安全经理通常将他们为保护公司数据不被泄露所做的努力描述为一场与网络骗子的全面智斗,网络骗子不断用创新的工具和攻击方法武装自己。
汉纳福德兄弟公司(Hannaford Bros.Co.)和奥克莫山度假村(Okemo Mountain Resort)上月披露的安全漏洞,以及数十起类似网络入侵的未经证实的报告,表明这场战争可能开辟了一条新战线。
此外,最近的事件促使一些人质疑,支付卡行业广为宣传的数据安全标准是否充分装备了公司抵御攻击者。
Hannaford和Okemo的入侵值得注意的是,它们都涉及到传输数据的盗窃——信用卡和借记卡信息从销售点系统传输到支付处理器,以授权交易。
在Hannaford的案例中,这家总部位于缅因州斯卡伯勒的连锁超市表示,植入东北部和佛罗里达州约300家杂货店服务器的恶意软件截获了多达420万个信用卡和借记卡号码,并定期将数据分批发送到海外的一个系统。
就在Hannaford披露其被入侵的两周后,Okemo报告称,在今年2月一次为期16天的系统入侵中,超过4.6万笔支付卡交易的数据可能已被泄露。
一些被盗的数据来自两年前发生的交易。但据Vt.Ludlow滑雪区的一位女发言人说,入侵发生时客户购买的数据似乎在授权和卡验证过程中被实时窃取。
“这些信息是在信用卡被刷卡时得到的,”她说,并补充说,执法官员告诉Okemo的管理层,他们正在调查仅在东北部就有大约50起此类事件。
如果情况确实如此,这表明恶意黑客开始专注于在移动中窃取银行卡数据,而不是试图获取存储在系统中的信息。
Gartner Inc.分析师Avivah Litan说,讽刺的是,攻击者试图获取传输中的数据,这很可能是对零售商实施支付卡行业数据安全标准(简称PCI)规定的安全控制措施的直接回应。
由主要信用卡公司创建的PCI标准在大多数情况下禁止零售商和其他商户在其系统上存储支付卡数据,并要求他们对允许存储的数据进行加密。利坦说,随着越来越多的公司遵守这一标准,信用卡窃贼正被迫将注意力从他们以前锁定的数据库转移开。
利坦警告说,闯入汉纳福德和奥克莫系统的入侵者显然取得了成功,这必将鼓励其他攻击者尝试同样的策略。
PCI的弱点?
汉纳福德的缺口,至少表明PCI的防御墙上可能有漏洞。这家食品杂货商表示,尽管它在去年获得了符合安全标准的认证,并在2月27日再次获得了认证,但它还是被攻破了。就在那一天,汉纳福德第一次意识到其客户的信用卡存在可疑活动。
PCI安全标准委员会(PCI Security Standards Council)总经理鲍勃·鲁索(Bob Russo)上周表示,关于Hannaford和Okemo违规事件,目前还没有足够的信息来确定PCI规则是否需要调整。Russo承诺,如果有必要进一步控制,委员会将迅速做出改变。该委员会是信用卡公司于2006年成立的一个独立组织,负责管理标准。
根据现有规定,公司在其内部网络内传输支付数据时不需要加密。但Russo认为,如果一家公司实现了所有现有的PCI控制,那么攻击者就不可能在信息在内部传输时获取信息。
“仅仅因为(Hannaford)举手说他们是合规的,并不一定意味着他们就是合规的,”Russo说。他补充说,所有涉及PCI规则所涵盖公司的已知数据泄露都是因为商家未能完全遵守安全要求。
利坦说,在支付卡数据到达销售点系统之前对其进行加密是将数据在传输过程中被盗风险降至最低的一种方法。但她补充说,VeriFone Inc.等供应商刚刚推出了能够让公司做到这一点的工具。在这个早期阶段,安装这些工具可能需要用户投入大量的时间和精力。
销售入侵防御系统的Top Layer networks Inc.的安全策略师帕帕斯(Ken Pappas)说,一个更直接的方法是更好地监控企业网络,以发现系统入侵的泄露迹象。例如,查看数据流量的流向可以让安全管理人员清楚地知道传输是否合法。
用于实施数据传输抢劫的技术其实并不新鲜。通常情况下,攻击者首先利用尚未发现或修补的漏洞进入目标网络。一旦攻击者找到了立足点,他们就可以部署恶意软件来嗅探他们感兴趣的网络流量,比如信用卡数据。
恶意软件还可以被编程为将被盗数据排队,并将其分批发送到外部目的地,就像汉纳福德入侵事件一样。
网络监控工具供应商NetWitness公司的首席安全官埃迪·施瓦茨(Eddie Schwartz)说,在过去两年中,海外“信用卡团伙”买卖偷来的支付款卡号,他们一直在使用数据嗅探工具,试图在信息在网络上传输时拦截信息。
施瓦茨说:“人们终于醒悟过来,开始关注它。”。他将新发现的兴趣归因于汉纳福德的违规行为引起的关注,汉纳福德已更换了其所有商店服务器,试图清除安装在那里的恶意软件。
数据盗窃很难发现,因为经常被盗信息通过开放网络端口是精神的公司——比如80端口,用于网络连接和提供网页,或端口443,可以用来发送通过网络安全通信。
施瓦茨说,许多公司甚至不监控这些端口,而是假设所有通过这些端口的数据流量都是合法的。
他补充说,网络管理员应该关注端口“非标准流量”。“如果流量目的地是罗马尼亚,并且它使用的是443端口,而不是SSL流量,这是一个危险信号——您应该在几分钟内看到它,而不是几个月。”
位于弗吉尼亚州阿灵顿(Arlington)的Airline Reporting Corp.的企业安全主管德文·巴特(Deven Bhatt)说,根据对Hannaford和Okemo入侵的了解,尚不清楚它们是否真的指向一种新的攻击方法。该公司为150多家航空公司和铁路运输公司提供机票分销和财务结算服务。目前,该公司正在对其网络进行评估,以确保其网络不容易受到传输数据失窃的影响。
ARC的审查是由于Okemo披露其系统以类似hannaford的方式被入侵,以及其他公司可能也受到类似攻击的报道。Bhatt指出,ARC完全符合PCI要求。
但汉纳福德也提出了同样的要求,但他还是数据泄露的受害者。
软件供应商Lumension security Inc.负责安全技术的副总裁克里斯·安德鲁(Chris Andrew)表示,该杂货店的网络显然没有被严密锁定,恶意软件能够将被盗数据发送到海外就是明证。
“很明显,”他补充道,“汉纳福德本应该关闭一条退出网络的途径。”
了解有关此主题的更多信息
这篇题为“黑客在支付卡数据盗窃中开辟了新战线”的文章最初发表于计算机世界 .