当我们进入假日购物季时,许多零售组织进入了“生产冻结”,他们停止了他们的付款和订单履行系统的更新和配置变更,以限制对关键任务系统中断和放缓的风险。IT团队和安全性人士正在争先恐后地测试和锁定配置,验证控制,并恳求其各自的神灵,以便在购物匆忙期间完全按预期执行。
这会产生特别有趣的情况:在未来90天内,对这些系统的更新方式很少。任何防止事件的措施 - 这将使组织更难以为犯罪分子更难(或更昂贵) - 现在暂停,直到假期匆忙。
在安全生命周期中考虑这一点:防止,检测,正确 - 这也是简化NIST网络安全框架的好方法 - 从这一点前进,能源投资应从防止检测和正确转变。
攻击者已经在一个组织内部将保持安静,直到时间是对的,因为他们将在未来几周内看到更多的信用卡,而不是未来六个月合并。
以下是组织如何准备未来的日子:
1.查看所有第三方访问和远程访问路径到支付网络中。更改密码并锁定现在不需要访问的供应商。
2.是100%的知己,支付网络无法以任何方式访问互联网,以任何方式访问任何协议。一些系统进行在线支付清关和结算。确保这些系统只能与指定的主机名或定义端口上的地址通信。
3.双重和三重检查网络限制和分割,确保客人和承包商无法找到支付网络的路径。
4.寻找异常。一些组织在其系统中有足够的相似性(如销售点寄存器和售货亭),他们可以将实时系统与“已知好”配置进行比较。
5.仔细观察帐户行为。监视并立即调查意外位置的字符异常行为和登录事件,尤其是在支付网络,Web和数据库系统等消毒区。
6.通过信息共享提高您的知名度。有些群体如R-Cisc,零售商正在安全地共享信息,并积极识别攻击者工具和技术以及如何识别它们在环境中立足点的提示。
现在是要密切关注的时候了。如果您没有阻止攻击者进入内部,这是您阻止他们兑现的机会。密切关注,并使您的团队可以安全地说话,如果任何事情不合适。
Trey Ford是Rapid7的全球安全战略家。
