एक और लक्ष्य हमला

एक और लक्ष्य हमला
हालांकि लक्ष्य का क्रेडिट कार्ड सुरक्षा भंग बदसूरत हो रहा है, असली खतरनाक हिस्सा है, वे अकेले नहीं थे। कम से कम पांच अन्य प्रमुख खुदरा विक्रेताओं को भी उसी छुट्टी अवधि के दौरान मारा गया। जबकि अन्य हमलों में अभिलेखों की कुल संख्या लक्ष्य का दसवां अंश था, फिर भी हमलावरों ने एक ही तकनीक का इस्तेमाल करते हुए प्रति स्टोर 27,000 रिकॉर्ड प्रति रिकॉर्ड औसत चुरा लिया। स्पष्ट सवाल बन जाता है, & Ldquo; खुद को खुदरा व्यवसायों द्वारा इस विशिष्ट खतरे से कैसे बचाया जा सकता है?

हालांकि लक्ष्य का क्रेडिट कार्ड सुरक्षा भंग बदसूरत हो रहा है, असली खतरनाक हिस्सा है, वे अकेले नहीं थे। कम से कम पांच अन्य प्रमुख खुदरा विक्रेताओं को भी उसी छुट्टी अवधि के दौरान मारा गया। जबकि अन्य हमलों में अभिलेखों की कुल संख्या लक्ष्य का दसवां अंश था, फिर भी हमलावरों ने एक ही तकनीक का इस्तेमाल करते हुए प्रति स्टोर 27,000 रिकॉर्ड प्रति रिकॉर्ड औसत चुरा लिया।

स्पष्ट सवाल बन जाता है, & ldquo; खुद को खुदरा व्यवसायों द्वारा इस विशिष्ट खतरे से कैसे बचाया जा सकता है? & Rdquo; निष्पक्ष होने के लिए, भुगतान कार्ड उद्योग (पीसीआई) के अनुपालन मानकों की स्थापना की गई है जो हाल ही में दिए गए लोगों की तरह पॉइंट-ऑफ-सेल (पीओएस) के हमलों को विफल करने में खुदरा विक्रेताओं की सहायता करने के लिए डिज़ाइन किए गए हैं। तथापि, नियंत्रणों को ऐसे शब्दों में शब्दों में रखा जाता है जो व्याख्या के लिए खुले होते हैं और अक्सर व्यापक सुरक्षा नियंत्रण प्रभावी ढंग से लागू करने के लिए उनकी भाषा में स्पष्ट रूप से स्पष्ट नहीं होते हैं।

जबकि पीसीआई एक उत्कृष्ट शुरुआती बिंदु प्रदान करता है और इसमें कई पारंपरिक सूचना सुरक्षा सर्वोत्तम प्रथाएं भी शामिल हैं, केवल एक मानक के रूप में उम्मीद नहीं की जा सकती - कैनवास को पूरी तरह से सुरक्षित स्थिति में संचालित करने का क्या मतलब है एक संगठन के रूप में अन्य गतिविधियों की आवश्यकता है

उस अंत तक, यहां तीन अन्य बिंदु हैं जो खुदरा विक्रेताओं को न्यूनतम मानक से ऊपर और उससे आगे बढ़ाना चाहिए।

संबंधित: आपकी बौद्धिक संपदा सुरक्षित और ध्वनि रखते हुए

प्रत्येक पीओएस सिस्टम घटक अलग-अलग लॉक करें लेनदेन करने के लिए - एक पीओएस टर्मिनल या कलेक्टर का उपयोग केवल उस प्रयोजन के लिए किया जाना चाहिए। इसलिए हर दूसरे अनावश्यक सेवा और प्रक्रिया अक्षम होना चाहिए। उदाहरण के लिए, स्थानीय या रिमोट ऑपरेटर को इंटरनेट ब्राउज़ करने, ईमेल प्राप्त करने या किसी भी तरह की कार्रवाई करने में सक्षम नहीं होना चाहिए जो पीओएस कार्य करने के लिए सीधी कार्यात्मक आवश्यकता नहीं है। अगर टर्मिनल को इंटरनेट से कनेक्टिविटी की ज़रूरत होती है, तो विशिष्ट सेवा प्रोटोकॉल केवल उन लोगों को होना चाहिए जिनके पास सिस्टम छोड़ने की अनुमति है और ट्रैफ़िक को एन्क्रिप्ट किया जाना चाहिए।

