最近Target和Neiman Marcus的数据泄露再次表明,遵守支付卡行业数据安全标准(PCI-DSS)并不能保证不被入侵。
目前尚不清楚的是,问题是在于标准本身,还是在于标准的实施和评估方式。
内曼•马库斯周四,又有一家公司表示,遵守PCI标准并没有给它带来多少好处安全防止重大入侵。
内曼·马库斯首席信息官迈克尔·金斯顿(Michael Kingston)在给美国参议员理查德·布卢门塔尔(Richard Blumenthal)的一封信中解释了最近110万张支付卡被泄露的原因,他在信中称,尽管公司的安全措施超过了PCI标准,但还是发生了这次入侵。
目标,上个月披露数据泄露这暴露了4000万人的信用卡数据,据信在入侵时也符合PCI标准。
其他几家在最近几年遭受重大数据泄露的公司也声称,尽管它们被认证为符合PCI标准,但还是遭到了泄露。
安全分析师和研究人员对可能发生的情况有不同的看法。
Visa、MasterCard、American Express和其他主要信用卡协会几年前成立了PCI,目的是让公司采用一套安全控制措施来处理信用卡和借记卡数据。多年来,尤其是零售业,据信已花费数十亿美元实施PCI要求,并在强制性第三方合规性评估方面花费数十亿美元。
像Target和Neiman Marcus这样的公司尽管坚持PCI,却以如此惊人的方式受到了损害,这让许多人感到恼火。
研究公司高德纳(Gartner)的分析师阿维娃利坦(Avivah Litan)说,这些漏洞“凸显了PCI和安全行业的弱点”。例如,根据Litan的说法,PCI标准中没有任何东西可以在入侵发生之前帮助目标检测和阻止入侵。
她说:“PCI确实要求检查恶意软件,但典型的反恶意软件产品都找不到目标恶意软件,而且PCI也不要求开始出现的下一代反恶意软件安全。”。
利坦说,其中一些问题可能与评估遵守情况的方式有关。大多数评估是使用以前已知的攻击向量和威胁来完成的。公司在应对新威胁方面的准备程度没有得到评估。”这就是为什么我们需要一个新的模式和支付系统内更强大的安全性,”利坦说。
独立PCI顾问James Huguelet说,PCI标准最大的问题是它不要求公司对动态数据进行加密。虽然标准要求对静止的数据进行加密,但是在整个事务处理链中对活动的数据没有这样的要求。
Huguelet说:“这导致了一个活跃的交易路径上的许多点,犯罪恶意软件可以在信息经过的时候‘监视’这些信息,而这些信息似乎是在目标位置发生的。”。最好的方法是要求所有持卡人的数据在一路刷卡时都要加密,直到它到达商户的银行进行处理。
“这将使商家的整个零售基础设施摆脱支付犯罪的枪口。根本就不会有任何可能从零售商那里窃取的支付数据,”他说。
Huguelet说,这种端到端加密可能代价高昂,但这是一次性成本,肯定会推动零售安全的真正和持久的改善。
SANS研究所新兴技术主管John Pescatore说,这些漏洞指出PCI实现失败,而不是标准本身缺乏控制。佩斯卡托雷说,标准中有很多东西应该能让Target和Neiman Marcus在入侵过程中捕捉到入侵,或者找到并阻止入侵者进入网络的路径。
“做正确的担保不是小事。但问题并不是在PCI DSS或其他标准中缺少一些要求事实上,试图将攻击特定需求塞进标准会适得其反。这毫无意义。”
PCI流程中需要更改的部分是合规性评估流程,Pescatore说。
验证公司合规状况的认证安全评估师往往做得不够好。”实施或过程失败应该由每年进行评估的评估人员发现,或者由每季度的漏洞扫描发现但年度评估往往抓不到太多漏洞,季度漏洞扫描也不够频繁。”
负责管理该标准的PCI安全委员会没有立即发表评论。
这篇文章,在塔吉特,内曼马库斯违反,PCI合规意味着什么?,最初发表于计算机世界网。
贾库马尔·维贾扬涵盖计算机世界的数据安全和隐私问题、金融服务安全和电子投票。在Twitter上关注Jaikumar@jaivijayan或订阅Jaikumar的RSS提要。他的电邮地址是jvijayan@computerworld.com。
阅读有关数据安全的更多信息在计算机世界的数据安全主题中心。
这个故事,“在Target,Neiman Marcus违规之后,PCI合规是否意味着什么?”最初由计算机世界 。