ビデオ: ã´ã¼ã«ãã³ãã³ãã¼ã女ã ãã㦠K POPãã¼ã¸ã§ã³ ããOFFICIAL MUSIC VIDEO Full v (十一月 2024)
Target、Neiman Marcus、およびその他の小売店での最近のデータ侵害は、業界標準に準拠していてもセキュリティが向上しないことを証明しています。 では、なぜチェックリストで時間を無駄にしているのでしょうか?
攻撃者はカードがスワイプされ、情報が暗号化される前に支払いカードの詳細を傍受し、ターゲットとニーマンマーカスの幹部は2月5日、House Energy&Commerce CommitteeのCommerce、Manufacturing、Tradeヒアリングの小委員会で証言しました。 「情報はスワイプの直後にスクレイプされました-処理のために暗号化されたトンネルを介して送信される数ミリ秒前」と、Neiman Marcusの上級副社長兼CIOであるMichael Kingston氏は言いました。
カードをスワイプすると、磁気ストライプからの情報は暗号化されません。 小売業者のPOS端末上のマルウェアが情報を取得するのを防ぐ唯一の方法は、データを最初から暗号化することです。 問題は、エンドツーエンドの暗号化は現在、業界の規制によって義務付けられていないことです。つまり、このギャップはすぐになくなることはありません。
磁気ストライプカードからEMVチップカードに移行しても、データはスワイプされた時点でクリアテキストで送信されるため、エンドツーエンドの暗号化の問題は解決しません。 EMVカードの採用は必要ですが、組織がセキュリティ防御のあらゆる側面を強化することも考えなければ、それだけでは十分ではありません。
PCI-DSSが機能しない
小売業者(支払いデータを実際に扱う組織)は、消費者情報が安全に保存および送信されるように、Payment Card Industry-Data Security Standard(PCI-DSS)に準拠する必要があります。 PCI-DSSには、データが暗号化されていることを確認する、ファイアウォールをインストールする、デフォルトのパスワードを使用しないなど、多くのルールがあります。 紙上では良いアイデアのように聞こえますが、最近のデータ侵害のいくつかが示しているように、これらのセキュリティの義務を順守することは、会社が決して侵害されないということではありません。
Gartnerの副社長兼著名なアナリストであるAvivah Litan氏は先月のブログ記事で次のように書いています。
この標準は、従来の防御手段に焦点を当てており、最新の攻撃ベクトルに追いついていません。 最新の小売業者の侵害の攻撃者は、外部サーバーに転送する前に、ウイルス対策の検出と暗号化されたデータを回避するマルウェアを使用しました。 「PCI規格では、このようなことを理解できなかった」とLitan氏は語った。
リタンは、違反の原因を、カード発行銀行とカードネットワーク(Visa、MasterCard、Amex、Discover)に「悪徳を防ぐためにこれ以上のことをしていない」と真っ向から非難しました。 少なくとも、PINがATMで管理されるのとほぼ同じ方法で、カードデータのエンドツーエンド(小売業者から発行者へ)暗号化をサポートするように、支払いシステムインフラストラクチャをアップグレードする必要がありました。
準拠はセキュリティではない
PCI準拠のステッカーを真剣に考えている人はいないようです。 発表されたばかりのVerizon 2014 PCIコンプライアンスレポートでは、ペイメントカード業界標準に完全に準拠している組織はわずか11%であることが判明しました。 このレポートは、多くの組織が評価に合格するために多くの時間とエネルギーを費やしていることを発見しましたが、一度行うと、コンプライアンスを維持するためのメンテナンスタスクを維持できませんでした。
実際、トレンドマイクロのパブリックテクノロジーおよびソリューションのディレクターであるJDシェリーは、マイケルズとニーマンマーカスを「繰り返し犯人」と呼びました。
さらに厄介なことに、約80%の組織が2013年にコンプライアンスルールの "少なくとも80%"を満たしました。インフラストラクチャのどこかに穴が開いているため、 "ほとんど"に準拠していることは "実際には"準拠していないように疑わしく聞こえます。
「一般的な誤解は、PCIはセキュリティの万能薬として設計されているということです」と、Trustwaveの上級副社長、フィリップ・スミスは下院聴聞会で証言しました。
では、なぜPCIに固執するのでしょうか? それは、銀行とVISA / MasterCardが私たちの全体的なセキュリティを改善するために何もする必要がないようにすることです。
実際のセキュリティに焦点を当てる
セキュリティの専門家は、要件のリストに焦点を合わせると、組織がギャップに気付かず、進化する攻撃方法に適応できないことを繰り返し警告しています。 「コンプライアンスと安全性には違いがあります」と下院聴聞会で、マーシャ・ブラックバーン議員(R-Tenn)は指摘しました。
Targetがテクノロジーと優れたセキュリティチームに投資していることを知っています。 同社は、コンプライアンスの達成と証明にも多くの時間とお金を費やしました。 代わりに、ターゲットが、サンドボックステクノロジーの採用や、機密システムが遮断されるようにネットワークをセグメント化するなど、PCIで言及されていないセキュリティ対策にすべての努力を費やすことができたらどうでしょうか。
小売業者が今後数か月をかけて自分の活動がPCIのチェックリストにどのようにマッピングされるかを示す代わりに、機敏で進化する攻撃に適応できる複数のセキュリティ層の採用に集中できたらどうでしょうか。
小売業者や個々の組織がPCIを心配する代わりに、銀行とカードネットワークに責任があるとしたらどうでしょうか。 それまでは、これらの違反をさらに確認し続けます。
