Men standardkontroller pålagt av PCI DSS, som kryptering og nettverkssegmentering, for eksempel, er ikke nødvendigvis tilstrekkelig til å håndtere risikoen fra ikke-persistent lagring av kortdata , for eksempel når data lagres midlertidig som filer på en disk eller i minnet. Selv organisasjoner som oppfyller flittig og iherdig med de 12 kravene i PCI DSS kan falle byttedyr til feil i teknologi, prosess eller personer som resulterer i sensitive data landing der det ikke burde. Det er ikke å si PCI DSS eller PA DSS (Payment Application Data Security Standard) dekker ikke utilsiktet lagring av ukryptert CC data. Det begrenser seg til loggfiler og feilsøking (debug) (PCI-DSS - 3.2.1-3 og PA DSS - 1.1.1-3, 1.1.5 og 2.3).
I dette tipset Vi vil skissere hvordan en bestemt type malware kan true virksomhetens innsats for å beskytte sensitive kortdata, og hvordan du kan forebygge slike malware fra å forårsake en data kompromiss.
Mer om PCI DSS
Lær to viktige trinn som kan hjelpe vurderingen suksess med PCI DSS standarder og sikker lagring.
Lær hvordan du endrer fra WEP til WPA for PCI DSS etterlevelse.
Se hvorfor PCI Rådet kaller punkt-til- punkt kryptering umoden.
Jeg kommer til å benytte anledningen til å avgrense et par forutsetninger for å begrense omfanget av denne diskusjonen. Den første forutsetningen er at, for dette scenariet, kan samsvar med PCI DSS være effektive i å ta opp sikkerheten rundt persistent lagring av kortdata. Den andre forutsetningen er at flyten av kortet data er kryptert når den forlater point-of-salg (POS) system eller severdighet fangst. Grunnen til at jeg gjør disse forutsetningene er at de tillater meg å berøre en relativt ny trussel: minne-skraping malware. Memory-skraping malware (for hensikten med dette eksempelet, så det kan ha en bredere definisjon) er malware designet for å undersøke hukommelse (potensielt gjennom teknikker som ligner de som brukes i minne forensics) for sensitive prosesser (f.eks betalingsapplikasjoner) og hente ut data som ellers ikke ville være tilgjengelig på persistent lagring.
Vi må sette en kontekst for eksistensen av denne malware prøven, og for det formålet, la oss anta at malware har gjort sin vei inn på en POS system gjennom noen angrepsvektor, for eksempel en zero-day sårbarhet eller en unpatched system, som begge dessverre er vanlige forekomster i de fleste bedrifter. POS-systemet er vert for betaling program, som er den primære mekanismen som en forhandler med en murstein og mørtel tilstedeværelse bruker til å behandle kredittkorttransaksjoner. Når en kunde kortet dras på POS terminal, kortet data, som inkluderer antall personlige konto (PAN) og annen relatert informasjon, blir sendt til betaling gateway for godkjenning. Denne informasjonen blir også sendt til forhandlerens back-office-system på en daglig basis for tilbakeføringer, markedsføring og revisjonsrelaterte formål.
I sin grunnleggende form, minne-skraping malware ville kopiere prosessen minnet av POS program på disk, og deretter analysere utdatafilen for spordata (som på dette tidspunktet ville være ukryptert) når du installerer seg selv som en tjeneste for utholdenhet. (Bare for å avklare: Ikke alle minnedump av POS program avsløre ukrypterte spordata Det kan være tilfeller hvor minne ble dumpet etter rutinene for å kryptere PAN data har blitt kalt, noe som gjør minnet uleselig..) Trustwave publisert en rapport nylig i som det dokumentert fremtidige gjentakelser av denne malware (.pdf) slik den utviklet antiforensic teknikker, noe som gjør deteksjon og kildesporing analyse vanskelig, rydde opp restene av noen midlertidige filer det er opprettet og også kryptere alle spor data at det utvinnes på disken. Kanskje det mest foruroligende aspektet av denne malware er at denne datalekkasje scenario kunne ha skjedd selv om POS-programmet var i samsvar med den Payment Application Data Security Standard (PA-DSS).
