賽門鐵克實現(xiàn)多層安全防護

近幾年，有關個人數(shù)據(jù)和信用卡數(shù)據(jù)大量泄露的事件層出不窮。彭博《商業(yè)周刊》的一篇分析文章提到：2012 年，全球信用卡和借記卡欺詐導致的損失總計為112.7億美元；2014年1月，一次嚴重的攻擊至少泄露了1.05億人的身份信息。由于在黑市上兜售信用卡數(shù)據(jù)有利可圖，銷售點（POS）設備、POS環(huán)境和Web自助服務終端已成為網(wǎng)絡罪犯的主要攻擊目標。

POS攻擊剖析

雖然卡安全技術有所改進，而且也有支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS），但POS系統(tǒng)的安全保護仍存在不足，再加上公司IT基礎架構中普遍存在的安全漏洞，零售商面臨的安全威脅變得日益嚴重。

不論是零售店還是餐廳，在POS環(huán)境中支持信用卡交易處理需要安全的技術基礎架構。基礎架構中包括各種不同的POS終端、網(wǎng)絡服務器、臺式機和其他系統(tǒng)。網(wǎng)絡罪犯往往通過多階段攻擊的手段，獲取POS和Web自助服務終端環(huán)境中信用卡持卡人的數(shù)據(jù)。多階段攻擊通常包括以下幾個階段。

滲透 攻擊者可以通過多種方法獲取公司網(wǎng)絡的訪問權。他們可能會找尋對外系統(tǒng)中的弱點，例如對Web 服務器使用SQL注入或?qū)ふ胰允褂弥圃焐棠J密碼的外圍設備。

網(wǎng)絡遍歷 網(wǎng)絡罪犯秘密安插在網(wǎng)絡中的惡意文件可能會隱藏數(shù)周、數(shù)月或數(shù)年，以刺探、掃描并收集網(wǎng)絡的有關信息。

數(shù)據(jù)竊取工具 專門設計用于從POS系統(tǒng)竊取數(shù)據(jù)的惡意軟件。這些數(shù)據(jù)文件往往需要通過內(nèi)部網(wǎng)絡傳輸?shù)蕉鄠€計算機跳點，然后到達可訪問外部系統(tǒng)的系統(tǒng)中。

持續(xù)性和隱秘性 攻擊者在以POS系統(tǒng)為目標時，攻擊需要花時間收集數(shù)據(jù)，因此攻擊者需要保持代碼的持續(xù)性。在安全性較高的環(huán)境中，攻擊者很可能會先行取得受損管理憑據(jù)的訪問權，并使用這些憑據(jù)清除日志，禁用監(jiān)控軟件和系統(tǒng)，甚至修改安全軟件配置以避開檢測。

滲漏 攻擊者可能會“劫持”內(nèi)部系統(tǒng)，將其作為緩沖服務器，還會嘗試識別經(jīng)常與POS系統(tǒng)通信的服務器，并利用正常通信來避開檢測。

保障POS環(huán)境的安全

許多一體化POS系統(tǒng)建立在通用操作系統(tǒng)上，如Windows Embedded、Windows XP和更高的版本，或者Unix操作系統(tǒng)（包括Linux）。這些系統(tǒng)很容易遭受各種攻擊，從而導致大規(guī)模的數(shù)據(jù)泄露。常見的針對POS系統(tǒng)的攻擊途徑是通過公司網(wǎng)絡。一旦取得公司網(wǎng)絡的訪問權，攻擊者就可以穿梭于網(wǎng)絡，直到取得POS網(wǎng)絡入口點的訪問權。

要保護信用卡數(shù)據(jù)和POS環(huán)境，抵御復雜的多階段攻擊，就需要多層防護手段：實現(xiàn)端點保護，需要采用可提供多層防護的強大的端點防護解決方案；基于主機的訪問控制可以保障與POS設備相連的服務器的安全；在網(wǎng)關（尤其是電子郵件網(wǎng)關）建立第一道防線是阻截網(wǎng)絡罪犯的關鍵；服務器和POS系統(tǒng)需要強大的身份驗證控制，以阻止未經(jīng)授權的訪問；SSL證書可在數(shù)據(jù)傳輸時進行加密，確保信用卡持卡人數(shù)據(jù)的安全；數(shù)據(jù)泄露防護解決方案可掃描離開網(wǎng)絡的通信，以確保機密數(shù)據(jù)不會從環(huán)境中流失。

1.確保Windows和Windows Embedded POS設備的安全

Symantec Endpoint Protection集成了多層防護功能以保護端點的安全。除了基于特征的標準防病毒功能之外，Symantec Endpoint Protection 還可提供應用程序控制、網(wǎng)絡威脅防護、設備控制和基于行為和信譽的惡意軟件檢測，以保護客戶信用卡數(shù)據(jù)的安全。

控制哪些應用程序能在POS設備上運行，是抵御未經(jīng)授權的訪問和攻擊的十分重要的方法。通過Symantec Endpoint Protection中的應用程序控制功能，客戶可以采用強大而靈活的黑名單和白名單功能，鎖定POS系統(tǒng)并阻止攻擊?？蛻艨梢詫贸绦虻膱?zhí)行限制在運行POS設備所必需的基本應用程序范圍內(nèi)，從而進一步提高系統(tǒng)的安全性。在白名單模式下，Symantec Endpoint Protection可使用文件位置參數(shù)驗證應用程序是否經(jīng)過批準。