समग्र नेटवर्क के लिए सॉफ्टवेयर की निगरानी करें। अगली पीढ़ी के सॉफ़्टवेयर समाधान हैं जो नेटवर्क यातायात को प्रभावी ढंग से कल्पना करते हैं, सर्विस प्रोटोकॉल द्वारा मशीन-टू-मशीन कनेक्शन को तोड़ते हैं और मशीन, सेवा या इंटरनेट गंतव्य द्वारा फ़िल्टरिंग की अनुमति देते हैं। उदाहरण के लिए, एक उत्तर-अमेरिकी-आधारित रिटेलर एक ही महाद्वीप से भुगतान प्रसंस्करण भागीदार का उपयोग करने वाला एक पोस टर्मिनल से आउटबाउंड कनेक्शन को रूस, चीन या ब्राजील जैसे स्थानों पर नहीं देखना चाहिए। यदि वे करते हैं, तो कनेक्शन को हटा दिया जाना चाहिए और सुरक्षा व्यवस्थापक को कनेक्शन शुरू करने वाली मशीन के बारे में सूचित किया जाना चाहिए।

संबंधित: क्यों आपका छोटा व्यवसाय एक हैक हमले का खतरा है

अनुप्रयोग-स्तरीय सुरक्षा प्रथाओं को लागू करें अनुप्रयोग सुरक्षा पीओएस वातावरण में सुरक्षा की एक बार अनदेखी की गई परत है। इस तरह के कार्यक्रमों को नवीनतम संस्करणों और पैच के साथ-साथ आंतरिक और बाहरी-इंटरफेस दोनों पर पहुंच के परीक्षण के साथ-साथ अद्यतित किए जाने के बाद, लंबे समय तक चलने वाले आंदोलनों को रोकने के लिए एक लंबा रास्ता तय किया होगा, लक्ष्य हमलावरों को एक छोटी राशि समय की। इन-हाउस के अनुप्रयोगों को विकसित करने वाली कंपनियां भी यह सुनिश्चित करनी चाहिए कि उन्हें हर छोटी रिहाई पर स्थिर और सक्रिय सुरक्षित कोड की समीक्षा करने से सुरक्षित रूप से तैयार हो जाएं। इसके अलावा, केवल अधिकृत सफेद-सूचीबद्ध एप्लिकेशन को चलाने और ठीक से पहचाने जाने की अनुमति दी जानी चाहिए।

हम एक ऐसे राज्य में आए हैं जहां भुगतान प्रणाली के खिलाफ साइबर हमला व्यापक, बड़े पैमाने पर, हानिकारक और शर्मनाक हो गए हैं। पिछले दशक के बोर्डरूम तर्कसंगतता अब व्यापार की लाभप्रदता या उत्तरजीविता की सेवा नहीं करता है जोखिम को केवल बीमा जैसे कि पहले कभी भी स्थानांतरित नहीं किया जा सकता है - कम से कम सद्भावना, ग्राहक-आधार विश्वास और भविष्य में खो राजस्व के बिना गंभीर क्षति के बिना सुरक्षा नियंत्रण सार्थक हैं और अगली पीढ़ी के लोग अब सिर्फ एक आवश्यक बुराई नहीं हैं वे मुनाफे की रक्षा के लिए जरूरी व्यवसाय सहयोगी हैं और emsp;

संबंधित: सोचें चीन हैकिंग के लिए नंबर 1 देश है? फिर से विचार करना।