目标数据泄露解决方案为行业安全标准设置了一个较低的门槛

和解中阐明的术语可能会鼓励某些人改善数据安全性,但它们无助于提高响应速度。

针对2013年目标数据泄露的多州解决方案概述了企业应采取的安全措施,以免被发现与客户数据无关。问题是,解决方案还远远不足以提高组织的安全性。对于积极主动的公民社会组织,和解应表明最低限度,而不是他们应追求的目标。

Strategy Cyber​​ Ventures的首席执行官兼趋势科技的前CSO汤姆·凯勒曼(Tom Kellermann)称这些术语为Target的“腕上之击”,并称其不足以集中于阻止攻击者而不是提高响应能力。现代安全性需要集中精力减少检测到入侵之间的时间间隔,并使攻击者更难以执行其操作。尽管网络分段和两因素身份验证会减慢攻击者的速度,但大多数术语本质上仍具有防御性。

凯勒曼说:“它们(和解条件)代表了昨天的安全范例。”

简要回顾一下,犯罪分子从第三方HVAC供应商那里窃取了凭证并获得了Target网络的访问权限,然后在2013年假期购物旺季即将来临之前,通过窃取数据的恶意软件感染了支付系统。以及大约4000万消费者的借记卡信息,以及7000万人的个人身份信息(PII)。虽然Target的安全系统已检测到漏洞,但没有人了解警报的意义或采取了相应措施,从而导致了大规模的数据泄露。

值得赞扬的是,自那时以来,Target加强了其安全状态并进行了重大改进,业内许多人称赞零售商为如何从数据泄露中恢复的好例子。该和解方案使Target公司有180天的时间来“制定,实施和维护全面的信息安全计划”,但是大多数用语是指零售商已经采用的变更。

“与Target达成的和解协议为处理支付卡并维护有关其客户的安全信息的公司建立了行业标准,” 伊利诺伊州总检察长 丽莎·马迪根(Lisa Madigan)在一份声明中说。

对行业标准的引用表明,将来与违规相关的诉讼可能会使用“目标和解”来证明组织在保护个人信息和其他敏感数据方面做得还不够。该解决方案重申了一些基础知识,例如拥有全面的安全程序,对网络进行分段以及对敏感网络和数据实施更严格的访问控制策略。

“所有存储有价值数据的组织都需要实施全面的安全计划,其中包括持续的风险评估以及负责并积极参与该计划的负责人,” Bay Dynamics战略副总裁史蒂文·格罗斯曼说。

洗衣清单

目标公司同意加强其数字安全性, 包括:

  • 制定并维护全面的信息安全计划
  • 维护软件和加密程序以保护人们的个人信息
  • 将持卡人数据与其他计算机网络分开
  • 严格控制谁可以访问网络
  • 定期请独立且合格的第三方对其安全措施进行定期,全面的安全评估。
  • 雇用一名执行官来运行其新的安全程序,并担任CEO和董事会的安全顾问。

其他必须具备的保护措施是针对支付系统和“持卡人数据环境”的:

  • 列入白名单以检测并阻止未经授权的应用程序在支付系统和服务器上执行
  • 文件完整性监控
  • 更改管理以检测对应用程序和操作系统的未经授权的更改
  • 记录和监视所有安全关系信息以及试图连接到敏感网络的设备。

这些听起来都不是特别先进。实际上,网络分段是IT最佳实践,公司应该已经在做。很高兴最终看到一个要求对个人,管理员和供应商帐户进行两因素身份验证的授权。必须对卡信息进行加密这一事实是“支付卡行业数据安全标准”(PCI-DSS)要求的基本组成部分,并且仅重申加密必须成为所有全面安全计划的核心。该和解还提醒Target,它必须跟上补丁和软件更新的步伐。

“目标公司应做出合理的努力,以在其网络上维护和支持该软件,并考虑到目标公司的整个网络及其持续的业务和网络运营情况下,更新对数据安全的影响以及所需的资源范围。解决与寿命终止有关的软件问题。”

缺少了什么

考虑到最初的违规行为来自第三方供应商,解决方案模糊不清,企业应如何针对其合作伙伴和承包商进行“除必要时制定,实施和修订基于风险的书面政策和程序,以审核供应商合规性”现有的安全策略。要求承包商和供应商进行两步验证会有所不同,但企业需要更清楚地了解第三方对环境造成的其他风险。

圣塔菲集团共享评估计划的高级副总裁查理·米勒说:“至关重要的是,外包商必须了解第三方在执行哪些服务,实施了哪些控制措施,并验证这些控制措施是否有效。”企业需要具有流程,以确定在引入第三方时适合哪种受限访问和安全控制。

和解协议还讨论了渗透测试和其他评估安全措施的方法,但是它并没有要求进行连续评估。 “使用渗透测试评估风险的建议还不够,” SafeBreach的首席执行官兼联合创始人Guy Bejerano说。企业无法依靠每年一次或定期的渗透测试来了解所有威胁,因为总会发现新的漏洞,并且正在开发新的攻击工具。

公民社会组织需要监督和运行安全计划,并向CEO和董事会提供建议,但是和解协议并未要求将个人报告直接提交给CEO和董事会,这是一个遗漏。在许多企业中,CSO尽管是C级高管,但并未直接向CEO汇报,因此被改组 在CIO下,CTO甚至合法。 CISO / 公民社会组织应直接向首席执行官报告,并从IT部门获得单独的预算。

行业标准仍然很低

作为与各州和解的一部分,Target必须支付1850万美元。纽约总检察长 埃里克·施耐德曼 该协议被吹捧为迄今为止最大的多州数据泄露解决方案,对于一家去年利润超过200亿美元,并且在过去四年中已经支付了2.02亿美元法律费用和其他违约后费用的公司来说,这是一次零钱。这甚至不是第一个解决方案,因为Target与受违约影响的金融机构达成了3,900万美元的和解协议,并为合并的集体诉讼提起了1000万美元的赔偿(另外还有675万美元用于原告的律师费和开支)。

有人担心公司可能会降低安全活动和风险的优先级,因为在发生问题后仅支付罚款会便宜一些,而不是花时间和精力去做正确的事。和解协议并不能改变这种观点,但是某些基本知识现在已被编纂为“行业标准”这一事实至少可以将这一门槛提高到最低限度。对于许多组织而言,对网络进行分段并在敏感数据环境周围添加更多安全层,可以极大地改变犯罪分子四处移动或窃取信息的方式。

版权© 2017 IDG通讯,Inc.