Symantec Endpoint Protection還增加了一層安全保障層，即入侵防護系統(tǒng)（IPS）和基于規(guī)則的防火墻，以攔截針對POS設備的基于網(wǎng)絡的攻擊?？蛻艨梢酝ㄟ^防火墻限制POS系統(tǒng)上哪些應用程序可以進行網(wǎng)絡通信或者可以使用哪些端口，以及允許應用程序執(zhí)行哪些操作等。

為避開網(wǎng)絡和應用程序的控制，某些網(wǎng)絡罪犯會嘗試通過物理方式接入POS設備。客戶可以通過Symantec Endpoint Protection阻止并精確控制連接到POS系統(tǒng)通信接口上的設備，如 USB、固件、串口和并口等。該解決方案可阻止對端口的全部訪問，或只允許具有特定供應商ID的某些設備進行訪問。Symantec Insight采用基于信譽的安全技術，可以跟蹤來自數(shù)百萬個系統(tǒng)的數(shù)十億個文件，以識別新生成的威脅。該技術利用環(huán)境感知功能，可將存在風險的文件與安全文件分離開來，從而更快、更準確地檢測出惡意軟件。

SONAR技術使用人工智能和成熟的行為分析功能，能夠檢測出新出現(xiàn)的威脅和未知威脅。它會在文件執(zhí)行時實時監(jiān)控1000多種文件行為，以識別可疑行為，并刪除惡意應用程序。為加強零日威脅檢測，客戶可將SONAR與Symantec Insight一起使用。

2.確保服務器和非Windows POS設備的安全

無論POS設備運行Linux、Unix操作系統(tǒng)，還是其他非Windows 操作系統(tǒng)，Symantec Critical System Protection都可以提供這些設備所需的強大防護功能。Symantec Critical System Protection是保護網(wǎng)絡服務器以防復雜的多階段攻擊的理想解決方案。在多階段攻擊過程中，網(wǎng)絡罪犯常常會將POS環(huán)境或相關公司網(wǎng)絡中的服務器作為攻擊目標。Symantec Critical System Protection 綜合采用基于主機的入侵檢測（HIDS）、主機入侵防護和沙盒等技術，主動強化服務器并阻止攻擊。

Symantec Critical System Protection可以嚴格限制系統(tǒng)操作，并防止惡意進程的執(zhí)行。它采用具有“默認拒絕”策略的應用程序白名單和受保護的白名單模式，提供允許在受限的沙盒中運行不在白名單中的應用程序這一功能選項。為抵御新的威脅類別，該解決方案使用了包括沙盒和過程訪問控制（PAC）在內(nèi)的全面IPS防護技術。

在數(shù)據(jù)中心和POS環(huán)境中，由于Symantec Critical System Protection對通過網(wǎng)絡或互聯(lián)網(wǎng)進行通信的需求有限，故而可以降低網(wǎng)絡帶寬消耗。該解決方案不僅可通過保護服務器和POS 設備不受攻擊，以減少帶外修補周期，并保護不受支持的早期系統(tǒng)，而且具備預定義的、有針對性的防護策略，因此對企業(yè)運營的影響微乎其微。

Symantec Web Gateway和賽門鐵克網(wǎng)絡安全云服務可抵御基于網(wǎng)絡的威脅（如惡意軟件和間諜軟件），讓客戶在網(wǎng)關層面攔截新的和未知的惡意軟件，使之無法到達端點，并可檢測并自動隔離可疑行為。Symantec Messaging Gateway和賽門鐵克電子郵件安全云服務可提供跨電子郵件平臺的主動防護。

賽門鐵克的解決方案可以確保POS環(huán)境的訪問安全、網(wǎng)絡通信安全和客戶數(shù)據(jù)的安全，抵御內(nèi)部和外部威脅。Symantec Data Loss Prevention會在持卡人數(shù)據(jù)的存儲或使用位置（包括端點、數(shù)據(jù)中心和網(wǎng)絡）進行發(fā)現(xiàn)、監(jiān)控和保護操作。為防止數(shù)據(jù)使用不當或被盜，該解決方案可識別任何異?；蚍闯；顒?，包括信用卡數(shù)據(jù)在不合適的數(shù)據(jù)存儲區(qū)可疑的積聚，或不恰當?shù)卦L問任何敏感數(shù)據(jù)。

多層安全防護

賽門鐵克可提供全面的安全專業(yè)知識和廣泛的解決方案，以保護信用卡持卡人數(shù)據(jù)的安全，抵御持續(xù)、復雜的網(wǎng)絡攻擊。在POS終端和Web自助服務終端上，賽門鐵克可提供多層防護，以強化端點保護，抵御復雜的攻擊，并可為服務器提供全面的安全保障，防止威脅滲透到網(wǎng)絡中。賽門鐵克的網(wǎng)關防護產(chǎn)品增加了更多防御層，可阻止試圖通過電子郵件或 Web 攻擊突破應用環(huán)境的企圖，還憑借可攔截未經(jīng)授權用戶訪問的基于云的雙重身份驗證服務、可對傳輸中的信用卡持卡人數(shù)據(jù)進行加密的安全套接字層 （SSL） 認證產(chǎn)品，以及可確保POS數(shù)據(jù)不會丟失或被盜的數(shù)據(jù)泄露防護技術，進一步抵御攻擊。

賽門鐵克的安全情報以賽門鐵克全球情報網(wǎng)絡為后盾，通過多種先進的檢測功能（如 Insight、SONAR、Disarm和Skeptic技術）為解決方案提供支持。深入的安全專業(yè)知識加上諸多業(yè)界領先的解決方案，使得賽門鐵克成為幫助客戶保護POS環(huán)境以防當今復雜攻擊的理想合作伙伴。