最近的卡片数据在SupervaLu和Albertsons零售链中违反了一系列最新的一系列高度安全事件,击中了目标,内蒙古马库斯,迈克尔,莎莉美女和P.F.张。这些违规是提高了很多问题,其中一个最重要的是:我们要看到更多这些吗?

短暂的答案是肯定的;在可预见的未来,我们将继续看到更多的违规行为。这就是为什么:

1. PCI DSS(支付卡行业数据安全标准)未能保护商家免受安全漏洞。在10年前创建的PCI DSS背后的原始想法是,我们拥有的更多商家是PCI兼容的,我们将看到的违规者越少。统计数据显示了确切的相反趋势:最近经验丰富的卡数据漏洞的大多数商家是PCI DSS兼容。问题是,在PCI DSS首次亮相的10年内,标准尚未进化以解决真正的威胁,而已经学习了所有销售点漏洞的黑客一直努力提高他们的恶意软件。

2.商家和服务提供商仍然没有广泛实现P2PE(点对点加密)技术,这是解决支付卡安全问题的唯一现实方法。尽管从支付安全社区的P2PE对P2PE有力支持,但只有四个解决方案提供商通过PCI P2PE标准进行认证,其中至少有两个位于欧洲。P2PE的问题是它是非常复杂和昂贵的,并且在所有事务点处理的软件和硬件变化中都需要非常广泛的软件和硬件变化 - 从商店中的POS(销售点)到数据中心中的后端服务器。

3.零售商介绍了新的付款硬件,包括平板电脑和智能手机,既不为危险零售商店环境所面临的安全问题也没有测试。 PCI DSS不会直接解决任何移动安全问题。

4.POS和Payment Software的更新和新功能开辟了新的风险。商家希望他们的软件中的更多功能才能保持竞争力。 POS软件供应商通过提供无尽的修补程序,提供现有功能的这些功能。复杂性建立起来,延伸了曝光区域,安全风险相应地增长。这些风险不一定通过不断更新的软件减轻。

5.易受攻击的操作系统使黑客更容易穿透网络并安装恶意软件。大多数POS系统在Windows操作系统上运行,一些零售商仍在使用Windows XP,自2014年4月8日起不支持Microsoft。我们不知道有多少“零日”漏洞在那里,但我们知道这些漏洞,即使他们被发现并发布,也不会得到修复。

6.许多卡数据泄露的痕迹往往导致俄罗斯。虽然所有这些攻击的主要动机可能仍然是金融的,但现代俄罗斯的反美主义也鼓励俄罗斯黑客以爱国主义的行为而不是犯罪的行为攻击美国的商家。这是一个与我们在几年前的不同之处的新现实。

7.最后,EMV技术,应该“保存”支付卡行业,不是银弹解决方案。虽然这是一个完整的单独文章的主题,但我们至少只是简要介绍了EMV问题,并了解为什么它不会带来完全救济。

(免责声明:本文中表达的观点和意见是我的,并不一定反映惠普的官方政策或职位。)

Slava Gomzin是Hewlett-Packard的安全和支付技术专家,以及书籍黑客销售的作者:付款应用程序秘密,威胁和解决方案(John Wiley&Sons,2014年2月)。他还有一个关于支付安全和技术的博客,Payappsec。在HP的角色,斯拉瓦有助于使用最新的安全和付款技术创建集成到现代支付处理生态系统的产品。在加入Hewlett-Packard之前,他是一名安全架构师,企业产品安全官员,研发和应用安全经理,Retalix的开发团队负责人,是NCR零售部门。作为PCI ISA,他专注于POS系统,支付应用程序和网关的安全性和PA-DSS,PCI DSS和PCI P2PE符合性。在进入安全之前,斯拉瓦在研发设计和实施新产品中,包括下一代POS系统和各种接口,以支付网关和处理器。SLAVA目前拥有CISSP,PCIP,ECSP和Security +认证。