中小企业可能认为他们不会受到去年对Target造成严重破坏的那种攻击,但他们也容易受到同样的邪恶力量的影响——有时甚至更严重,因为它们可以让黑客获得更大的奖赏。
Target事件发生后,其他零售商也受到了影响,包括内曼•马库斯,易趣和张教授的.但是,目标突破是巨大的- 4000万张信用卡和借记卡信息被盗,7000万名客户的姓名、地址、电子邮件地址和电话号码等记录被盗。
这次泄密显然对塔吉特造成了伤害——首席执行官格雷格·斯坦哈费尔和首席信息官贝丝·雅各布都已经辞职成本还在继续增加.根据Discover金融服务公司的一项调查显示,在所有金融机构中,信用卡受到影响的比例分别为10%、14%和9%。总体而言,84%的金融机构受到了影响;在一次典型的数据泄露之后,这个数字只有29%。
[指南:测试你的员工的安全能力]
更直接的是,那些保留客户卡的小企业,比如健身房,无法处理事务在已经关闭的卡上。
你很容易认为你的小企业不会受到黑客的影响,拉里波耐蒙博士说,他是该公司的董事长和创始人波耐蒙研究所该公司是一家研究机构和智库,致力于推进隐私和数据保护实践。“大公司受到了人们的关注。许多小公司以为自己不会受到影响。这只是一家小公司。谁来黑他们?”
事实证明,有很多人。中小企业面临着一些与大型同行相同的挑战,但也有一些是它们独有的挑战。
你是你的同伴
塔吉特公司安全咨询高级总监马克•哈蒙德表示,塔吉特的失败是一个整体的失败Neohapsis安全服务是一家专注于移动和云安全服务的安全和风险管理咨询公司。“其中一件突出的事情是公司管理合伙人的方式。这不仅仅是技术。还有人和流程在填补所有的拼图。”
黑客利用塔吉特的暖通空调公司的证书,将恶意软件上传到安全和支付系统中。Target的恶意软件检测工具火眼(FireEye)捕捉到了这次攻击,但可以自动关闭威胁的功能被关闭了。随后的警告被忽略,根据一个彭博商业周刊的报告.
这就是为什么小企业可以成为不同类型的目标,特别是如果它提供服务,一个更大的公司。黑客利用塔吉特的供暖和空调承包商作为门户;安全链上的后续失败导致攻击成功。
波内曼给出了另一个例子,一个国防承包商的客户拥有被黑客窃取的专有信息。“进入这个国防承包商的系统,从1到10,等于100,”他说。相反,黑客们专注于为承包商工作的小公司,并以这种方式攻击他们。
【新闻:黑客通过远程访问账户攻击更多企业]
这就是为什么员工和供应商很重要。“你必须少轻信别人,”波内曼说。这里的罪魁祸首是一家与国防承包商合作的小企业雇佣的清洁工。进行适当的背景调查——不仅对你的员工,而且对你雇佣的任何帮助你的企业的供应商。
被盗数据被送到黑市
在被盗的4000万张信用卡中,有100万到300万张在黑市上成功售出。该公司首席运营官利伦•达姆里(Liron Damri)表示,许多产品并不是在实体店中使用,而是在销售笔记本电脑、手表或珠宝等高端商品的网店中使用,这些商品很容易转手堡该公司为中小型网上商家提供防欺诈服务。
他说:“骗子不一定会回到eBay、塔吉特(Target)或内曼•马库斯(Neiman Marcus),并试图在这些系统中使用这些信用卡,因为他们的系统非常强大。”“他们将试图利用这些中等规模的商家,从他们身上赚钱。”
欺诈指控对网络公司和实体店的作用不同。达姆里说:“如果有人偷了一张信用卡并试图进行交易,商户将受到信用卡公司的保护。”“如果网上商家正在处理信用卡交易,那么对任何损害负责的人就是网上商家。他们是‘卡不在场’交易的责任者。”
信用卡将更安全,但只在商店使用
哈蒙德说,我们在未来看到的信用卡安全的最大变化是向欧洲的芯片和密码格式迈进。据该零售商称,美国所有的塔吉特商店将在9月之前拥有芯片和pin阅读器,塔吉特将在2015年第一季度开始发行芯片和pin Target REDcards。(像许多欧洲的读卡器一样,新的Target系统将同时读取芯片密码和磁卡)。
(分析:在违反后,PCI合规意味着什么?]
由于塔吉特是一个如此大的零售商,这种转变已经产生了影响,尽管他们的redcard只能在塔吉特商店和Target.com上使用。根据Discover Financial Services的研究,86%的金融机构计划在未来两年内开始发行芯片密码卡。
不过,这不是万无一失的解决方案。一个副作用可能是我们已经在欧洲看到的,黑客把更多的注意力集中在网上交易上。这些不受芯片和密码安全的影响,因为没有卡存在。
达姆里说:“这一举措的关键影响将是减少现实世界中的欺诈行为。”“另一方面,它将把骗子推向网络世界,在那里你不需要出示密码,也不需要刷卡。”
失败的计划和你计划失败
在这样一个复杂的威胁环境,所有的公司都需要一个事件响应计划波耐蒙说。“如果你是一家位于龙卷风走廊的小公司,如果你的工厂遭到龙卷风袭击,你可能会有一个计划。这种情况并不经常发生,但你已经做好了准备。”
同样,你的公司应该有一个计划以防欺诈发生。这个计划应该包括你的即时反应,包括哪些员工将做什么,以及你需要在什么时候披露的监管信息。(你们州的司法部长有这方面的信息。)波耐蒙补充说:“你应该进行消防演习,以确保自己准备就绪。”
【新闻:塔吉特,内曼·马库斯行政保卫安全实践]
这看起来可能并不多。这甚至可能看起来很愚蠢。但对数据泄露不力的回应可能是巨大的。据一家媒体报道,平均一次数据泄露给一家公司造成350万美元的损失IBM的研究是和波耐蒙研究所一起进行的波耐蒙说,没有计划会将这些成本提高10%到15%。
你也可以雇佣像Neohapsis这样的咨询公司来帮助起草事件响应计划,也可以进行渗透测试,看看你到底有多安全。与此同时,如果你是一个网上商人,像Forter这样的公司会把责任问题从你身上拿开,决定哪些交易是合法的,哪些是欺诈的,如果他们错了,还要承担欺诈的成本。
这篇题为“目标入侵如何影响小企业数据安全”的文章最初由首席信息官 .