Video: 🔴TIN CỰC NÓNG: SạtLỡ' đập bùn ô xi chảy dài 3km nhấ'n ch'ìm ngôi làng 15người MấtT'ích 5tỉnh Bế'Tắ'c (Tháng Chín 2024)
Các vi phạm dữ liệu gần đây tại Target, Neiman Marcus và các cửa hàng bán lẻ khác đã chứng minh rằng việc tuân thủ các tiêu chuẩn ngành không có nghĩa là bảo mật tốt hơn. Vậy tại sao chúng ta lãng phí thời gian với một danh sách kiểm tra?
Những kẻ tấn công đã chặn các chi tiết thẻ thanh toán khi các thẻ bị quẹt và trước khi thông tin có thể được mã hóa, các giám đốc của Target và Neiman Marcus đã làm chứng vào ngày 5 tháng 2 tại Tiểu ban Thương mại, Sản xuất và Thương mại của Ủy ban Thương mại. Michael Kingston, phó chủ tịch cấp cao và CIO tại Neiman Marcus, cho biết: "Thông tin đã bị loại bỏ ngay sau khi quét hàng nghìn mili giây trước khi gửi qua các đường hầm được mã hóa để xử lý".
Khi các thẻ được quẹt, thông tin từ dải từ không được mã hóa. Cách duy nhất để ngăn chặn phần mềm độc hại trên các thiết bị đầu cuối điểm bán hàng của các nhà bán lẻ khỏi việc lấy thông tin là mã hóa dữ liệu ngay từ đầu. Vấn đề là, mã hóa đầu cuối hiện không bắt buộc theo quy định của ngành, điều đó có nghĩa là khoảng cách này sẽ không biến mất bất cứ lúc nào sớm.
Ngay cả việc chuyển từ thẻ sọc từ sang thẻ chip EMV cũng không giải quyết được vấn đề mã hóa đầu cuối, vì dữ liệu vẫn được truyền đi dưới dạng văn bản rõ ràng tại thời điểm nó bị quét. Việc chấp nhận thẻ EMV là cần thiết, nhưng sẽ không đủ nếu các tổ chức cũng không nghĩ đến việc tăng cường tất cả các khía cạnh của hệ thống phòng thủ an ninh của họ.
PCI-DSS không hoạt động
Các nhà bán lẻ, bất kỳ tổ chức nào xử lý dữ liệu thanh toán, thực sự, bắt buộc phải tuân thủ Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán (PCI-DSS) để đảm bảo thông tin của người tiêu dùng được lưu trữ và truyền an toàn. PCI-DSS có rất nhiều quy tắc, chẳng hạn như đảm bảo dữ liệu được mã hóa, cài đặt tường lửa và không sử dụng mật khẩu mặc định, trong số các quy tắc khác. Nghe có vẻ là một ý tưởng hay trên giấy, nhưng như một số vi phạm dữ liệu gần đây đã cho thấy, việc tuân thủ các nhiệm vụ bảo mật này không có nghĩa là công ty sẽ không bao giờ bị vi phạm.
"Rõ ràng, việc tuân thủ PCI không hoạt động tốt lắm mặc dù đã chi hàng tỷ đô la cho các thương nhân và bộ xử lý thẻ để nỗ lực đạt được nó", ông Manilaah Litan, phó chủ tịch và nhà phân tích nổi tiếng tại Gartner, viết trong một bài đăng trên blog vào tháng trước.
Tiêu chuẩn tập trung vào các biện pháp phòng thủ thông thường và không theo kịp các vectơ tấn công mới nhất. Những kẻ tấn công trong vòng bán lẻ mới nhất vi phạm đã sử dụng phần mềm độc hại trốn tránh phát hiện chống vi-rút và dữ liệu được mã hóa trước khi chuyển nó sang các máy chủ bên ngoài. "Không có gì tôi biết trong tiêu chuẩn PCI có thể bắt được thứ này", Litan nói.
