Heartland Tarzı Veri İhlali Nasıl Önlenir

Amerika Birleşik Devletleri Adalet Bakanlığı, bugün 28 yaşındaki Miami'li bir adam olan Albert Gonzalez'i, kayıtlardaki en büyük kimlik hırsızlığı kovuşturmasında tutukladı. Gonzalez, iki isimsiz Rus ortak komplocuyla birlikte, Heartland Ödeme Sistemleri ve 7-Eleven dahil olmak üzere çeşitli hedeflerden 130 milyondan fazla kredi ve banka kartı hesabından ödün vermekle suçlanıyor.

Adalet Bakanlığı Gonzalez'in başarılı bir şekilde soruşturulması ve suçlanması için takdir edilmeli, tutuklama zaten kara listeye alınmış ve karaborsada mevcut olan hesapları 'ihlal etmeyecek'. İdeal bir dünyada tutuklama, gelecekteki kimlik hırsızlığını caydıracaktı, fakat bu pek olası değil. Hâlihazırda, kayda değer bir gelir elde edebilecek neredeyse tamamen anonim bir suçtur ve kimlik hırsızlarının kendilerini daha akıllıca ve Gonzalez'den daha iyi görmeleri daha olasıdır. Hatalar yaptı, ama * onlar yakalanmayacaklar.

Öyleyse, Adalet Departmanı'na bağlı, ama yine de arkana dikkat etmeli ve ağlarını ve verilerini benzer saldırılardan koruman gerekiyor. Verilerinizi korumanıza ve bir sonraki Heartland Payment Systems olmadığına emin olmanıza yardımcı olacak üç ipucu.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

1. Kablosuz güvenlik . Kablosuz ağlar bu günlerde çoğu işletmede var. Kablosuz ağlarla ilgili olan şey, çalışanların ağda dolaşmasına ve ağa bağlı kalmasına izin vermeleridir, ancak kablosuz erişim noktasının menzili dahilinde yetkisiz kullanıcılar için de erişim sağlar. TJX ve Lowes'taki veri ihlalleri, zayıf ya da olmayan kablosuz ağ güvenliği ile mümkün kılınmıştır.

Kablosuz ağlar, birincil ağdan, ekstra bir koruma katmanı sağlamak için ayrılmalıdır. Kablosuz bağlantı, en azından WPA veya WPA2 şifrelemesi ile güvence altına alınmalıdır. Kablosuz ağa erişmek için başka bir kimlik doğrulama şekli kullanıldığında daha da iyidir. Ayrıca, yetkisiz kablosuz ağların kurulmasına ve haydut ağlarının bulunmadığından emin olmak için dönem taramasına karşı bir politika da olmalıdır.

2. Uygunluk . Kredi kartı işlem verilerinin kabulü, işlenmesi, iletilmesi veya depolanması sayesinde, bu saldırılarda ele geçirilen kuruluşlar Ödeme Kartı Sektörü Veri Güvenliği Standartları (PCI DSS) gereklilikleri kapsamındadır. PCI DSS, kredi kartı endüstrisi tarafından hassas kredi kartı bilgilerinin ele alındığı işletmeler için temel güvenlik gereksinimleri sağlamak amacıyla geliştirilmiştir.

Şirketlerin birçoğu, Sarbanes-Oxley (SOX) veya Gramm-Leach gibi diğer uyumluluk görevlerine de girmektedir. -Bliley Yasası (GLBA). Şirketlerin ruhun yanı sıra uyum şartlarının mektubuna saygı göstermeleri önemlidir. Bir kontrol listesini tamamlamanın veya denetimden geçmenin uygunluk hedefleri olmadığını unutmayın. Amaç hassas verileri ve ağ kaynaklarını korumaktır. Bir uyumluluk denetimine tabi tutmak için en azından minimum düzeyde bir denetim yapmak, şirketin itibarını bozan ve genellikle uyumdan çok daha maliyetli olan bir veri uzlaşmasına yol açabilecek bazı zayıflıklar bırakabilir.

3. Çalışkanlık . Bu büyük olanı. Güvenlik, 24/7/365 tam zamanlı bir iştir. Kablosuz ağı kilitlemek ve sahtekarlık ağlarını yasaklayan bir politika geliştirmek harikadır, ancak birileri politikayı ihlal edip gelecek hafta haydut bir kablosuz ağ kuruyorsa ne olur? Bir PCI DSS uyumluluk denetiminin geçirilmesi harikadır, ancak çalışanlar gelir ve gider, bilgisayar sistemleri sağlanır ve hizmet dışı bırakılır ve ağa yeni teknolojiler sunulur. Ağın denetim zamanında uyumlu olması, bir ay sonra hala uyumlu olacağı anlamına gelmez.

Saldırganlar, ağ savunmada zayıflıkları ortaya çıkarmak için sürekli çalışıyorlar. Ağ ve güvenlik yöneticileri, saldırı tekniklerine ve karşı önlemlere ayak uydurabilmek için gayretli kalmalıdır. Daha da önemlisi, uzlaşma tespiti ve önleme sistemi aktivitesini, güvenlik duvarı günlüklerini ve diğer verileri, uzlaşma veya şüpheli etkinlik belirtileri konusunda uyanık kalmak için izlemeniz gerekir. Daha önce bir saldırıyı tespit edip durdurabilirsiniz, daha az veri tehlikeye girecek ve sıfır yerine bir kahraman olacaksınız.

Tony Bradley, on yıldan fazla kurumsal BT deneyimi ile bir bilgi güvenliği ve birleşik iletişim uzmanıdır. @PCSecurityNews olarak tweet atıyor ve tonybradley.com adresinde yer alan bilgi güvenliği ve birleşik iletişim teknolojileri hakkında ipuçları, öneri ve incelemeler sunuyor.