一份新报告声称Target忽略了其自身的安全控制措施

2019-12-26 11:55:45 来源: INeng财经

自从12月美国零售业巨头塔吉特(Target)曾是大型数据泄露事件的受害者的消息首次爆发以来,人们就一直在猜测泄露事件是如何发生的。一些批评家指责使用磁条信用卡,这种信用卡不如芯片和PIN信用卡安全。也有报道称,一种称为“ RAM scraper”恶意软件的内存抓取技术能够窃取用户信息。

最新的洞察力来自《彭博商业周刊 》最新综合报告,标题为“警报遗失和4000万失窃的信用卡号:目标如何泄密”。

该报告进行了两个月的调查,得出了一些与我在1月发布的eWEEK 故事中得出的一些基本结论相同的信息,就在首次披露该违规行为几周后。每当发生重大的新漏洞时,最大的担心就是会有某种新的攻击-以前未知的风险。我喜欢将其视为“小鸡低落”的效果,因为新的攻击令人恐惧,它们破坏了我们所生活的世界的安全。

我在一月份曾怀疑目标突破是流程失败,而不是技术失败或任何新的先前未知的风险。彭博商业周刊也得出了结论。

您会发现,现实是所有现代IT支付基础架构都必须符合支付卡行业(PCI)数据安全标准(DSS)。PCIDSS包括多层安全技术和流程。尽管PCI DSS可能并不完美,但它确实做到了工作,并且在某一时刻,Target符合PCI DSS。

在彭博商业周刊报道称,目标到位有系统从安全厂商FireEye的是做,其实警报零售商的攻击。问题在于Target对攻击警告没有反应。

彭博社称: “如果公司的安全团队在应有的情况下做出了反应,那起盗窃案已经席卷了Target,触及了多达三分之一的美国消费者,并导致了国际上对黑客的追捕,这是根本不可能发生的,” 彭博社商业周刊的故事状态。

事实是,我们仍然不知道有关对Target袭击的所有事实,直到我们这样做可能要花费数月甚至数年。从很多方面可以肯定的是,故障可能不是技术故障或某种新的,以前未知的安全威胁。

目标案例中的威胁和失败可能是人为的。显然,人类没有响应该技术的警告。

我认为,有很多方法可以限制人为威胁,并且它始于过程。如果制定了适当的流程,则员工通常会不遵循流程,特别是如果该流程已经过严格培训的话。

但是,仅流程是不够的,这就是自动化程度提高的地方。也许,有了更多自动执行流程并限制风险的自动化功能,FireEye在Target上发现的警报就不必等待人类做出反应了。

不过,在这个故事中,真正的教训是付款委员会行业安全标准委员会(PCI SSC)总经理Bob Russo告诉我有关2月份的PCI DSS合规性的一般情况。

Russo 说: “标准告诉您,您需要在门上放一个锁,但是人为因素意味着您必须实际锁上门。”

除非人们充分利用技术并真正“锁上门”,否则类似Target漏洞的攻击很可能会继续发生。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。