İşletmeler satış noktası saldırılarını nasıl engelleyebilir?

İşletmeler satış noktası saldırılarını nasıl engelleyebilir?

Satış noktası kötü amaçlı yazılımlar, perakendecileri kredi kartı verilerini çalmak için hedefliyor. Perakendeciler, oteller ve restoranlar, hepsi siber suçluların yumuşak karınlarına saldırmalarının kurbanı oldular: Müşterilerin ödeme verilerinin düzenli olarak işlendiği satış noktası sistemi…
Dijital kasalar genellikle binlerce veya milyonlarca kredi kartı numaralarını çalmak için tasarlanmış kötü amaçlı yazılımların hedefi durumundalar. Bu yıl, fast food satıcısı Wendy’s, giyim perakendecisi Eddie Bauer ve Kimpton Hotels, bu tür saldırılardan kaynaklanan veri ihlallerini bildirdi. Bununla birlikte, güvenlik uzmanları, satış noktaları ile ilişkili müdahalelerden ötürü işletmeleri güvende tutmak için çeşitli yaklaşımlar öneriyor. İşte dikkate almanız gereken birkaç nokta:

İzleme
Satış noktası kötü amaçlı yazılımları çeşitli şekillerde saldırabilir. Bir güvenlik sağlayıcısı olan Netsurion’un CISO’su John Christly, “Genelde ödeme işleme sistemlerini korumak için tasarlanan uzaktan erişim hizmetlerini ihlal ederek kötü niyetli kod yaymakla sonuçlanan saldırılar olabilir” diyor.
Bu uzaktan erişim hizmetleri, tahmin edilebilir şifrelerle kötü yapılandırılabilir ve böylece bilgisayar korsanlarının saldırısına uğrayarak zararlı yazılımı yüzlerce veya binlerce satış noktası makinesine dağıtabilirler. Christly, bu sistemlerin kötü amaçlı yazılımın algılanması konusunda zorluk çıkarttığını da sözlerine ekledi. Bazen bu tür zararlı yazılımlar, geleneksel güvenlik duvarlarının varlığına rağmen virüsten koruma programlarını devre dışı bırakabilir ve ardından ödeme verilerini gizli olarak çalabilir.
Christly, “O zaman, çalınan veriyi normal trafik gibi gösterebilir” dedi. “Birkaç ay geçecek ve kaç tane kredi kartı bilgisinin çalındığını nereden bileceğiz?” Christly, satış noktalarına uzaktan erişim olanağı sağlayan işletmelerin, yalnızca şifre oturumlarına güvenmekten kaçınmak için iki faktörlü kimlik doğrulamayı yüklemeyi düşünebileceğini belirtti. Ancak tüm olası tehditlerin daha iyi tespit edilmesini sağlamak için işletmelerin temel antivirüs ve güvenlik duvarlarının ötesine geçmesini ve mevcut satış noktası makinelerinde olağandışı etkinlikleri izleyebilen araçları kullanmasını tavsiye ediyor.

“Hiçbir şeyin değişmediğinden emin olmak için her bilgisayarı izlemelisin,” diyor Christly. “Gece boyunca bilgisayar etkin mi, veri iletişimi var mı, yoksa dosyalar değiştiriliyor mu” diye ekledi. Bu araçlar genellikle büyük marka perakendecilere satılıyor ancak Netsurion, küçük ve orta ölçekli işletmeler için onları düşük maliyetle sunduğunu belirtti.

Şifreleme
Hewlett Packard Enterprise Security’de kıdemli bir ödeme direktörü olan George Rice, bilgisayar korsanlarının her zamankinden daha çarpıcı satış noktası zararlı yazılımı geliştirmeye devam etmesine rağmen, en esnek ve kötü amaçlı yazılım bile yalnızca şifrelenmiş verileri çalarsa işe yaramaz hale geliyor” dedi.
Genellikle satış noktasında bulunan kötü amaçlı yazılım, kartın perakende ödeme makinesinden geçirildiği andan itibaren ödeme verilerini okur. Bunu, ödeme verilerinin şifrelenemeyeceği satış noktası terminalinin RAM belleğine müdahale ederek yapar. Rice, “Kötü amaçlı yazılım teknikleri her zaman gelişiyor” dedi. Suçlular ayrıca, perakendecilerin fiyatlama veya envanter nedenleriyle satış noktası makineleri güncelleştirdiklerini de anlamış durumdalar. “Dolayısıyla hackerlar, zararlı yazılımları sisteme eklemek için çeşitli güvenlik açıklarını kullanıyor” diye ekledi. Bununla birlikte, işletmeler, uçtan uca şifrelemeye geçtikleri takdirde herhangi bir veri ihlali durumunda kendilerini çok daha fazla savunabilirler diyor Rice. Bu yöntem, müşterinin verilerinin, kredi kartının silinme anı da dahil olmak üzere, tüm ödeme sürecinde şifrelenmesi anlamına gelir.
Rice, “Bu teknik, sistem içindeki tüm boşlukları ve zayıf noktaları kapatmanıza yardımcı olabilir” diyor. Bu yılın başlarında, HPE Security, işletmeler için uçtan uca bir şifreleme ürünü olan ödeme onaylama aygıtları üreticisi Ingenico ile ortaklık yaptığını açıkladı.
Ödeme verilerini daha iyi korumak için, Hewlett Packard Enterprise Security ayrıca, işlenmiş ödeme kartı verilerini, token olarak bilinen dijital yer tutucularla değiştirme işlemini, tokenization’ı da sağlar. Rice, veri hırsızlığı riskini azaltmak için hem tokenization, hem şifreleme yöntemleri beraber kullanılabilir diyor.

Test yapmak
IBM’deki bir güvenlik test ekibi olan X-Force Red’in Başkanı Charles Henderson, “Maalesef işletmeler satın almak istedikleri satış noktası sistemini seçtiklerinde, güvenlik konusunu nadiren düşünüyorlar” diyor.
“Birçok şirket, bir satış noktası sistemi satın aldığında güvenli bir şey satın aldığını sanıyor” diyor. “Aynı zamanda ürünün güvenliğinin endüstri standartlarında olduğunu varsayıyorlar ama bu her zaman doğru değil” diye ekledi. Buna ek olarak, bu satış noktası ürünlerinin birçoğu, güvenlik konusunda uzman olmayabilecek üçüncü taraf satıcılar tarafından yükleniyor. Bu faktörler, işletmeleri riske atabiliyor. Bu sorunu önlemek için Henderson, işletmelerin satış noktası sistemini herhangi bir güvenlik açığı için denetlemek üzere bir güvenlik uzmanı tutmaları tavsiyesinde bulunuyor. Henderson, satış noktalarının çoğunun doğru uygulama ile güvence altına alınabileceğini de sözlerine ekledi. Bu test, güvenlik ürünleri için de geçerlidir. Henderson, “Şifreleme ve diğer kötü amaçlı yazılımlarla savaşan araçlar, satış noktası sistemlerinde veri ihlallerini önleyebilmesine rağmen düzgün bir şekilde yüklenmedikleri takdirde neredeyse hiç işe yaramazlar” diye durumu açıklıyor.

Categories: GÜVENLİK

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*