AM_Bot

Безопасность по стандарту PCI DSS не спасла от крупной утечки

В этой теме 15 сообщений

23 марта гигант карточной системы платежей – компания Visa – нанесла публичный удар компании Хартленд, ведущей системе дебетовых и кредитных платежей США, удалив её из своего списка организаций, предоставляющих услуги электронных платежей, которые соблюдают стандарт безопасности индустрии платежных карт – PCI DSS. Организации, предоставляющие услуги электронных платежей, соответствующие правилам данного стандарта, обязаны обеспечить защиту конфиденциальной информации держателей банковских карт, а также бороться с воровством персональных данных и мошенничеством.читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересная новость. Первая утечка из компании, сертифицированной по активно продвигаемому стандарту PCI DSS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин ага интересно...

Ситуация щекотливая: компания официально подтвердила своё соответствие стандарту по защите платёжных карт - и уже через месяц случается утечка. Причём, утечка не гипотетическая, когда конфиденциальные данные просто могли стать известны посторонним лицам. А вполне реальная утечка - с мошенническими покупками, арестами и покаяниями злоумышленников. Логически следует признать, что либо сертификация была проведена не должным образом, либо стандарт не гарантирует защиты.

Представители Хартленда открыто указывают на второй вариант, а "Виза", один из разработчиков PCI DSS, естественно, настаивает на первом

Успешное проникновение свидетельствует только о том, что систему можно взломать (о чем известно заранее по-определению, т.к. абсолютно безопасных систем не бывает), а неуспешное проникновение свидетельствует только о том, что исполнитель не смог взломать вашу систему (вам это о чем нибудь говорит? может ему просто времени не хватило? или этот не смог, а другой сможет). Сухой остаток от пентеста - это возможная идентификация и устранение нескольких уязвимостей. Так стоит ли пыжиться исполнителю, а заказчику тратить весьма приличные деньги (работа квалифицированного взломщика стоит от $1000 в день и выше, а там таких взломщиков будет несколько) ради того, чтобы обнаружить и устранить несколько уязвимостей (и остаться с кучей других уязвимостей и в полном неведении относительно реальной защищенности своих систем)?
http://www.iso27000.ru/blogi/aleksandr-ast...vchinka-vydelki
Реальный пример: я служащий компании ХХХ приезжаю к заказчику рассказывать про сетевую безопасность. Заказчик у меня спрашивает что такое пен-тест. Я рассказываю. Мне говорят: а вот тут из вашей компании приезжали (из другого отдела) аудиторы, посмотрели на пен-тест проведённый сторонней конторой (лицензированной на проведение пен-тестов) и сказали что это не пен-тест. Мы их спрашиваем, а что такое пен-тест. Аудиторы отвечают: мы не скажем. Мы, аудиторы, отвечаем на вопрос о том, пен тест у вас проведён или не пен тест. А на вопрос что такое пентест мы не отвечаем.

..., ведь это вымогательство. С ним сталкивается народ и пишет статьи...

Реально информационная безопасность интересна только энтузиастам. Банковские служащие в гробу её видели. Им по*** на финансовые показатели банка, они зарплату получают не за это, а за соответсвие требованиям PCIDSS а это значит, что ничто, даже нормативные акты, которые они постараются формально соблюсти, не способно повысить безопасность их предприятий. И хлеб у нас с вами будет всегда.

http://www.securitylab.ru/opinion/377294.php

Было б интересно узнать мнения здешних аудиторов и экспертов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@ seevbon

Настоящих экспертов, которые могли бы реально тестировать это всё на практике ОЧЕНЬ мало, а те, которые это умеют этим не занимаются. Поэтому в этой области так много понтов со стороны поставщиков услуг, и так много Страха, Неуверенности, и Сомнений со стороны клиентов. Какой ярлык на это всё вешать - пусть этим занимаются другие... :rolleyes:

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

понравилась и новость, и комментарии. Вердикт - ответит ассессор (аудитор). Ну, и систему в "доверенные" я так просто бы не вносил. п. 5 стандарта читайте внимательно. Ассессор прикинул, что антивирь есть и проигнорировал остальные требования п. 5. А зря...

