Sådan kan virksomheder forhindre salgsangreb

Detailhandlere, hoteller og restauranter er alle blevet offer for den samme Achilles-hæl, som cyberkriminelle fortsætter med at angribe: salgsstedet, hvor kundernes betalingsdata rutinemæssigt behandles.

Disse digitale kasseapparater er ofte målet for malware, der er designet til at stjæle kreditkortnumre i tusinder eller endda millioner. I år fastfood-sælger Wendys, tøjforhandler Eddie Bauer og Kimpton Hotels har alle rapporteret dataforbrud, der stammer fra sådanne angreb.

Sikkerhedseksperter opmuntrer imidlertid en række forskellige tilgange til at holde virksomheder sikre mod salgsrelaterede indtrængen. Her er et par at overveje:

Overvågning

Salgssted, der kan sælges, kan strejke på flere måder. Ofte kan det involvere hackere, der spreder ondsindet kode ved at overtræde fjernadgangstjenesterne, der er designet til at vedligeholde betalingsbehandlingssystemerne, siger John Christly, CISO fra Netsurion, en sikkerhedsudbyder.

Disse fjernadgangstjenester kan konfigureres dårligt med gætte adgangskoder, så hackere kan bryde ind og distribuere malware til hundreder eller tusinder af salgssteder. Det hjælper heller ikke, at malware kan være vanskelig at opdage, tilføjede Christly. Nogle gange kan det snige sig forbi antivirusprogrammer og derefter hæmmende udtage betalingsdata på trods af tilstedeværelsen af ​​traditionelle firewalls.

”Så kan den sende de stjålne data langsomt ud, så de ser ud som normal trafik,” sagde Christly. "Et par måneder går, og hvem ved, hvor mange kreditkort der er blevet brudt."

Virksomheder, der giver fjernadgang til deres salgsstedssystem, kan overveje at installere to-faktor autentificering, for at undgå kun at stole på adgangskodelogins, sagde Christly. Men for at sikre bedre afsløring af alle mulige trusler går han ind for, at virksomheder går ud over grundlæggende antivirus- og firewalls og bruger værktøjer, der kan overvåge for enhver usædvanlig aktivitet på de faktiske salgssteder.

”Du er nødt til at se på enhver computer for at sikre dig, at intet har ændret sig,” sagde Christly. "Om computeren er aktiv om natten og kommunikerer data, eller om filerne ændres."

Disse værktøjer er generelt blevet markedsført til detailhandlere med store mærker, men Netsurion sagde, at de har tilbudt dem til en lav pris til små og mellemstore virksomheder.

Kryptering

Selvom hackere fortsætter med at udvikle stadigt mere håndværdige malware-salgsprodukter, bliver den mest robuste ondsindede kodning ubrugelig, hvis alt det stjæler er krypterede data, sagde George Rice, en senior direktør for betalinger hos Hewlett Packard Enterprise Security.

Typisk fungerer malwarepunkt ved salg ved at læse betalingsdata, i det øjeblik kortet skubbes gennem detailkassemaskinen. Det gør dette ved at skrabe RAM-hukommelsen fra salgsstedet, hvor betalingsdataene kan ukrypteres.

"Malware-teknikkerne udvikler sig hele tiden," sagde Rice. Kriminelle forstår også, at detailhandlere løbende opdaterer deres salgssteder af prissætning eller lagerbeholdning. ”Så de (hackerne) bruger en række sårbarheder til at indsætte malware i systemet,” tilføjede han.

Virksomheder er imidlertid langt mindre sårbare over for dataovertrædelse, hvis de flytter til ende-til-ende-kryptering, ifølge Rice. Det betyder kryptering af kundens data gennem hele betalingsprocessen, inklusive det øjeblik, hvor kreditkortet bliver skudt.

"Denne teknik kan hjælpe med at lukke eventuelle smuthuller og sårbarheder i systemet," sagde Rice.

Ingenico Ingenico
En bordplade Ingencio checkout terminal.

Tidligere i år annoncerede HPE Securty et partnerskab med Ingenico, der er producent af betalingscheck-enheder, om et end-to-end-krypteringsprodukt til virksomheder.

For bedre at beskytte betalingsdata leverer Hewlett Packard Enterprise Security også tokenization, en proces til udskiftning af de behandlede betalingskortdata med digitale pladsholdere, kendt som tokens. Både dette og kryptering kan bruges i kombination for at reducere risikoen for datatyveri, sagde Rice.

Test

Desværre, når virksomheder vælger det salgsstedssystem, de ønsker at købe, tænker de sjældent på sikkerhed, sagde Charles Henderson, lederen af ​​X-Force Red, et sikkerhedstestteam hos IBM.

”De fleste virksomheder antager, at når de køber et salgsstedssystem, køber de noget sikkert,” sagde Henderson. Købere har også en tendens til at modvirke sikkerhed med et produkts overholdelse af industristandarder, men det er ikke altid sandt, tilføjede han.

Hendersons team tester rutinemæssigt salgssteder for at se efter sårbarheder. Ofte finder hans team dem, når virksomheden antog, at dens system var sikkert på grund af dets overholdelse af branchen.

Derudover er mange af disse salgssteder installeret af tredjepartsforhandlere, der muligvis ikke er specialiserede i sikkerhed. Disse faktorer kan sætte virksomheder i fare, sagde han.

For at forhindre dette problem rådgiver Henderson, at virksomheder lejer en sikkerhedspecialist til at teste deres salgsstedssystem for eventuelle sårbarheder. De fleste mainstream point-of-salg-systemprodukter kan sikres med den rigtige implementering, tilføjede han.

Denne test gælder også for sikkerhedsprodukter. Selvom kryptering og andre malware-bekæmpelsesværktøjer kan forhindre brud på data i salgssteder, er de praktisk taget ubrugelige, hvis de ikke er korrekt installeret, sagde Henderson.

”De er ikke skudsikker. Djævelen er i gennemførelsen, ”sagde han.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.