Главная » 2014»Февраль»09 » Атака на Target - это только начало. Как защитить сеть розничной компании с ее множеством POS-терминалов
15:45
Атака на Target - это только начало. Как защитить сеть розничной компании с ее множеством POS-терминалов
За последнее несколько месяцев было осуществлено несколько атак на
розничные организации, проведенные через POS-терминалы. К сожалению, в
будущем следует ожидать их еще больше. Именно так было написано в
предупреждении, которое недавно разослало ФБР по розничным компаниям. Что же делать, какие шаги необходимо предпринять? Решить
проблему могут помочь мониторинг сети с помощью NetFlow и технологии
обнаружения аномалий трафика, которые позволяют получить полную
видимость процессов, которые происходят в сети.
NetFlow является эффективным средством для получения полной прозрачности всего происходящего в распределенных сетях,
которые характерны для больших розничных компаний. Очень дорого и
сложно устанавливать защитные устройства в каждом месте физического
присутствия, у каждого POS-терминала. Но собирая NetFlow прямо с
существующих маршрутизаторов и коммутаторов на каждом сайте, розничные
компании могут получить эффективный и недорогой инструмент для контроля
всей сети без необходимости внедрения дорогого оборудования. Возможность
отслеживать активности в сети в реальном времени и обнаруживать
аномалии позволяют получить больший уровень безопасности за счет
постоянного контроля процессов в сети. Обнаружение аномалий поведения сети может зафиксировать подозрительную активность, которую не заметят другие технологии защиты.
Большинство инструментов сетевой безопасности предназначены для
обнаружения известного вредоносного ПО, кода или каналов управления
вашей сетью извне (command and control channels). Современные развитые
атаки научились обходить эти системы, но поведенческий анализ именно
здесь и может сыграть свою роль, за счет профилирования нормального
поведения сети и сигнализации при значительных отклонениях от такого
поведения. Например, StealthWatch автоматически профилирует количество
данных, которое каждый хост в сети отправляет в Интернет. Хост, который
начинает внезапно отсылать большее количество информации, немедленно
вызовет появлении тревожного сигнала. Однако, как мы уже знаем после
изучения недавних атак (например, на Target), данные не уходили в
Интернет непосредственно с POS-терминалов, а использовался внутренний
сервер для накопления ворованной информации, которая только потом
отсылалась в Интернет. Вот почему здесь очень полезно использовать
StealthWatch, который контролирует и трафик между внутренними хостами,
для того, чтобы идентифицировать системы, которые аккумулируют
неожиданно большие объемы информации, получаемой внутри сети. Карты взаимоотношений - мощный инструмент для ритейлеров. Система
StealthWatch позволяет администраторам идентифицировать группы хостов в
их внутренних сетях и автоматически отслеживать трафик между ними, даже
если эти хосты не общаются через маршрутизатор или коммутатор.
StealthWatch профилирует нормальное поведение взаимоотношений в этой
группе хостов и может идентифицировать ситуацию, когда происходит что-то
неординарное. Такие инструменты могут использоваться для постоянного
мониторинга POS-терминалов для предотвращения необычных коммуникаций с
другими внутренними хостами и фиксировать пики количества передаваемой
информации. Историческая перспектива. NetFlow используется также при подробных исследованиях инцидентов. В исследовании Ponemon Institute
опрос участников показал, что аудит потоков NetFlow и захват пакетов
являются наиболее эффективными инструментами для исследования угроз,
подобных этой. Как показывает появляющаяся в последнее время информация
об атаках на ритейлеров, очень полезно иметь исторические записи того,
что происходило в сети, для того чтобы проверить их на присутствие
признаков нарушения сетевых границ. Недавно были опубликованы три IP-адреса,
которые ассоциируются с атакой на Target. Эти адреса уже не
используются преступниками, но, имея в сети StealthWatch, вы можете
увидеть, были ли коммуникации вашей сети с этими адресами, когда они
были активны. К сожалению, подобные инциденты чаще всего
обнаруживаются много позже того, когда они происходили. И для того,
чтобы исследовать возможные атаки в вашей сети, необходимо сохранять
записи за большие промежутки времени. Как говорится в отчете Neiman Marcus,
активная фаза атаки на Target имела место между 16 июля и 30 октября
прошлого года. Однако утечка не была обнаружена до января 2014 года. В
этом случае необходимо было иметь записи аудита продолжительностью по
крайней мере в шесть месяцев для того, чтобы обнаружить следы
первоначального проникновения. Это сложно получить с помощью технологии
полного захвата пакетов вследствие большой стоимости и большого объема
систем хранения, но достаточно легко осуществить при помощи NetFlow.
Суммируем.
Розничные торговые сети находятся под угрозой, и по мере того, как
частота и сила этих атак увеличивается, нам надо выходить за рамки
минимальных требований к стандартам безопасности данных в индустрии
платежных карт. StealthWatch компании Lancope позволяет розничным
компаниям получить эффективный и экономичный инструмент для контроля
сети, позволяющий им видеть, что происходит внутри сети организации,
обнаруживать подозрительные транзакции данных, и создавать
специализированные архивы, чтобы исследовать активность, которая могла
проявляться в прошлом.
Меню сайта