近日，安全媒體Tripwire組織了一場“支付卡行業信息泄露和網絡威脅概況：真實世界網絡攻擊和信用卡數據保護”的線上播報。

布萊恩·赫南是一名信息系統和網絡安全專家，也是歐洲刑警組織網絡犯罪中心(EC3)在信息泄露調查方面的互聯網安全顧問團成員。他對新的支付卡行業數據安全標準3.0的重要性，以及怎樣利用此合規標準保護企業自身免遭安全侵入提出了一些看法。

日漸增加的網絡犯罪損失部分反映了各國信息泄露事件披露政策在立法上的不同。比如說，美國有強制披露的法案，而歐盟則沒有。受信息泄露影響的歐洲公司，如TK Maxx、Loyaltybuild、Stay Sure和CEC Bank，因而沒有義務向其用戶通告信息泄露事件。這種透明度的缺乏有可能限制受影響公司在有助于及時響應信息安全事件的監測方法上的投入動力。

2013歐洲刑警組織重大有組織威脅評估報告顯示，“網絡犯罪全球掘金已升至高達3萬億美元，比大麻、可卡因和海洛因三者相加的收益還高。”

為了了解在安全漏洞檢測和響應上的差別，Tripwire組織參與者發起了一個線上調查以更全面地了解公司對信息安全漏洞的準備度。

參與調查者認為要檢測出安全漏洞要花去他們多少時間。答案多種多樣，但最令人不安的是37%的受訪者說自己根本沒有自信能夠檢測到信息安全漏洞。

這一結果并不新鮮。威瑞森2014數據泄露調查報告中就曾揭露過，數據泄露通常在攻擊者成功滲透系統后的幾秒或數分鐘內就發生了。攻擊者可在攻入系統后僅僅數分鐘內就開始往外搬運數據。

與攻擊者的快速相對應的是，往往要在泄露事件發生至少數周后才能檢測到數據泄露。這給攻擊者留下了足夠的時間對獲取到的客戶資料為所欲為。

即使那些事實上已經發現的信息泄露事件中，也有很多并不是由公司自身發現的。實際上，威瑞森99%的案例研究里，受影響的公司都是被第三方告知的——執法機構或跟進支付卡欺詐報案的金融機構，有些案例中甚至是受信息泄露侵害的客戶告知的。

威瑞森還發現，2011至2013年間，45%的零售業信息泄露事件是由于攻擊者利用了公司PoS設備的不安全配置造成的。基于我們的網絡廣播調查中只有一半的人回復稱自己有信心對自身PoS設備進行安全配置的事實，威瑞森的這一發現尤其令人憂慮。

顯然，計算機罪犯們對盜取客戶支付卡信息很感興趣， 這很好地解釋了我們今天看到的信息泄露案件的上升趨勢。由此引發一個疑問：我們該怎樣做才能保證公司不屈從于大范圍支付卡失竊?

答案與合規有關。信息保護策略是為保證敏感信息不被侵害而生的。這種情況下，符合所謂的《支付卡行業數據安全標準》(PCI DSS)，能有助于保護客戶的支付卡信息。

誠然，各家公司在對合規的理解上各有不同。有些公司將合規視為復選框，僅僅為了通過安全審計好繼續開展業務而實行安全控制。正如我之前在一篇博文中討論的，這種態度或方法多半就是采取一種廉價的解決方案進行合規，以犧牲公司安全性的改善為代價。因此，以“復選框”形式進行信息安全合規的很多公司成為受大型安全事件影響的重災區也就毫不奇怪了。

需要說明的是，一套全面的合規方法并不能阻止攻擊者滲透進公司網絡。相反，如不斷增加的信息泄露事件所呈現的，攻擊者始終能找到突破的方法是個不爭的事實。PCI DSS所能做到的就是增加公司的檢測率和縮短安全事件響應時間。

有能力從公司網絡中快速檢測和踢出攻擊者可以使公司在一周內恢復正常業務。參考2013年塔吉特百貨公司百萬客戶數據泄露事件導致該公司承擔數百萬美元賠款，迅速恢復業務不失為一個更好的結果。

如今的威脅局勢使得所有公司努力達到持續符合PCI DSS規程成為必需。對于剛剛踏上合規之路的公司，可以從信息安全在線教育視頻中學習更多知識，包括一些PCI3.0里面的新要求。

原文地址：http://www.aqniu.com/news/7233.html