近日，安全媒體Tripwire組織了一場(chǎng)“支付卡行業(yè)信息泄露和網(wǎng)絡(luò)威脅概況：真實(shí)世界網(wǎng)絡(luò)攻擊和信用卡數(shù)據(jù)保護(hù)”的線上播報(bào)。

布萊恩·赫南是一名信息系統(tǒng)和網(wǎng)絡(luò)安全專家，也是歐洲刑警組織網(wǎng)絡(luò)犯罪中心(EC3)在信息泄露調(diào)查方面的互聯(lián)網(wǎng)安全顧問團(tuán)成員。他對(duì)新的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)3.0的重要性，以及怎樣利用此合規(guī)標(biāo)準(zhǔn)保護(hù)企業(yè)自身免遭安全侵入提出了一些看法。

日漸增加的網(wǎng)絡(luò)犯罪損失部分反映了各國信息泄露事件披露政策在立法上的不同。比如說，美國有強(qiáng)制披露的法案，而歐盟則沒有。受信息泄露影響的歐洲公司，如TK Maxx、Loyaltybuild、Stay Sure和CEC Bank，因而沒有義務(wù)向其用戶通告信息泄露事件。這種透明度的缺乏有可能限制受影響公司在有助于及時(shí)響應(yīng)信息安全事件的監(jiān)測(cè)方法上的投入動(dòng)力。

2013歐洲刑警組織重大有組織威脅評(píng)估報(bào)告顯示，“網(wǎng)絡(luò)犯罪全球掘金已升至高達(dá)3萬億美元，比大麻、可卡因和海洛因三者相加的收益還高。”

為了了解在安全漏洞檢測(cè)和響應(yīng)上的差別，Tripwire組織參與者發(fā)起了一個(gè)線上調(diào)查以更全面地了解公司對(duì)信息安全漏洞的準(zhǔn)備度。

參與調(diào)查者認(rèn)為要檢測(cè)出安全漏洞要花去他們多少時(shí)間。答案多種多樣，但最令人不安的是37%的受訪者說自己根本沒有自信能夠檢測(cè)到信息安全漏洞。

這一結(jié)果并不新鮮。威瑞森2014數(shù)據(jù)泄露調(diào)查報(bào)告中就曾揭露過，數(shù)據(jù)泄露通常在攻擊者成功滲透系統(tǒng)后的幾秒或數(shù)分鐘內(nèi)就發(fā)生了。攻擊者可在攻入系統(tǒng)后僅僅數(shù)分鐘內(nèi)就開始往外搬運(yùn)數(shù)據(jù)。

與攻擊者的快速相對(duì)應(yīng)的是，往往要在泄露事件發(fā)生至少數(shù)周后才能檢測(cè)到數(shù)據(jù)泄露。這給攻擊者留下了足夠的時(shí)間對(duì)獲取到的客戶資料為所欲為。

即使那些事實(shí)上已經(jīng)發(fā)現(xiàn)的信息泄露事件中，也有很多并不是由公司自身發(fā)現(xiàn)的。實(shí)際上，威瑞森99%的案例研究里，受影響的公司都是被第三方告知的——執(zhí)法機(jī)構(gòu)或跟進(jìn)支付卡欺詐報(bào)案的金融機(jī)構(gòu)，有些案例中甚至是受信息泄露侵害的客戶告知的。

威瑞森還發(fā)現(xiàn)，2011至2013年間，45%的零售業(yè)信息泄露事件是由于攻擊者利用了公司PoS設(shè)備的不安全配置造成的?；谖覀兊木W(wǎng)絡(luò)廣播調(diào)查中只有一半的人回復(fù)稱自己有信心對(duì)自身PoS設(shè)備進(jìn)行安全配置的事實(shí)，威瑞森的這一發(fā)現(xiàn)尤其令人憂慮。

顯然，計(jì)算機(jī)罪犯?jìng)儗?duì)盜取客戶支付卡信息很感興趣， 這很好地解釋了我們今天看到的信息泄露案件的上升趨勢(shì)。由此引發(fā)一個(gè)疑問：我們?cè)撛鯓幼霾拍鼙ＷC公司不屈從于大范圍支付卡失竊?

答案與合規(guī)有關(guān)。信息保護(hù)策略是為保證敏感信息不被侵害而生的。這種情況下，符合所謂的《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI DSS)，能有助于保護(hù)客戶的支付卡信息。

誠然，各家公司在對(duì)合規(guī)的理解上各有不同。有些公司將合規(guī)視為復(fù)選框，僅僅為了通過安全審計(jì)好繼續(xù)開展業(yè)務(wù)而實(shí)行安全控制。正如我之前在一篇博文中討論的，這種態(tài)度或方法多半就是采取一種廉價(jià)的解決方案進(jìn)行合規(guī)，以犧牲公司安全性的改善為代價(jià)。因此，以“復(fù)選框”形式進(jìn)行信息安全合規(guī)的很多公司成為受大型安全事件影響的重災(zāi)區(qū)也就毫不奇怪了。

需要說明的是，一套全面的合規(guī)方法并不能阻止攻擊者滲透進(jìn)公司網(wǎng)絡(luò)。相反，如不斷增加的信息泄露事件所呈現(xiàn)的，攻擊者始終能找到突破的方法是個(gè)不爭(zhēng)的事實(shí)。PCI DSS所能做到的就是增加公司的檢測(cè)率和縮短安全事件響應(yīng)時(shí)間。

有能力從公司網(wǎng)絡(luò)中快速檢測(cè)和踢出攻擊者可以使公司在一周內(nèi)恢復(fù)正常業(yè)務(wù)。參考2013年塔吉特百貨公司百萬客戶數(shù)據(jù)泄露事件導(dǎo)致該公司承擔(dān)數(shù)百萬美元賠款，迅速恢復(fù)業(yè)務(wù)不失為一個(gè)更好的結(jié)果。

如今的威脅局勢(shì)使得所有公司努力達(dá)到持續(xù)符合PCI DSS規(guī)程成為必需。對(duì)于剛剛踏上合規(guī)之路的公司，可以從信息安全在線教育視頻中學(xué)習(xí)更多知識(shí)，包括一些PCI3.0里面的新要求。

原文地址：http://www.aqniu.com/news/7233.html