Теперь о пен - тесте. Многие пишут. Кстати, при всем уважении к Позитиву- продукт не СЕРТИФИЦИРОВАН. Поэтому писание обидок от них неинтересно. Третье-ассессор обязан его провести. Квалификация - вопрос второй. Третье - все "банкиры" от ИТ так любят "безопасность" , что промолчу - сам знаю. теперь - для лошариков - стандарт не только требует обеспечения требований, но и облегчает расследования инцидентов. И ежели нефтяники и алюминиевые пацаны (ссылки см. выше) сотворят нечто- те же "ненужно-липовые" документы (при желании владельца) обеспечат им место пошивщика рукавиц на несколько лет. Хотя -может, для них круто шить рукавицы рядом с опальными олигархами? последнее - чистое ИМХО

И последнее - стандарт хреновый? ОБЫЧНО ТАК ГОВОРЯТ ТЕ, КОТОРЫЕ ЕГО НЕ СОБЛЮДАЮТ

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На данный момент PCI SSC (организация, ответственная за продвижение и развитие стандарта) начала шерстить компании-аудиторов на предмет качества их работы.

По Хартленду - по информации, которую я собрал - к ним был внедрён зловред, причём куда-то очень близко к процессингу (выпуску карт).Причём данный зловред сливал информацию наружу.

Поэтому потенциально я вижу тут уже 3 нарушения требований стандарта:

1. Требования по межсетевому экранированию

2. Требования по антивирусному ПО

3. Требования по IPS и контролю целостности

Почему, что и как?

Лично у меня два основных варианта:

1. Схалтурила компания-аудитор.

2. После аудита, произошли какие-либо изменения.

Естественно это всё спекуляции на основе собранной публичной информации.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Поэтому потенциально я вижу тут уже 3 нарушения требований стандарта:

Не в качестве оправдания пострадавшей компании, но все же хотелось бы понять каким образом компания могла защититься. Атака явно целевая. Троян писали конкретно под эту компанию, знали, что делают. Иначе атака бы с большой вероятностью провалилась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

даже целевая атака при соблюдении требований малоэффективна. Здесь стоит говорить о несоблюдении-я уже об этом говорил. Либо-соглашусь с nremezov - ассессор отработал не полностью

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. Требования по межсетевому экранированию

2. Требования по антивирусному ПО

3. Требования по IPS и контролю целостности

Трой, скорее всего был целевым. Поэтому он просто не был (да и не мог быть в принципе) задетектирован ни антивирусом, ни IPS.

даже целевая атака при соблюдении требований малоэффективна.

Не соглашусь. Как раз наоборот- целевая атака всегда высокоэффективна. Это бомбёжки по площадям малоэффективны, а "умная" бомба практически всегда (с вероятностью 99%) попадает в цель.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

повторюсь-при соблюдении ВСЕХ требований. Второе - кстати для вас - есть требование наличия HIPS,которое обычно пропускают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я тут порылся и нашел более раннюю утечку из организации, сертифицированной по PCI DSS. Инциденту не один месяц, выводов как мы видим выше не сделано или этого оказалось недостаточно. <_<

http://www.anti-malware.ru/node/618

Информация о транзакциях компании Forever 21 по банковским картам была похищена в результате нескольких хакерских атак в течение 2003-2007 гг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну, я так понимаю эту статью - в 2003 году начались атаки (стандарта не было), в 2007 получен статус соответствия и дата прекращения утечек - 2007. И статуса соответствия никто никого не лишал. Это немного в пользу сертификации

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Трой, скорее всего был целевым. Поэтому он просто не был (да и не мог быть в принципе) задетектирован ни антивирусом, ни IPS.

Илья, естественно целевые атаки эффективнее. Но в стандарте есть жёсткие требования по межсетевому экранированию - трояну же надо было как-то сливать инфу... а это уже лишний трафик из доверенной сети в недоверенные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Почему то у меня сложилось впечатление, что те компании которые предоставляют услуги электронных платежей и которые даже прошли сертификацию по PCI DSS не любят в этом сознаваться. Особенно российские. Не считают это конкурентным преимуществом? Можно прочесть про защиту клиентов например через гос. страхование вкладов. А про защиту клиентов соответствием стандарту разве что через поиск по сайтам этих компаний можно узнать. Может быть глядя на стандарт изнутри обладатели сертификата понимают что гордиться особенно нечем? Или не хотят дразнить конкурентов которые сертификата еще не имеют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Про Россию мне трудно судить. По Украине

http://www.portmone.com.ua/v2/ru/security/

http://upc.ua/ua/news-ua/980.htm

http://diamantbank.ua/uk/press_centre/#news_342

Что охватывает примерно всех

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS