دانلود ما گزارش عمق: راهنمای نهایی e دو امنیت فناوری اطلاعات فروشندگان
است به سختی به خرده فروش. عظیم آن از نقطه فروش (POS) نقض همچنان خبرها را به صورت منظم و آنها می تواند تاثیر قابل توجهی در اعتماد مصرف کنندگان در شرکت و با نام تجاری خود را داشته باشد. فقط تازگی هادسون خلیج شرکت (HBC)، صاحب خرده فروش خیابان پنجم ساکس، ساکس، کردن 5 و اذعان خداوند تیلور &، تعداد نامعلومی مشتریان پرداخت کارت داده شده بود به سرقت رفته و HBC سهام سقوط بیش از 6 درصد در پاسخ به اخبار.
با توجه به امنیت شرکت مشورتی جمینای، اطلاعات تعداد گروه هکر Fin7 در بیش از پنج میلیون کارت اعتباری و بدهی که استفاده می شود که HBC پایانه های کارت اعتباری ابتدا در ماه مه 2017. “مبتنی بر تجزیه و تحلیل اطلاعات موجود، کل شبکه تیلور خداوند 83 & و ساکس، مصالحه شده مکان خیابان پنجم،” شرکت در یک پست وبلاگ بررسی نقض نوشت.
در حال تحول تهدید دانکن دان
، امنیت مهندس که امنیت NuData گفت: eSecurity سیاره توسط ایمیل است که سیستم های POS اغلب خطرناکی بسیار آسان برای نفوذ با نرم افزارهای مخرب. “خدای دریا آلینا، vSkimmer، دکستر مانند نرم افزار مخرب و FYSNA به جمع آوری اطلاعات مربوط به کارت اعتباری به ارسال آن به سرور cybercriminal ارسال شده است،” او گفت. “کشف نوع دیگری از آن از نقطه فروش نرم افزارهای مخرب توسط محققان. که Forcepoint پشت درخواست های DNS به سرقت اطلاعات کارت اعتباری که آن را کمی سخت تر برای تشخیص و یواشکی پنهان می کند”
و در حالی که برخی پیشرفته هدف تهدیدات آسیب پذیری های روز صفر، مراتب به سادگی امکان استفاده از سیستم های unpatched. انواع بسیاری از نرم افزارهای مخرب POS برای بهره برداری از آسیب پذیری های شناخته شده است که تا به حال تکه های موجود برای ماه، گفت: دانشمند ارشد امنیت Thycotic جوزف کارسون توسط ایمیل طراحی شده اند. https://o1.qnsr.com/log/p.gif?;
“این است علاوه بر اجازه دادن به کاربران برای استفاده از سیستم POS برای کارهای معمول کاربر نهایی مانند چک کردن ایمیل و یا گشت و گذار در وب،” کارسون. “به عنوان آن را در معرض شرکت به راحتی تبدیل به یک قربانی جرم کامپیوتری این نوع از امنیت ضعیف عمل در همه هزینه باید اجتناب شود.”
و فقط حفاظت از محیط خود را امن نگه داشتن شما نخواهد شد. “این ضروری است که شرکت های رویکرد چند لایه برای امنیت، هوش مصنوعی و یادگیری ماشینی و دستگاه اطلاعاتی برای محافظت از داده های مشتری از شود در صورت نقض اولیه رخ می دهد، پیاده سازی است” Simility بنیانگذاران و CTO Kedar Samant گفت.
PCI DSS انطباق
پرداخت کارت داده ها امنیت استاندارد صنعتی (PCI DSS)، یکی از بسیاری از مقررات انطباق موثر بر شرکت در فقط در مورد هر صنعت را پوشش می دهد شرایط اساسی برای امنیت نقطه پایانی نقطه از فروش، از جمله استفاده از فایروال، تغییر رمز عبور از پیش فرض ها صورت حفاظت از داده های ذخیره شده انتقال رمزگذاری داده های حساس، استفاده از نرم افزار آنتی ویروس، محدودیت دسترسی فیزیکی به داده های کارت پرداخت و بیشتر.
چند فاکتور تأیید هویت همچنین برای دسترسی از راه دور مورد نیاز است. “داشتن عوامل متعدد برای کمک به اطمینان حاصل شود تنها کارکنان قادر به دسترسی به منابع مناسب هستند می رود راه طولانی به سوی تامین امنیت محیط، اما تنها اگر به عنوان یکی از لایه های امنیتی در عمق, گرفته” هارون رینولدز، معاون رئیس جمهور از پرداخت های مشورتی و ارزیابی Coalfire که گفت: توسط ایمیل.
