應(yīng)用安全表現(xiàn)排名 零售業(yè)倒數(shù)第二

信息化觀察網(wǎng)
編譯
PCI合規(guī)性的“時間點”方法或許是許多零售商遇到困難的原因之一。 盡管主要的信用卡組織努力通過PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標準)來提高零售業(yè)的安全性,但是零售產(chǎn)業(yè)對于網(wǎng)絡(luò)安全所做的準備依舊落后...

PCI合規(guī)性的“時間點”方法或許是許多零售商遇到困難的原因之一。

盡管主要的信用卡組織努力通過PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標準)來提高零售業(yè)的安全性,但是零售產(chǎn)業(yè)對于網(wǎng)絡(luò)安全所做的準備依舊落后于其他產(chǎn)業(yè)。

第三方風險管理公司SecurityScorecard近期總共分析了零售產(chǎn)業(yè)的1444個域以及至少100個IP地址。該公司的研究人員對外部零售業(yè)IP進行了為期5個月的被動監(jiān)測來監(jiān)測漏洞。

這一行為表明在主要的產(chǎn)業(yè)部門中,零售業(yè)的應(yīng)用安全表現(xiàn)排名倒數(shù)第二。在18個行業(yè)的名單中,零售業(yè)最容易受到影響,排名第17位,僅超過娛樂產(chǎn)業(yè)。去年,該產(chǎn)業(yè)排名倒數(shù)第四,這意味著在過去的12個月內(nèi),產(chǎn)業(yè)在應(yīng)用安全的表現(xiàn)不僅沒有提升,反而下降了。

零售商在防御社會工程攻擊能力上排名墊底。SecurityScorecard的分析表明,相比于其它產(chǎn)業(yè),使用釣魚以及其它社會工程方法來竊取數(shù)據(jù)和實施欺詐的犯罪分子更有可能成功地攻擊零售業(yè)。

這些發(fā)現(xiàn)很重要,因為除了醫(yī)療、銀行和金融部門,犯罪分子更傾向于瞄準零售部門。近幾年,很多零售商都發(fā)生過數(shù)據(jù)泄露事件,上千萬甚至數(shù)億的付款卡信息遭到泄露。

Visa、Mastercard、American Express以及其他主要的信用卡組織都要求零售商實施一套改進的安全控制,用于保護處于閑置、使用中、存儲以及交易中的信用卡數(shù)據(jù)。PCI(支付卡行業(yè))安全標準也已經(jīng)成功地實行了數(shù)十年。

盡管一些零售商泄露數(shù)據(jù)后會面臨嚴厲的經(jīng)濟處罰,但是很多零售商也不會完全遵守這一標準。事實上,SecurityScorecard分析發(fā)現(xiàn)將近91%的零售商都存在一些問題,他們不大可能會遵循四個甚至更多的PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標準)。

零售商在PCI DSS Requirement 6(與應(yīng)用安全性相關(guān))的表現(xiàn)尤為糟糕。SecurityScorecard分析,有98%的零售商存在可能導(dǎo)致不合規(guī)的問題,其中91%的問題涉及Requirement 6的一部分,需要及時修復(fù)軟件和系統(tǒng)來應(yīng)對已知的安全漏洞。

SecurityScorecard合規(guī)負責人Fouad Khalil表示,他的公司認為當按照安全表現(xiàn)來對各個產(chǎn)業(yè)進行排名時,會帶來一些與應(yīng)用安全相關(guān)的問題。

Khalil表示,SecurityScorecard對零售領(lǐng)域被動監(jiān)控所發(fā)現(xiàn)的安全問題經(jīng)過權(quán)衡之后,能夠說明這一問題的嚴重程度。SecurityScorecard會使用行業(yè)認可的標準(如NIST的常見漏洞評分系統(tǒng)v2)來進行嚴重性排名。當已識別的問題沒有正式的嚴重性排名時,SecurityScore則會使用公認的權(quán)威和自己的內(nèi)部資源來確定問題的嚴重性。

“然后,這些經(jīng)過權(quán)衡的問題類型隨后被整合到用于檢測應(yīng)用程序安全性的因子評分中,”Khalil說道:“我們對美國的每個主要行業(yè)都重復(fù)了同樣的過程,當我們將零售行業(yè)的因子得分與其他行業(yè)進行比較時,這一產(chǎn)業(yè)就排在了倒數(shù)第二位。”為了決定是否遵守了PCI DSS應(yīng)用安全的要求,SecurityScorecard針對特定PCI要求的“違規(guī)測試指標”標記了這些漏洞。

SecurityScorecard在其報告中表示,PCI合規(guī)性的“時間點”方法可能是許多零售商在應(yīng)用安全要求和其他一些要求上遇到困難的原因之一。它不僅足以實現(xiàn)PCI委托的安全控制,而且還能持續(xù)維護它們,特別是在修復(fù)和應(yīng)用軟件更新等問題上。

SecurityScorecard使用了一個類似的流程來完成社會工程威脅的排名。在這種情況下,該公司研究了一些問題,包括零售員工使用他們的公司帳戶信息來注冊可以被利用的服務(wù),例如社交網(wǎng)絡(luò)、個人理財帳戶和營銷列表。此外,SecurityScorecard使用公開數(shù)據(jù)監(jiān)控員工的不滿意度,Khalil說道。與應(yīng)用程序安全性一樣,零售行業(yè)在這方面也與其他行業(yè)相比表現(xiàn)不佳。

根據(jù)SecurityScorecard的數(shù)據(jù),在這種情況下,零售業(yè)的勞動力通常都比較年輕,這可能是一個因素。網(wǎng)絡(luò)釣魚和社會工程騙局都以零售業(yè)的員工為目標,但是這些員工并不足夠了解以及認識到這些威脅。

原文作者:Jai Vijayan

THEEND

本月熱門