近几年,有关个人数据和信用卡数据大量泄露的事件层出不穷。彭博《商业周刊》的一篇分析文章提到:2012 年,全球信用卡和借记卡欺诈导致的损失总计为112.7亿美元;2014年1月,一次严重的攻击至少泄露了1.05亿人的身份信息。由于在黑市上兜售信用卡数据有利可图,销售点(POS)设备、POS环境和Web自助服务终端已成为网络罪犯的主要攻击目标。
POS攻击剖析
虽然卡安全技术有所改进,而且也有支付卡行业数据安全标准(PCI DSS),但POS系统的安全保护仍存在不足,再加上公司IT基础架构中普遍存在的安全漏洞,零售商面临的安全威胁变得日益严重。
不论是零售店还是餐厅,在POS环境中支持信用卡交易处理需要安全的技术基础架构。基础架构中包括各种不同的POS终端、网络服务器、台式机和其他系统。网络罪犯往往通过多阶段攻击的手段,获取POS和Web自助服务终端环境中信用卡持卡人的数据。多阶段攻击通常包括以下几个阶段。
渗透 攻击者可以通过多种方法获取公司网络的访问权。他们可能会找寻对外系统中的弱点,例如对Web 服务器使用SQL注入或寻找仍使用制造商默认密码的外围设备。
网络遍历 网络罪犯秘密安插在网络中的恶意文件可能会隐藏数周、数月或数年,以刺探、扫描并收集网络的有关信息。
数据窃取工具 专门设计用于从POS系统窃取数据的恶意软件。这些数据文件往往需要通过内部网络传输到多个计算机跳点,然后到达可访问外部系统的系统中。
持续性和隐秘性 攻击者在以POS系统为目标时,攻击需要花时间收集数据,因此攻击者需要保持代码的持续性。在安全性较高的环境中,攻击者很可能会先行取得受损管理凭据的访问权,并使用这些凭据清除日志,禁用监控软件和系统,甚至修改安全软件配置以避开检测。
渗漏 攻击者可能会“劫持”内部系统,将其作为缓冲服务器,还会尝试识别经常与POS系统通信的服务器,并利用正常通信来避开检测。
保障POS环境的安全
许多一体化POS系统建立在通用操作系统上,如Windows Embedded、Windows XP和更高的版本,或者Unix操作系统(包括Linux)。这些系统很容易遭受各种攻击,从而导致大规模的数据泄露。常见的针对POS系统的攻击途径是通过公司网络。一旦取得公司网络的访问权,攻击者就可以穿梭于网络,直到取得POS网络入口点的访问权。
要保护信用卡数据和POS环境,抵御复杂的多阶段攻击,就需要多层防护手段:实现端点保护,需要采用可提供多层防护的强大的端点防护解决方案;基于主机的访问控制可以保障与POS设备相连的服务器的安全;在网关(尤其是电子邮件网关)建立第一道防线是阻截网络罪犯的关键;服务器和POS系统需要强大的身份验证控制,以阻止未经授权的访问;SSL证书可在数据传输时进行加密,确保信用卡持卡人数据的安全;数据泄露防护解决方案可扫描离开网络的通信,以确保机密数据不会从环境中流失。
1.确保Windows和Windows Embedded POS设备的安全
Symantec Endpoint Protection集成了多层防护功能以保护端点的安全。除了基于特征的标准防病毒功能之外,Symantec Endpoint Protection 还可提供应用程序控制、网络威胁防护、设备控制和基于行为和信誉的恶意软件检测,以保护客户信用卡数据的安全。
控制哪些应用程序能在POS设备上运行,是抵御未经授权的访问和攻击的十分重要的方法。通过Symantec Endpoint Protection中的应用程序控制功能,客户可以采用强大而灵活的黑名单和白名单功能,锁定POS系统并阻止攻击。客户可以将应用程序的执行限制在运行POS设备所必需的基本应用程序范围内,从而进一步提高系统的安全性。在白名单模式下,Symantec Endpoint Protection可使用文件位置参数验证应用程序是否经过批准。
Symantec Endpoint Protection还增加了一层安全保障层,即入侵防护系统(IPS)和基于规则的防火墙,以拦截针对POS设备的基于网络的攻击。客户可以通过防火墙限制POS系统上哪些应用程序可以进行网络通信或者可以使用哪些端口,以及允许应用程序执行哪些操作等。
