塔吉特(Target)入侵调查的最新细节,引发了人们对该零售商为访问其合作伙伴门户网站和计费系统的第三方供应商所采取的安全措施的质疑。
另外,该信息由博客披露KrebsOnSecurity透露目标攻击开始于针对外部供应商的网络钓鱼攻击中携带恶意软件的电子邮件,该供应商使用了一个免费的反病毒软件进行保护。超过1.1亿消费者的信用卡和个人数据在去年年底塔吉特的电子收银机被盗。
由于入侵始于外部供应商,安全专家询问该公司是否过多地访问Target的系统,以及该零售商是否正确地将称为销售点(POS)系统的寄存器与网络的其余部分隔离。
+也在网络世界足球竞猜app软件2014年最严重的安全漏洞+
据报道,黑客窃取了供应商Fazio机械的登录凭证,该公司是一家供暖、空调和制冷公司。据KrebsOnSecurity报道,这些证书可能提供了访问Target外部计费系统Ariba以及项目管理和合同提交门户Partners Online的权限。
这样的门户通常与公司网络的其他部分分开,以防止恶意软件触及敏感信息。只有熟练的黑客才能找到绕过这种网络分割的方法。
Gartner分析师Anton Chuvakin表示:“从采购门户到持卡人数据环境还有很长的路要走。”
KrebsonSecurity报告说,目标门户可能已经与称为Active Directory的Microsoft软件集成,后者对Windows网络的所有登录进行身份验证。如果黑客侵入了该目录,那么他们可能已经找到了进入网络其他部分的方法。
另一种可能性是,塔吉特给了供应商太多的网络访问权限,这可能被黑客利用。Chuvakin说,如果是这样的话,那么“塔吉特公司就应该受到谴责”。
支付卡行业安全标准委员会(PCI SSC)规定了零售商接受借记卡和信用卡必须遵守的标准,要求公司限制和监控对外部供应商的网络访问。如果塔吉特被发现违反了PCI SSC的规定,那么零售商将承担违约造成的损失,以及巨额罚款。
尽管法齐奥早些时候表示,公司采用了“行业做法”来确保安全,但KrebsonSecurity援引Target公司未具名调查人员的话称,公司阻止恶意软件进入内部系统的主要防御手段是免费版的Malwarebytes反恶意软件。
这将给法齐奥带来两个问题。首先,免费的反病毒版本仅供消费者使用,这意味着它违反了Malwarebytes的许可证。其次,该软件不提供对恶意软件文件的实时扫描。
Chuvakin说:“将免费的反病毒软件作为企业唯一的恶意软件防御手段并不是行业的最佳做法。”
不过,Gartner的分析师彼得•Firstbrook表示,在企业环境中发现Malwarebytes并不罕见。
“Malwarebytes经常在我们的大企业客户中使用,但主要是用于删除恶意软件,而不是作为第一道防线,”他说。“赛门铁克、麦卡菲、趋势科技、卡巴斯基和Sophos等传统AV厂商更为常见。”
就捕获恶意软件的能力而言,反病毒软件的免费版本通常和来自同一供应商的付费版本一样有效,因为它们的签名是相同的。
咨询公司Bishop Fox的高级安全分析师Candis Orr说:“当谈到免费和付费的反病毒软件时,主要取决于用户想要的功能、管理能力和更新频率。”一个付费的企业级杀毒软件将拥有所有这些特性,而一个免费的杀毒软件将在一个或多个方面缺乏这些特性。
这个故事,“专家质疑安全使用的目标漏洞”最初发表方案 。