支付卡行业数据安全标准(PCI DSS)的主要目标是保护信用卡上的机密用户信息。
因此,考虑到过去几周的新闻,一个明显的问题是,零售商Target的大规模入侵是否可以避免,或者至少在不到19天的时间里被发现(据报道,入侵从11月27日持续到12月12日)。15),如果公司已经遵守最新的标准更新,即PCI DSS 3.0,从1月1日起生效,但将不要求完全遵守,直到2015年年初。
据几位专家说,不太可能,尽管标准的第9.9条要求组织对其销售点(PoS)终端进行物理保护。要求5也可以适用;它要求组织保护其所有系统不受恶意软件。
正如塔吉特公司首席执行官格雷格·斯坦豪费尔在最近对各大电视网的“道歉之旅”中所承认的那样,该公司的PoS系统已经感染了恶意软件。
尽管如此,专家表示,新标准可能不会改变结果,在目前调查尚未完成的情况下,不可能确定。安全行业的口头禅仍然是:“不存在100%的安全。”
NTT Com安全评估服务主管Chris Camejo说:“需求5在2.0版本中已经存在,在3.0版本中几乎没有什么变化。”他指出,具有编程能力的攻击者很容易编写不会被反病毒软件检测到的定制病毒——即所谓的“零日攻击”。
他说:“那些被定制恶意软件攻击的目标将不得不更多地依赖于他们通过网络监控检测和响应攻击本身的能力,而不是依赖于杀毒软件或ip阻止未知定制攻击代码的能力。”
Camejo和其他人也表示,9.9要求不会有帮助,因为似乎没有对Target的PoS设备进行物理篡改。他说:“恶意软件可以在网络上传播,而不需要与PoS机进行物理交互。鉴于塔吉特百货公司遭受的攻击规模,我怀疑这次攻击主要或完全是通过网络进行的。”
Aite集团的分析师Julie Conroy也认为遵从PCI DSS 3.0可能不会有帮助。她说:“保护系统免受恶意软件的攻击已经是大多数零售商,尤其是大型零售商正在努力做的事情。”“考虑到受到影响的系统范围之广,对目标的攻击似乎相当复杂。”
高德纳公司(Gartner)面向技术专业人士的安全和风险管理研究总监安东·楚瓦金(Anton Chuvakin)博士说,这是不可能的。“任何声称‘如果他们买了我们的东西,或者遵守了我们的东西,就不会发生违约’的人,很可能都不是100%诚实的,”他说。
“具体来说,我们不知道他们是否在PoS设备上安装了杀毒软件,我们也不知道,但我们怀疑,攻击者需要物理访问。”
Camejo说,更新后的标准中唯一可能有所帮助的是要求6.5,它要求应用程序开发人员考虑如何在内存中处理卡片数据。
他说:“这并不是Target能做的事情,而是PoS供应商必须做的事情。”虽然Target似乎受到了大部分抨击,但我更倾向于责怪PoS供应商开发的平台无法安全地处理内存中的持卡人数据,而且没有足够的内部检查来防止篡改。”
换句话说,PCI DSS 3.0将不会使行业防弹。但专家们普遍认为,遵守它将提高该行业的安全性,尽管它更像是一种“进化”,而不是“革命”。
实际上,在PCI DSS 3.0摘要中列出的98个项目中,74个被描述为“澄清”,而只有19个是“不断变化的要求”,5个是“附加指南”
然而,该标准最重要的元素之一是将遵从性变成日常事件或业务照常(BAU)的主题,而不是为了遵从审计而进行的年度“检查”。
Bit9的合规顾问克里斯托弗•斯特兰德(Christopher Strand)表示:“PCI-SSC(安全标准委员会)希望鼓励企业进入一种积极主动的状态,在这种状态下,企业可以更好地控制其范围内资产。”。
“过去的遵约往往是被动的,因为遵约通常是为了履行年度或时间点的义务或审查。现在,在新版本的标准下保持兼容的唯一方法是确保您的安全堆栈能够让您充分了解环境,并能够主动实时审核端点和网络是否存在偏差。”
标枪战略与研究公司(Javelin Strategy&Research)高级分析师帕斯夸尔(Alphonse Pascual)说:“这些指导方针并不是每个人的全部。”没有完美的安全保障,在官僚主义问题上,你只能尽力而为。”
Chuvakin补充说,这次更新包括,“大量新的关注不仅集中在政策和购买工具上,而且集中在开发实际的操作过程和实践上,以使其真正成为BAU。”