为避开网络和应用程序的控制,某些网络罪犯会尝试通过物理方式接入POS设备。客户可以通过Symantec Endpoint Protection阻止并精确控制连接到POS系统通信接口上的设备,如 USB、固件、串口和并口等。该解决方案可阻止对端口的全部访问,或只允许具有特定供应商ID的某些设备进行访问。Symantec Insight采用基于信誉的安全技术,可以跟踪来自数百万个系统的数十亿个文件,以识别新生成的威胁。该技术利用环境感知功能,可将存在风险的文件与安全文件分离开来,从而更快、更准确地检测出恶意软件。
SONAR技术使用人工智能和成熟的行为分析功能,能够检测出新出现的威胁和未知威胁。它会在文件执行时实时监控1000多种文件行为,以识别可疑行为,并删除恶意应用程序。为加强零日威胁检测,客户可将SONAR与Symantec Insight一起使用。
2.确保服务器和非Windows POS设备的安全
无论POS设备运行Linux、Unix操作系统,还是其他非Windows 操作系统,Symantec Critical System Protection都可以提供这些设备所需的强大防护功能。Symantec Critical System Protection是保护网络服务器以防复杂的多阶段攻击的理想解决方案。在多阶段攻击过程中,网络罪犯常常会将POS环境或相关公司网络中的服务器作为攻击目标。Symantec Critical System Protection 综合采用基于主机的入侵检测(HIDS)、主机入侵防护和沙盒等技术,主动强化服务器并阻止攻击。
Symantec Critical System Protection可以严格限制系统操作,并防止恶意进程的执行。它采用具有“默认拒绝”策略的应用程序白名单和受保护的白名单模式,提供允许在受限的沙盒中运行不在白名单中的应用程序这一功能选项。为抵御新的威胁类别,该解决方案使用了包括沙盒和过程访问控制(PAC)在内的全面IPS防护技术。
在数据中心和POS环境中,由于Symantec Critical System Protection对通过网络或互联网进行通信的需求有限,故而可以降低网络带宽消耗。该解决方案不仅可通过保护服务器和POS 设备不受攻击,以减少带外修补周期,并保护不受支持的早期系统,而且具备预定义的、有针对性的防护策略,因此对企业运营的影响微乎其微。
Symantec Web Gateway和赛门铁克网络安全云服务可抵御基于网络的威胁(如恶意软件和间谍软件),让客户在网关层面拦截新的和未知的恶意软件,使之无法到达端点,并可检测并自动隔离可疑行为。Symantec Messaging Gateway和赛门铁克电子邮件安全云服务可提供跨电子邮件平台的主动防护。
赛门铁克的解决方案可以确保POS环境的访问安全、网络通信安全和客户数据的安全,抵御内部和外部威胁。Symantec Data Loss Prevention会在持卡人数据的存储或使用位置(包括端点、数据中心和网络)进行发现、监控和保护操作。为防止数据使用不当或被盗,该解决方案可识别任何异常或反常活动,包括信用卡数据在不合适的数据存储区可疑的积聚,或不恰当地访问任何敏感数据。
多层安全防护
赛门铁克可提供全面的安全专业知识和广泛的解决方案,以保护信用卡持卡人数据的安全,抵御持续、复杂的网络攻击。在POS终端和Web自助服务终端上,赛门铁克可提供多层防护,以强化端点保护,抵御复杂的攻击,并可为服务器提供全面的安全保障,防止威胁渗透到网络中。赛门铁克的网关防护产品增加了更多防御层,可阻止试图通过电子邮件或 Web 攻击突破应用环境的企图,还凭借可拦截未经授权用户访问的基于云的双重身份验证服务、可对传输中的信用卡持卡人数据进行加密的安全套接字层 (SSL) 认证产品,以及可确保POS数据不会丢失或被盗的数据泄露防护技术,进一步抵御攻击。
赛门铁克的安全情报以赛门铁克全球情报网络为后盾,通过多种先进的检测功能(如 Insight、SONAR、Disarm和Skeptic技术)为解决方案提供支持。深入的安全专业知识加上诸多业界领先的解决方案,使得赛门铁克成为帮助客户保护POS环境以防当今复杂攻击的理想合作伙伴。