들리지만 최근 몇 가지 데이터 유출이 보여 지듯이 이러한 보안 요구 사항을 준수한다고해서 회사가 결코 위반되지 않는다는 의미는 아닙니다.
가트너의 부사장이자 저명한 분석가 인 아 비바 리탄 (Avivah Litan)은 지난달 블로그 포스트에서 "가맹점과 카드 프로세서가이를 달성하기 위해 수십억 달러를 지출했지만 PCI 준수는 제대로 작동하지 않고있다"고 지적했다.
이 표준은 기존의 방어 조치에 중점을두고 있으며 최신 공격 경로를 따라 가지 못했습니다. 최신 유통 업체의 침입자들은 외부 서버로 전송하기 전에 안티 바이러스 탐지 및 암호화 된 데이터를 회피하는 맬웨어를 사용했습니다. Litan은 "PCI 표준에서 아는 것은이 문제를 포착 할 수 없었을 것"이라고 말했다.
Litan은 카드 발급 은행과 카드 네트워크 (Visa, MasterCard, Amex, Discover)에 대해이 위반에 대한 책임을 "담배를 방지하기 위해 더 많은 일을하지 않았다"고 밝혔다. Litan은 최소한 결제 시스템 인프라를 업그레이드하여 카드 데이터에 대한 종단 간 (발급자에서 소매 업체로) 암호화를 지원해야한다고 ATM은 ATM에서 PIN을 관리하는 방식과 매우 비슷하다고 말했다.
준수는 보안이 아닙니다
아무도 PCI 호환 스티커를 진지하게 생각하지 않습니다. 방금 출시 된 Verizon 2014 PCI 규정 준수 보고서에 따르면 조직의 11 %만이 지불 카드 산업 표준을 완벽하게 준수하고있었습니다. 이 보고서는 많은 조직들이 평가를 통과하기 위해 많은 시간과 에너지를 소비하지만, 일단 완료되면 유지 관리 작업을 따라 잡지 못하고 준수 할 수 없었습니다.
실제로 Trend Micro의 공공 기술 및 솔루션 책임자 인 JD Sherry는 Michaels와 Neiman Marcus를 "반복 범죄자"라고 말했습니다.
훨씬 더 혼란 스럽지만, 조직의 약 80 %가 2013 년에 규정 준수 규칙의 "최소 80 %"를 충족했습니다.
트러스트 웨이브의 부사장 필립 스미스 (Philip Smith)는 하원 청문회에서 "PCI는 보안을 위해 포괄적으로 설계되었다는 일반적인 오해가있다"고 말했다.
그렇다면 왜 여전히 PCI를 사용합니까? 은행과 VISA / MasterCard가 전반적인 보안을 개선하기 위해해야 할 일을하지 않아도됩니다.
실제 보안에 집중
보안 전문가는 요구 사항 목록에 초점을 맞추는 것은 조직이 그 차이를 인식하지 못하고 진화하는 공격 방법에 적응할 수 없다는 것을 반복해서 경고했습니다. 하원 청문회에서 Marsha Blackburn (R-Tenn) 대변인은“준법과 보안은 차이가있다.
우리는 Target이 기술과 훌륭한 보안 팀에 투자했다는 것을 알고 있습니다. 이 회사는 또한 규정 준수를 달성하고 입증하는 데 많은 시간과 비용을 투자했습니다. 대신 대상이 샌드 박스 기술을 채택하거나 민감한 시스템을 차단하기 위해 네트워크를 분할하는 등 PCI에 언급되지 않은 보안 조치에 모든 노력을 기울인다면 어떨까요?
향후 몇 개월 동안 활동이 PCI의 체크리스트에 매핑되는 방식을 문서화하고 보여주는 대신 소매 업체가 신속하고 진화하는 공격에 적응할 수있는 여러 계층의 보안을 채택하는 데 집중할 수 있습니까?
소매 업체와 개별 조직이 PCI에 대해 걱정하는 대신 은행과 카드 네트워크에 책임을지는 경우 어떻게됩니까? 그때까지, 우리는 이러한 위반을 더 많이 보게 될 것입니다.