و که صحبت می کند به نقطه بزرگتر با توجه به انطباق PCI: به سادگی با چک کردن جعبه نمی خواهد اطمینان از حفاظت موثر از هر وضعیت. “استاندارد PCI SSC به طور مستمر بهبود یافته اند و در تلاش برای نگه دارید تا با تغییر چشم انداز تهدید، اما همیشه وقت در تاجر تحت خطرات مربوط به محیط اطراف خود و اجرای اقدامات امنیتی مناسب,” گفت: رینولدز.
هنوز, PCI می توان گفت بزرگ شروع رینولدز او نقض تنها داده های اصلی که در آن تجزیه و تحلیل پس از نقض عدم کنترل های امنیتی کافی بود که به طور خاص توسط PCI DSS را نشان نداد می رسد.
سه گام برای رسیدن به ایده آل POS امنیت راه حل
شاید سه مهم ترین عوامل در حفاظت از داده های دارنده کارت گفت رینولدز رمزگذاری tokenization و تقلب جلوگیری که بدین معنی است راه حل ایده آل امنیت ویژه برای SMBs است، tokenization رمزگذاری نقطه به نقطه (P2PE) می باشد و EMV. “سه با هم هنوز نه امنیت ‘گلوله نقره ای’, اما آنها به راه بسیار طولانی نسبت به توانایی برای تاجر به حفظ یک محیط امن و نگهداری” او گفت.
مایل روستن بنیانگذار و رئیس افسر استراتژی که سیستم های پرداخت Bluefin گفته اند خرده فروشان کوچک به ویژه به تحت ایستاده که EMV تنهایی است نه به اندازه کافی از آن استفاده موفق از کارت جعلی نقطه فروش را کاهش می دهد اما اعتباری جلوگیری از آن نیست دستگاه از نشت داده ها از نرم افزارهای مخرب و دیگر تهدیدات امنیتی، سایبر. “متاسفانه، این مورد در بسیاری از مشخصات بالا تعدادی کجا بوده پایانه های کارت EMV/تراشه استفاده شده است” او گفت.
اضافه کردن P2PE و tokenization به مخلوط گفت مایل و شما در شکل بسیار بهتری. “طوری که اگر یک هکر دستاوردهای ورود به سیستم POS، همه آنها است شماره رمز بی فایده است که ارتکاب تقلب و یا فروش در وب تیره استفاده نمی tokenization داده های کارت با شماره رمز یا مرجع جایگزین،” او گفت.
Tokenization و P2PE، گفت: مایل پانچ دو رویکرد به امنیت داده ها کارت به نام کاهش ارزش هستند. “کارت های رمزگذاری شده است در حالی که حرکت از طریق POS و اگر آن را در اعتباری ذخیره شده است را علامت گذاشته شده، سپس آن بی فایده برای هکرها و محافظت از خرده فروشان از اثرات مخرب بالقوه نقض این ایده این است که اگر،” او گفت.
آموزش امنیت برای کارمندان خرده فروشی
زیرا روش حمله دائما در حال تحول هستند، حیاتی است که تیم امنیتی سایبری کافی, کافی کلیسا و آموزش، گفت: Imperva CTO تری ری توسط ایمیل تامین می شود است. تا زمانی که شرکت است نقض امنیت سایبر اغلب دچار كمبود منابع مالي است، در آن نقطه برخی از بودجه اضافی امنیتی اختصاص داده اما باقی تیم ها به طور کلی خواهد بود کوچک و کشیده نازک. بودجه های بالاتر بهتر کلیسا و آموزش مستمر کلید است.
و این فقط برای تیم امنیتی درست نیست. این مهم به کارکنان خود را آزاد است، رینولدز Coalfire را گفت. “کارکنان را به حفظ دسترسی امن کلمات عبور و چندین دیگر امنیت بهترین روش برای جلوگیری از نقض به سیستم های خود را,” او گفت. «سالانه و یا به طور منظم رخ می دهد آموزش کلیدی برای حفظ کارکنان آگاه و به روز در محیط سایبر به صورت پویا تغییر است.»