康罗伊说,这不应要求大幅增加支出,也不应提高公司产品和服务的成本。”PCI 3.0旨在使合规性更多地体现在日常业务实践中,其基本要素是程序性的——许多都不需要大量的IT投资,”她说,并补充说,一家大型医疗保险公司的CISO告诉她,最新的标准将是,“对他的组织来说,几乎是一个非事件,因为它已经做了所需的大部分工作。”
Camejo只是许多人指出,合规成本远低于对违约,罚款的潜在成本,可以每月数万美元,或重大违约的成本,容易遇到数亿,TJX的病例(2.56亿美元),索尼(1.71亿美元),和哈特兰支付系统(1.4亿美元)。
他说:“目前估计,每张被攻破的卡的损失在200到300美元之间。”这意味着塔吉特公司的最低损失可能高达80亿美元。
其他更重要的新要求或订正要求包括:
PoS终端的物理安全性
“这是一个大问题,”丘瓦金说,但他补充说,“也非常需要额外的环境安全指导。”
卡梅霍同意这一点,但他说,这“属于他们本来就应该做的事情的范畴”。
显示与持卡人数据连接的内容及其流经系统的流程的网络图
Camejo说,这里看似细微的变化实际上是非常重要的,因为它扩大了标准所涵盖的范围。以前,它包括任何存储、处理或传输持卡人数据的东西。3.0版补充说,任何与持卡人数据有关或可能影响持卡人数据安全的内容也在范围内。
“那些一直在偷工减料的机构——无论是出于故意还是出于无知——将面临更艰难的时期。”
而丘瓦金说,即使对一些商家来说很难做到,“它确实让你看到了卡数据在哪里移动,如何移动,何时移动。”
钢笔测试,包括验证分割是否有效
丘瓦金说,这应该会提高安全性,因为“因为很多劣质的笔试都是卖的,基本上都是一个有漏洞扫描器的家伙。”
Camejo说,他认为对分割的确认要求是“一件大事”。组织经常会出现细分错误,这将有助于确保他们做得正确。”。
加强密码策略、令牌和证书
“我认为这是最有价值的要求之一,”康罗伊说。“目前发生的大部分数据泄露都是由糟糕的密码造成的。这是一种简单、低成本的方法,可以消除当前的许多漏洞。”
此次更新并没有涵盖所有内容。Bit9的Strand表示,他希望看到解决的其他领域包括加密密钥管理和分类,以确保和监控远程、安全和管理访问;更严格地审查访问管理,以防止内部威胁和恶意外部攻击;更好地保护PoS设备等资产。
但帕斯夸尔说,总的来说,他看到了更新的真正价值。”他说:“过去一年,我们看到了一些重大的漏洞,这些漏洞本可以通过改革避免。”每一个变化都与企业面临的威胁环境有关。”
在Target和Neiman Marcus等其他零售商的违规行为发生后,也有相当多的讨论,讨论美国为何没有转向EMV(Europay、MasterCard和Visa)技术,该技术使用计算机芯片,需要一个PIN,而不是磁条,并被认为是更安全的。
专家们对此看法不一。康罗伊说,这样的改变不是PCI标准的作用。她表示:“信用卡网络正在单独处理这个问题,试图将其作为DSS的一部分来处理,将使事情变得过于复杂。”
Chuvakin称之为“一个不成功的”,并称这不一定是现代社会的明智目标,因为“它对电子商务卡欺诈和盗窃毫无帮助。”
Camejo还说,美国消费者应该谨慎对待他们的愿望,因为EMV给消费者带来的责任负担比银行或商家更多。他说:“对于任何与EMV完成的交易,消费者都要为欺诈损失负责,除非他们能证明自己不对交易负责。”
他还说,PIN系统存在漏洞,在美国转移到EMV将花费巨大。
但Strand说,向EMV技术的转变已经开始,“缓慢但肯定”。
最后,专家强调,更新并不意味着PCI DSS3.0解决了所有当前威胁。
康罗伊说:“我认为,由于威胁环境变化的速度之快,我们永远不能说这些威胁是‘最新的’。”“PCI 3.0确立了一些重要的基本实践,企业应该实施,但它不应该被视为万灵药。”
Chuvakin同意了。该标准定义了一个基本的安全级别,而不是绝对的最高安全级别。想想安全地板,而不是天花板,”他说。
但他认为,合规有真正的价值,即使它无法跟上不断演变的、复杂的威胁形势。他说:“我在等待一个漏洞,它影响了一家真正重视PCI DSS的公司,一切都做得很好。”“这根本不会发生。
“许多人对几年前SSC上有人提到的‘没有哪家遵守pci的公司被攻破’的说法感到愤怒,但我确实相信这一点。”
这篇文章“PCIDSS3.0是一个进化,而不是一场革命”最初由方案 。