支付卡行业数据安全标准(PCI DSS)的主要目标是保护信用卡的机密用户信息。
因此,鉴于过去几周的消息,这是一个明显的问题,是是否可以避免零售商目标的大规模违约,或者至少在少于19天内被发现(据报告的违约率从11月27日到12月。15)如果公司符合最新更新标准的最新更新,则称为PCI DSS 3.0,该3.0生效于1月1日,但直到2015年初将不需要完全合规。
据几位专家表示,尽管有9.9个标准要求组织的要求,但仍然不可能进行身体上的销售点(POS)终端。要求5也可以申请;它呼吁组织保护他们所有的系统恶意软件。
由于目标首席执行官Gregg Steinhafel在其最近的主要电视网络的“道歉”中承认,该公司的POS系统已感染恶意软件。
尽管如此,专家们表示,新标准可能不会改变结果,此时,随着调查不完整,肯定是不可能的。安全行业的口头禅仍然存在:“没有100%的安全性。”
“要求5已经存在于2.0版中,3.0中已经很少发生变化,”NTT COM安全性评估服务总监Chris Pamejo表示,对于编程功能来说,攻击者可以轻松编写禁区不会检测到的自定义病毒。- virus - 所谓的“零日攻击”。
“由自定义恶意软件为目标的人必须更依赖于通过网络监控来依赖于检测和响应攻击本身的能力,而不是反病毒或IPS阻止如未知的自定义攻击代码,”他说。
传播和其他人也表示要求9.9没有帮助,因为它没有似乎没有与目标的POS设备篡改。“恶意软件可以在网络上传播,而不会与POS进行物理交互,并且鉴于目标的违规规模,我怀疑这次攻击主要或完全超过网络,”他说。
Aite集团分析师Julie Conroy同意遵守PCI DSS 3.0可能没有帮助。“防止恶意软件的系统已经是大多数零售商,特别是大型人,正在努力做到,”她说。“鉴于受影响的系统的广度,对目标的攻击似乎已经相当复杂。”
Anton Chuvakin博士,Gartner技术专业人士的研究主任,安全和风险管理,表示是不可能的。“任何人都声称,'如果只有他们买了我们的东西,或者遵守我们的东西,违约就不会发生,”可能不是100%诚实,“他说。
“特别是,我们不知道他们是否在POS设备上有反病毒,但我们不知道,但怀疑,攻击者需要物理访问。”
Camejo表示,可能一直有用的更新标准的规定是要求6.5,该要求6.5呼吁应用程序开发人员考虑卡数据如何在内存中处理。
“这不是那么多的目标可以做到这一点 - 它必须由POS供应商完成,”他说。“虽然目标似乎是从大部分地区获得大部分的Flak,但我会更加易于责怪POS供应商开发一个不安全地处理持卡人数据的平台,并且没有足够的内部检查以防止篡改。”
换句话说,PCI DSS 3.0不会使行业子弹证明。但是,专家之间存在普遍一致,遵守它将提高行业的安全,即使它比“革命”更为“进化”。
事实上,在PCI DSS 3.0,74的摘要中列出的98个项目被描述为“澄清”,而只有19个“不断发展的要求”,而五是“额外的指导”。
然而,该标准最重要的元素之一是使遵守日常活动或常用(BAU)的业务的主题,而不是一年一度的“支票”框,以遵守审计。
“PCI SSC(安全标准委员会)希望鼓励组织进入一个积极的国家,在Bit9的Christopher Strand,合规顾问表示,他们可以更好地控制他们的范围资产。
“过去的合规性具有反应的趋势,因为它通常是为了满足年度或时间点义务或审查。现在,在新版本的标准下保持符合符合的唯一方法是确保您的安全堆栈可以为您提供完全可见环境的能力,能够在实时主动审核端点和网络以进行偏差。“
[jpmorgan由于数据泄露而通知500,000,但不会提供更换卡]
“准则对每个人都不是一切,”标枪战略与研究高级分析师Alphonse Pascual说。“没有完美的安全性,当谈到官僚机构时,你就你就可以了。”
Chuvakin补充说,更新包括“许多新的重点,不仅仅是在政策上,而不仅仅是在购买工具上,而且在制定实际的运营流程和实践时,以使其真正的BAU。”
康罗伊表示,这不应要求支出的主要尖峰,或提高公司产品和服务的成本。“旨在使合规性的PCI 3.0的元素在很大程度上是程序 - 许多不需要大量的IT投资,”她说,加上大型健康保险公司的CISO告诉她更新标准将是,“对他的组织来说几乎是一个非活动,因为它已经做了大部分所需的事情。”
