Ось як компанії можуть запобігти атакам на продаж

Роздачі, готелі та ресторани все ж таки пережили той самий ахіллесова п'ята, що кіберзлочинні особи продовжують атакувати: торговельну систему, в якій платіжні дані клієнтів регулярно обробляються.

Ці цифрові касові апарати часто стають об'єктом шкідливого програмного забезпечення, призначеного для крадіжки номерів кредитних карток у тисячах або навіть мільйонах. Цього року постачальник швидкого харчування Венді, роздрібний продавець одягу Едді Бауер та компанія Kimpton Hotels повідомили про порушення даних, що виникають в результаті таких атак.

Однак експерти з питань безпеки заохочують різні підходи, щоб захистити компанію від вторгнень, пов'язаних з продажем. Ось кілька, які слід враховувати:

Моніторинг

Зловмисне програмне забезпечення може продати кілька способів. Часто він може включати в себе хакерів, що поширюють шкідливий код, порушуючи служби віддаленого доступу, призначені для підтримки систем обробки платежів, сказав Джон Крісті, співробітник компанії CISO Netsurion, постачальник послуг безпеки.

Ці служби віддаленого доступу можуть бути належним чином налаштовані з упередженими паролями, що дозволяє хакерам вдаритись та розповсюджувати шкідливе програмне забезпечення сотнями або тисячами торгових машин. Це також не допомагає, щоб зловмисне програмне забезпечення було складне для виявлення, додав Христос. Іноді він може прокрадатися за минулі антивірусні програми, а потім закріпити інформацію про платіж, незважаючи на наявність традиційних брандмауерів.

"Тоді він може вислати вкрадені дані повільно, роблячи це виглядати як звичайний трафік", сказав Христос. "Минуло кілька місяців, і хто знає, скільки кредитних карток буде порушено".

Компанії, які надають віддалений доступ до своєї системи продажу, можуть розглянути питання про встановлення двухфакторная аутентифікація, щоб не покладатися тільки на логіни паролів, сказав Христос. Але, щоб забезпечити краще виявлення всіх можливих загроз, він виступає за те, щоб бізнес виходив за межі основних антивірусів та міжмережевих екранів та використовував інструменти, які можуть контролювати будь-яку незвичну активність на реальних торгових машинах.

"Ви повинні дивитися кожен комп'ютер, щоб переконатися, що нічого не змінилося", сказав Христос. "Чи є цей комп'ютер активним протягом ночі та передачі даних, або якщо файли змінюються".

Ці інструменти, як правило, продаються великим роздрібним торговцям брендами, але Netsurion заявив, що пропонує їм дешеві малі та середні підприємства.

Шифрування

Незважаючи на те, що хакери продовжують розвивати все більш продумане шкідливе програмне забезпечення, найбільш стійке шкідливе кодування стає марним, якщо все це краде, це зашифровані дані, - сказав Джордж Рійс, старший директор з питань платежів у Hewlett Packard Enterprise Security.

Як правило, зловмисне програмне забезпечення, що працює під торгівельною маркою, працює, читаючи дані платежу в той момент, коли картка витягнута через роздрібну систему кошика. Це відбувається шляхом зчитування оперативної пам'яті торгового терміналу, де платіжні дані можуть бути незашифровані.

"Шкідливі технології розвиваються весь час", сказав Райс. Злочинці також розуміють, що роздрібні торговці постійно оновлюють свої торгові машини для ціноутворення чи інвентаризації. "Тому вони (хакери) використовують різні вразливі місця для вставки шкідливого програмного забезпечення в систему", - додав він.

Однак, згідно з Райс, підприємства набагато менш вразливі до будь-яких порушень даних, якщо вони переходять до повного шифрування. Це означає шифрування даних клієнта протягом усього процесу платежу, включаючи момент, коли ваша кредитна картка була вкрадена.

"Ця техніка може допомогти усунути всі лазівки та уразливості всередині системи", - сказав Райс.

ingenico Ingenico
Контрольно-контрольний термінал Ingencio.

На початку цього року компанія HPE Securty оголосила про співпрацю з Інгеніко, розробником пристроїв платіжної перевірки, на цільовий продукт для шифрування підприємств.

Для кращого захисту даних про платежі Hewlett Packard Enterprise Security також надає токенизация, процес заміни оброблених даних платіжної картки за допомогою цифрових заповнювачів, відомих як токени. Як це, так і шифрування можуть використовуватися в поєднанні з метою зменшення ризику крадіжки даних, зазначив Райс.

Тестування

На жаль, коли компанії вибирають точку продажу, яку вони хочуть купувати, вони рідко думають про безпеку, сказав Чарльз Хендерсон, керівник X-Force Red, команда з тестування на безпеку в IBM.

"Більшість компаній припускають, коли вони купують торгові системи, вони купують щось безпечне", сказав Хендерсон. Покупці також, як правило, поєднують безпеку з відповідністю продукту до галузевих стандартів, але це не завжди вірно, - додав він.

Команда Хендерсона систематично аналізує торгові системи для пошуку вразливостей. Часто його команда знаходить їх, коли бізнес вважає, що його система є безпечною через її відповідність галузі.

Крім того, багато хто з цих продуктів, що продаються у продажу, встановлюються сторонніми торговельними посередниками, які не можуть спеціалізуватися на безпеці. Ці фактори можуть ставити під загрозу підприємства, сказав він.

Щоб запобігти цій проблемі, Хендерсон радить, що компанії наймають фахівця з безпеки, щоб протестувати їх систему продажів для будь-яких уразливостей. Він додав, що більшість системних продуктів, що постачаються в основному, можуть бути забезпечені правильною реалізацією.

Це тестування також стосується продуктів безпеки. Хоча шифрування та інші засоби боротьби з шкідливим програмним забезпеченням можуть запобігти порушенням даних у системах продажів, вони практично марні, якщо вони не належним чином встановлені, сказав Хендерсон.

"Вони не кульовий доказ. Диявол в реалізації ", - сказав він.

джерело

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.