Video: Автоматизация торговли сканеры штрих кодов принтеры чеков этикеток - какие с ними проблемы возникают (November 2024)
Decembra 2013 je Target priznal, da je heker pridobil dostop do več kot 70 milijonov številk svojih kreditnih in debetnih kartic za stranke prek sistema prodajnih mest družbe (POS). Eden največjih kršitev podatkov v zgodovini ZDA je Hack Target stanil direktorju podjetja in CIO njihova delovna mesta.
Na žalost vseh, ki so vpleteni, bi se hacku lahko izognili, če bi samo izvajalci Target v svojem sistemu FireEye anti-malware uvedli funkcijo samodejnega izkoreninjenja. Orodje FireEye je novembra istega leta ujelo kodo zlonamerne programske opreme in jo je lahko zbrisalo iz Targetovega omrežja, preden bi kateri koli od teh podatkov bil okraden.
Čeprav še vedno ni jasno, kako je heker okužil Targetovo mrežo z zlonamerno programsko opremo, obstaja veliko načinov za izkoriščanje POS sistema podjetja. Za mala in srednje velika podjetja (SMB) so grožnje še večje in obilnejše, kot jih predstavljajo velika podjetja. To je zato, ker večina malih in srednjih podjetij nima sredstev, da bi ustvarila potrebne varnostne omejitve, da bi hekerje obdržali (ali da bi napadli, če hekerji napadejo svoje sisteme)., preučili bomo osem najboljših ranljivosti za varnost POS, ki danes grozijo malim in srednjim podjetjem. Povedali vam bomo ne le, na kaj morate biti pozorni, ampak tudi, kako ostati varen.
1. Prodajalci, ki upravljajo ključe Encyption brez varnostnega modula strojne opreme
Tukaj je naslednja težava: Če vaše podjetje shranjuje šifriranje na istem mestu, kjer hrani uporabniške podatke, vsa svoja jajca odložite v eno krhko košarico. Če pa podatke šifrirnega ključa fizično hranite ločeno od uporabniških podatkov, heker, ki dobi dostop do uporabniških podatkov, ne bo imel dostopa do podatkov šifriranja.
Varnostni modul strojne opreme je fizična naprava, ki shranjuje vaše šifrirne podatke. To napravo lahko priključite neposredno na svoje računalnike ali strežnike, da dostopate do POS podatkov, ko jih naložite v svoje omrežje. To je še en korak pri nalaganju vaših podatkov, vendar ni tako težko kot razložiti pravnemu svetovalcu vašega podjetja, zakaj so podatki vaših strank v rokah nekoga drugega.
2. Poslovna omrežja z nesegmentiranimi POS podatki
Če vaše podjetje uporablja svoje poslovno omrežje za pošiljanje sistemskih in varnostnih posodobitev v podatkovna okolja in naprave POS, ogrožate svoje podjetje. V tem primeru, če heker pridobi dostop do vašega omrežja, je dobil tudi dostop do vseh vaših POS podatkov.
Podjetja z globokimi žepi in strokovnjaki za IT ločujejo ti dve mreži in ustvarjata majhne poti od poslovnega omrežja do podatkovnega okolja POS, da bi lahko naredili sistemske spremembe. To je različica sistema Fort Knox za varnost POS. Vendar je konfiguracijo neverjetno težko in drago. Tako se manjše organizacije pogosto dogovorijo za omogočanje večfaktorne overitve (MFA) iz poslovnega omrežja na POS napravo. To ni sanjski varnostni scenarij, vendar je najbolj varna možnost, ki je na voljo za skromna podjetja.
Še ena pomembna opomba: Kavarne in restavracije, ki strankam ponujajo Wi-Fi, morajo poskrbeti, da njihove POS naprave ne bodo povezane v isto omrežje. Ko se heker usede, srkne latte in dostopi do vašega Wi-Fi-ja, lahko potem najde pot v vaše podatkovno okolje POS.