Litan đổ lỗi cho các vi phạm thẳng thắn trên các ngân hàng phát hành thẻ và mạng lưới thẻ (Visa, MasterCard, Amex, Discover) "vì đã không làm nhiều hơn để ngăn chặn các sự cố." Ít nhất, họ nên nâng cấp cơ sở hạ tầng hệ thống thanh toán để hỗ trợ mã hóa đầu cuối (nhà bán lẻ thành nhà phát hành) cho dữ liệu thẻ, giống như cách quản lý mã PIN tại ATM, Litan nói.
Tuân thủ không bảo mật
Không ai có vẻ coi trọng nhãn dán tuân thủ PCI. Báo cáo tuân thủ PCI 2014 của Verizon vừa được phát hành cho thấy chỉ có 11% các tổ chức tuân thủ đầy đủ các tiêu chuẩn ngành thẻ thanh toán. Báo cáo cho thấy nhiều tổ chức đã dành rất nhiều thời gian và công sức để vượt qua đánh giá, nhưng một khi đã hoàn thành, thì không nên hay không thể theo kịp các nhiệm vụ bảo trì để tuân thủ.
Trên thực tế, JD Sherry, giám đốc công nghệ và giải pháp công cộng tại Trend Micro đã gọi Michaels và Neiman Marcus là "những kẻ phạm tội lặp lại".
Thậm chí đáng lo ngại hơn, khoảng 80 phần trăm các tổ chức đã đáp ứng "ít nhất 80 phần trăm" các quy tắc tuân thủ trong năm 2013. Âm thanh tuân thủ "chủ yếu" đáng ngờ giống như "không thực sự" tuân thủ, vì có lỗ hổng ở đâu đó trong cơ sở hạ tầng.
"Một quan niệm sai lầm phổ biến là PCI được thiết kế để trở thành tất cả để bảo mật", Phillip Smith, phó chủ tịch cấp cao của Trustwave, làm chứng tại phiên điều trần tại Nhà.
Vậy tại sao chúng ta vẫn gắn bó với PCI? Tất cả những gì nó làm là khiến các ngân hàng và VISA / MasterCard không gặp phải bất cứ điều gì để cải thiện an ninh chung của chúng tôi.
Tập trung vào bảo mật thực tế
Các chuyên gia bảo mật đã nhiều lần cảnh báo rằng việc tập trung vào một danh sách các yêu cầu có nghĩa là các tổ chức không chú ý đến các lỗ hổng và không thể điều chỉnh để phát triển các phương thức tấn công. "Có một sự khác biệt giữa tuân thủ và an toàn, " Dân biểu Marsha Blackburn (R-Tenn) lưu ý tại phiên điều trần tại Nhà.
Chúng tôi biết rằng Target đã đầu tư vào công nghệ và một đội bảo mật tốt. Công ty cũng đã dành rất nhiều thời gian và tiền bạc để đạt được và chứng minh sự tuân thủ. Thay vào đó, điều gì sẽ xảy ra nếu, thay vào đó, Target có thể dành tất cả nỗ lực đó cho các biện pháp bảo mật không được đề cập trong PCI, chẳng hạn như áp dụng các công nghệ hộp cát hoặc thậm chí phân đoạn mạng để các hệ thống nhạy cảm bị chặn?
Điều gì sẽ xảy ra nếu, thay vì dành vài tháng tới để ghi lại tài liệu và hiển thị cách hoạt động của chúng vào danh sách kiểm tra của PCI, các nhà bán lẻ có thể tập trung vào việc áp dụng nhiều lớp bảo mật nhanh nhẹn và có thể thích ứng với các cuộc tấn công đang phát triển?
Điều gì sẽ xảy ra nếu, thay vì các nhà bán lẻ và các tổ chức cá nhân lo lắng về PCI, chúng tôi giữ các ngân hàng và mạng lưới thẻ có trách nhiệm? Cho đến lúc đó, chúng ta sẽ tiếp tục thấy nhiều vi phạm hơn.
