自从12月美国零售业巨头塔吉特(Target)曾是大型数据泄露事件的受害者的消息首次爆发以来,人们就一直在猜测泄露事件是如何发生的。一些批评家指责使用磁条信用卡,这种信用卡不如芯片和PIN信用卡安全。也有报道称,一种称为“ RAM scraper”恶意软件的内存抓取技术能够窃取用户信息。
最新的洞察力来自《彭博商业周刊 》最新综合报告,标题为“警报遗失和4000万失窃的信用卡号:目标如何泄密”。
该报告进行了两个月的调查,得出了一些与我在1月发布的eWEEK 故事中得出的一些基本结论相同的信息,就在首次披露该违规行为几周后。每当发生重大的新漏洞时,最大的担心就是会有某种新的攻击-以前未知的风险。我喜欢将其视为“小鸡低落”的效果,因为新的攻击令人恐惧,它们破坏了我们所生活的世界的安全。
我在一月份曾怀疑目标突破是流程失败,而不是技术失败或任何新的先前未知的风险。彭博商业周刊也得出了结论。
您会发现,现实是所有现代IT支付基础架构都必须符合支付卡行业(PCI)数据安全标准(DSS)。PCIDSS包括多层安全技术和流程。尽管PCI DSS可能并不完美,但它确实做到了工作,并且在某一时刻,Target符合PCI DSS。
在彭博商业周刊报道称,目标到位有系统从安全厂商FireEye的是做,其实警报零售商的攻击。问题在于Target对攻击警告没有反应。
彭博社称: “如果公司的安全团队在应有的情况下做出了反应,那起盗窃案已经席卷了Target,触及了多达三分之一的美国消费者,并导致了国际上对黑客的追捕,这是根本不可能发生的,” 彭博社商业周刊的故事状态。
事实是,我们仍然不知道有关对Target袭击的所有事实,直到我们这样做可能要花费数月甚至数年。从很多方面可以肯定的是,故障可能不是技术故障或某种新的,以前未知的安全威胁。
目标案例中的威胁和失败可能是人为的。显然,人类没有响应该技术的警告。
我认为,有很多方法可以限制人为威胁,并且它始于过程。如果制定了适当的流程,则员工通常会不遵循流程,特别是如果该流程已经过严格培训的话。
但是,仅流程是不够的,这就是自动化程度提高的地方。也许,有了更多自动执行流程并限制风险的自动化功能,FireEye在Target上发现的警报就不必等待人类做出反应了。
不过,在这个故事中,真正的教训是付款委员会行业安全标准委员会(PCI SSC)总经理Bob Russo告诉我有关2月份的PCI DSS合规性的一般情况。
Russo 说: “标准告诉您,您需要在门上放一个锁,但是人为因素意味着您必须实际锁上门。”
除非人们充分利用技术并真正“锁上门”,否则类似Target漏洞的攻击很可能会继续发生。