פריצות הענק לרשתות השיווק, לרבות Target ו-Neiman Marcus אשר ארעו בשבועות האחרונים, הפנה את הזרקור לעבר נושא אבטחת המידע של. . .
עמדות מכירה (point-of-sale). בניגוד למקובל לחשוב, ההתקפות הללו, בהן נעשה שימוש בנוזקה ייעודית שפעלה כנגד הזכרון (memory-scraping) לא היו חידוש. בשנה שעבר, ויזה פרסמה (אפריל ואוגוסט) שתי הודעות התראה אשר הזהירו סוחרים מפני תקיפות כנגד נתוני כרטיסי אשראי, לרבות תוך שימוש בנוזקות התוקפות זכרון.
US-CERT (צוות הכוננות של ארה"ב בהיבטי מחשוב), המהווה חלק מהמשרד לבטחון פנים האמריקני פרסם לפני כחודש (2 בינואר 2014) אזהרה תחת הכותרת "נוזקות התוקפות עמדות מכירה ממוחשבות". מסמך זה דן בתקיפות חומרה ותוכנה כנגד עמדות מכירה ממוחשבות וכולל המלצות באשר לאופן הגנתן, הכוללות:
1) שימוש בסיסמאות חזקות- במהלך התקנת עמדה מכירה ממוחשבת, מומלץ שלא להשתמש בסיסמאות ברירת מחדל. יש להקפיד על שינוינ הסיסמה לעמדות על בסיס קבוע, תוך שימוש בשמות חשבונות ייחודיים וסיסמאות חזקות.
2) עדכון אפליקציות התוכנה של עמדות המכירה הממוחשבות- יש לוודא כי תוכנת עמדות המכירה מעודכנת הן בהיבטי גרסה והן בהיבטי עדכוני אבטחה. בדומה למחשבים, עמדות מכירה ממוחשבות פגיעות להתקפות של נוזקות כאשר עדכונים אינם מותקנים על בסיס עתי.
3) התקנת פיירוול- יש להשתמש בפיירוול על מנת להגן על מערכות עמדות מכירה ממוחשבות מפני התקפות חיצוניות. פיירוול יכול למנוע גישה בלתי מורשית לתוך/מתוך רשת פרטית, וזאת על ידי סינון התעבורה מפני האקרים, וירוסים ועוד.
4) שימוש באנטי וירוס- תוכנות אנטי וירוס הן בעלות יכולות לזהות תוכנה זדונית ויכולות למנוע את הגישה של אותן נוזקות למערכות. חשוב להקפיד על עדכון תוכנת האנטי וירוס.
5) הגבלת גישה לאינטרנט- יש להגביל גישה של מחשבי מערכת של עמדות מכירה ממוחשבות בכדי למנוע משתמשים מלחשוף בשגגה את העמדות הללו לאיומי אבטחה שונים הקיימים באינטרנט.
6) אי-אפשור גישה מרחוק: גישה מרחוק מאפשר למשתמש להתחבר למערכת כמשתמש מאושר מבלי להיות נוכח באופן פיזי. האקרים עלולים לנצל הגדרות של גישה מרחוק לעמדות מכירה ממוחשבות באופן שיתן להם גישה לרשתות הללו. על מנת למנוע גישה לא מאושרת, חשוב שלא לאפשר גישה מרחוק לרשתות עמדות המכירה הממוחשבות בכל רגע נתון.
במטרה לגלות נקודות פגיעות ברשת הארגונית לחדירת גורמים חיצוניים, נדרש לבצע מבדק חדירות חיצוני מקיף, המדמה חדירה מן האינטרנט אל תוך הרשת הארגונית בתצורת Black-Box - ללא כל ידע מוקדם על מבנה הרשת, וזאת בכדי לדמות נסיונות פריצה העלולים להיות מבוצעים ע"י האקרים מקצועיים. בנוסף, מבדק עמידה בתקן ה-PCI על מרכיביו השונים (חיצוני, פנימי, סריקת שרתים ומחשבי קופות) ייסייע בהפחתה ניכרת של סיכונים מסוג זה. נשמח לפרט ולשתף אותך בניסיוננו בתחום.
לידיעה המלאה- כאן
לאזהרת US CERT- כאן