并成为众多人中的一个人,指出了合规成本远远低于不合规的罚款成本,这可以是每月数万美元,或者容易遇到的主要违规的成本数亿,如TJX(2.56亿美元),索尼(171,000,000美元)和Heartland支付系统(1.4亿美元)。
“目前对违规费用的估计价在200美元至300美元之间,”他说,这将意味着目标将在低端看高达80亿美元。
在其他更重要的新或经修订的要求中:
POS终端的物理安全性
“这是一个很大的人,”Chuvakin说,但补充说,“也很需要额外的环境安全指导。”
Camejo同意这很重要,但表示它“落入他们应该在做过的事情的类别中。”
显示与持卡人数据的网络及其流过系统的网络图
Camejo说,这里的微妙变化真的很重要,因为它扩大了标准所涵盖的范围。“以前,它包括存储,进程或传输持卡人数据的任何东西。版本3.0添加了连接到或可能影响持卡人数据的安全性的东西也在范围内,”他说。
“一直在切割的组织 - 无论是故意还是无知 - 都会有一个更加艰难的时间。”
和Chuvakin说,即使有些商家难,“它真的确实睁开了你的眼睛,在卡数据移动,如何以及何时。”
笔测试,包括验证,即细分正在工作
Chuvakin表示,这应该提高安全性,因为“自从许多伪造的笔测试以来被卖掉,这是一个基本上是一个漏洞扫描仪的家伙。”
Camejo表示,他认为对细分验证的要求是“一件巨大的事情。组织经常获得分割错误,这将有助于确保他们正确地完成,”他说。
加强密码策略,令牌和证书
“我认为这是最有价值的要求之一,”康罗伊说。“糟糕的密码对现在正在发生的大部分数据漏斗负责。这是一种简单,低成本的方式来消除许多当前漏洞。”
更新不涵盖一切。Bit9的Strand表示,他希望看到的其他领域包括加密密钥管理和分类,以确保和监控远程,安全和管理访问;对访问管理的更大审查,以防止内幕威胁以及恶意的外部攻击;更好的终端点保护资产等POS设备。
但很高兴的说,总的来说,他在更新中看到了实际价值。“我们在过去的一年中看到了显着的违规可能已经避免了这种变化,”他说。“每个变化与企业面临的威胁环境有关。”
There has also been considerable discussion in the wake of the breach at Target and other retailers like Neiman Marcus on why the U.S. has not moved to EMV (Europay, MasterCard and Visa) technology, which uses a computer chip and requires a PIN, rather than the magnetic stripe, and is considered更安全。
专家视图对此混合。Conroy表示,这样的变化不是PCI标准的作用。“卡网络正在分开工作,并试图将其作为DSS的一部分解决它会泥泞太多,”她说。
Chuvakin称之为“一个无星期”,并表示,由于现代时代不一定是一个明智的目标,因为“它没有任何东西可以帮助电子商务卡欺诈和盗窃。”
凯乔说,美国的消费者应该要小心他们所希望的,因为EMV对消费者的负债负担超过银行或商家。“对于任何通过EMV完成的交易,消费者对欺诈损失负责,除非他们可以证明他们不对交易负责,”他说。
他还表示,PIN系统存在漏洞,并且在美国转向EMV会非常昂贵
但后来,股线表示转向EMV技术已经在进行中,“慢但肯定”。
最后,专家强调,更新并不意味着PCI DSS 3.0解决了所有当前的威胁。
“我不认为我们能说出任何一个有威胁的”最新“,因为威胁环境正在发展的速度快,”康罗伊说。“PCI 3.0建立了企业应该实施的一些重要基本实践,但它永远不应该被视为一个灵丹妙药。”
Chuvakin同意了。“标准定义了基本级别的安全性,而不是绝对最大的水平。认为安全楼层,而不是天花板,”他说。
但他认为,合规性具有实际价值,即使它不能跟上不断发展,复杂的威胁景观。“我在等待那个影响一家公司真正确实拍摄了PCI DSS的公司的违规行为,并做得很好,”他说。“它只是没有发生。
“很多人都在”没有PCI标准的公司曾经被违反过违反了“线路的人,其中一些在几年前提到的SSC,但我碰巧真的相信。”
这个故事,“PCI DSS 3.0是一种进化,而不是革命”最初是发表的CSO 。