Ironisk nok, denne malware egenskaper faktisk ligne de av en rettsmedisinsk undersøkelse av systemminnet, bortsett fra i stedet for å identifisere malware i minne, prøveforsøk til bilde og analysere kortdata. Den Trustwave papir nevnt ovenfor antyder at malware bruker åpen kildekode-minne-tenkelig verktøy for å starte datatyveri. Det finnes en rekke verktøy som letter oppkjøpet av minne og de fleste av dem er fritt tilgjengelig. Noen ordinære eksempler på disse verktøyene er: win32dd /win64dd, FastDump, FTK Imager, Winen, Kntdd, Memoryze og F-Response
Bedrifter bør bruke vertsbaserte (IPS, innholds integritet dam, antivirusprodukter) og. nettverksbaserte (IDS /IPS, nettverksenheter logger) overvåkningsverktøy, hvis tilgjengelig, for å identifisere mistenkelig aktivitet som det som er beskrevet ovenfor, og ved funn av sannsynlig minne skraping, analysere minnebilder av berørte systemer. Denne analysen krever at man forstå operativsystemet og datastrukturene som operativsystemet brukes for å styre minnet på løpesystemet. Heldigvis har Flyktige Systems gjort de tunge løftene på dette ved å gi Volatilitet Work, som gir klare til bruk plugins for å trekke ut nyttig informasjon fra minnet. Rammeverket er skrevet i Python og er en helt åpen kommandolinjeverktøy.
Mer om malware skraping
Lær hva en RAM skraper angrepet er, og hvordan du kan forsvare din organisasjon fra dette.
Mini guide:. Hvordan fjerne og hindre trojanere, malware og spyware
Denne svært samme tilnærmingen ansatt av minne skraping malware kan også brukes til å analysere malware i minnet. Prosessen med å analysere og trekke malware fra minnet (minneetterforskning) har vært å få mye momentum i det siste. Minneetterforskning kan være spesielt nyttig i situasjoner der malware forfattere bruker en kombinasjon av kryptering og anti-debugging mekanismer for å hindre tradisjonelle rettsmedisinske og malware undersøkelsesmetoder.
Selv om PCI DSS eller PA DSS ikke eksplisitt ta opp sensitiv informasjon i minnet Gjør de tar kontroller som kan bidra til å beskytte mot malware. Etter vert herding retningslinjer, håndheving nettverk områdesikring, proaktivt patching systemet og bruke et antivirusprodukt med innbruddsforebyggende evner (IPS) vil gå en lang vei å bidra til å redusere risikoen for malware gjør sin vei inn i systemet i første omgang.
Men dette er bare en del av løsningen. Hva skjer hvis malware fortsatt klarer å gjøre sin vei inn i systemet uoppdaget? Minneetterforskning verktøy som de som er nevnt ovenfor kan hjelpe analysere malware i minne, som kan hjelpe til med identifisering og eventuell fjerning, men det er en periode - men kort kan det være - hvor malware som finnes på systemet uoppdaget. I løpet av denne tiden er det trygt å anta at malware kan ha ubegrenset tilgang til systemets ressurser, inkludert minne. På dette punktet, bør en organisasjon anta uautorisert data exfiltration har oppstått, og det bør distribuere sine datainnbrudd respons planer deretter.
PA DSS i sin nåværende form ikke eksplisitt adressere beskytte sensitiv informasjon i minnet, men det gjør ta det for data ved hvile. Ett konsept som kan være effektiv som et klimatiltak taktikk er at av nøkkelkrypteringsnøkler; disse kan brukes til å kryptere nøkkelen i minnet, og deretter dele den opp og spre den over hele minnet å gjøre det vanskelig å rekonstruere. Dette ligner på konseptet med å kryptere krypteringsnøklene på disken, som brukes til å gjengi sensitive data uleselig.
Denne taktikken kan tas et skritt videre ved å utvikle falske sentrale datastrukturer til å kaste malware skraper av. En falsk nøkkel er opprettet for å tiltrekke malware skrapere, men nøkkelen er nullet ut så snart de samtaler til krypto funksjoner er fullført. Håndheving nøkkelen rotasjon lik det som håndheves for data i hvile kan gjøre det enda vanskeligere for malware å skrape minnet. Implementering av en slik teknikk vil definitivt legge til kompleksiteten i å utvikle og opprettholde betalingsprogram, men fordelene er mange, på grunn av innholdet av den aktuelle trussel. Utvide PCI DSS kravene for å løse disse scenariene vil være et skritt i riktig retning.
Lytt til podcast her