3. Deluje v starih operacijskih sistemih
Vsi ne želijo posodobiti sistema Microsoft Windows 10. Razumem. Dobro, če pa še vedno uporabljate staro različico sistema Windows, se sprašujete. Microsoft je končal podporo za Windows XP leta 2009, za Microsoft Windows Vista v letu 2012 in za Microsoft Windows 7 v letu 2015, in bo končal podporo za Microsoft Windows 8 v letu 2018. Če ste Microsoft zaprosili za razširjeno podporo, boste varno vsaj pet let po prenehanju mainstream podpore. Če podpore niste razširili ali je razširjena podpora zamrla (tako kot pri operacijskem sistemu Windows XP), je pomembno upoštevati, da Microsoft ne bo več dodal varnostnih popravkov, da bi odpravil težave, ki se pojavljajo v operacijskem sistemu (OS). Če bodo hekerji našli vhodno točko v programsko opremo, bodo izpostavljeni podatki POS.
4. Privzeta gesla proizvajalca
Čeprav ste čarovnik za številke, ki si lahko zapomni zapletena gesla proizvajalca POS naprav, je neverjetno pomembno, da geslo spremenite, ko napravo priključite na svojo programsko opremo. To je zato, ker so hekerji znali potegniti sezname teh gesel iz omrežij proizvajalcev in jih izslediti do vaših naprav. Tudi če ste sprejeli vse previdne ukrepe za varovanje svojih podatkov, še vedno puščate vrata hekerjem odklenjena.
5. Lažne naprave
Poskrbite, da ste partner s podjetjem, ki ima trden ugled. V nasprotnem primeru boste morda zaključili z goljufivim POS sistemom, ki je v bistvu igra za vaše podjetje in podatke o vaši stranki. Z neposrednim dostopom do kreditne kartice stranke lahko ti prevaranti črpajo podatke, ne da bi vi ali stranka vedela, da je šlo kaj narobe. Ti stroški kupcu preprosto povejo, da transakcije ni mogoče dokončati, kar naročniku verjame, da obstaja težava s njegovo kreditno kartico ali da je težava z vašim zadnjim sistemom. V resnici stroj preprosto vleče podatke stranke, ne da bi bil kdo modrejši.
6. Zlonamerna programska oprema prek lažnega predstavljanja
Pomembno je, da svoje zaposlene opozorite, da ne odpirajo sumljivih e-poštnih sporočil. Hekerji vdelajo povezave v e-pošto, ki jim omogoči dostop do računalnika zaposlenega. Ko heker prevzame nadzor nad napravo, lahko krmili po omrežju in vaših strežnikih, da pridobi dostop do kakršnih koli podatkov. Če imate srečo, da svojih POS podatkov ne hranite v istem omrežnem okolju, vam še vedno ni jasno, saj lahko hekerji oddaljeno dostopajo do POS naprave, ki je povezana z ugrabljenim računalnikom.
7. Strganje RAM-a
To je staromodni napad, ki še vedno nekoliko ugrizne. Strganje z RAM-a je tehnika, s katero napadalci odtrgajo podatke s kreditne kartice iz pomnilnika POS naprave, preden se šifrirajo v vašem omrežju. Kot sem že omenil, bi moralo vaše POS sisteme izolirati od vaše poslovne mreže omejiti tovrstne napade (glede na to, da imajo hekerji na vstopnih mestih POS naprav manj kot v vaše podjetje). Vendar pa morate zategniti tudi požarne zidove svojega podjetja, da zagotovite, da POS sistemi komunicirajo samo z znanimi napravami. To bo omejilo načine, kako lahko hekerji dostopajo do podatkov na vaših POS napravah, tako da jih prisilijo, da ugrabijo računalnike ali strežnike v vašem omrežju, da strgajo RAM.
8. shujanje
To je enostavno zanemariti, saj zahteva varnost na terenu, da zagotovite, da nihče ne bo skrbno obdeloval vaših POS naprav. Skimming v bistvu zahteva od hekerjev, da na POS napravo namestijo strojno opremo, ki jim bo nato omogočila skeniranje podatkov o kreditnih karticah. To lahko storite tudi z zlonamerno programsko opremo, če niste upoštevali prejšnjih korakov. Če imate več podružnic, je ključnega pomena, da spremljate, kako in kdo uporablja vaše POS naprave.
