ホテルにはもちろん、同様の様々な施設があり、スタッフはゲストのオーナーとして私たちの前に一定の責任を負っています。
ただし、ホテルにはデータ、通常はクレジットカードの詳細も保存されます。 ホテルでの共振データ盗難を考慮に入れると、この業界はセキュリティの観点から正当化されていないと結論付けることができます。 攻撃者が選択する攻撃の方向は、大規模な小売チェーンのPoS端末(POS)の攻撃にマルウェアを使用する場合とまったく同じであることがわかります。
はい、間違いなく、BlackPOSやその他のタイプのバックドアは、クレジットカードのキャッチをチェックするために、数か月間休暇にホテルを選んでいます。
そして、最も印象的なのは、小売店での大量のデータ漏洩の事例から学んだ有用な経験がほとんどないことです。
PoSマルウェア攻撃シナリオ(PoSware)
実際、これらのすべての事件を研究すると、攻撃の選択されたターゲットに新しいものは何もないことに注意することができます。 まだ1つありますが、既知の方法とは対照的に、進行中のPoS感染の秘密です。
いずれにせよ、ほとんどの情報セキュリティの専門家は、おそらく次のシナリオに同意するでしょう。
•攻撃者は、セキュリティホール-フィッシング、SQLインジェクション、およびその他の既知の脆弱性(デフォルトのパスワードなど)に侵入します。 リモート管理ツール(RAT)または同様のアプリケーションは、攻撃を開始するためによく使用されます。
•内部に侵入した後、ポートスキャン、Active Directoryおよびその他のインフラストラクチャオブジェクトの標準命名規則、パスワードクラッキング、およびパスハッシュなどの標準的な手法を使用して移動します。 この段階の目標は、PoS端末またはサーバーを見つけることです。
•PoSデバイスが特定されると、攻撃者はRAMスクレイピングなどの特別なソフトウェアを使用してペイロードを生成します。これは、サーバーのメモリを調べ、処理中にデータをキャプチャするのに役立ちます。 この時点で、Poswareが制御し、攻撃者がリモートで制御します。
•次に、PoSwareはサーバーのメモリで検索を開始し、クレジットカード情報を収集し、定期的にファイルシステムにフラッシュします。
•最後に、PoSwareは、このファイルをHTTPメッセージのPost / Getリクエストに埋め込むことにより、クレジットカードデータを含むファイルを攻撃者のサーバーに送信します。
実際には多数のオプションがありますが、上記のシナリオは、近年遭遇したPoSデバイスに対するほとんどの攻撃にとって非常に典型的なものであることに注意してください。
防衛から遊ぶ
誰もが知っているように、攻撃が発生すると(ハッカー攻撃、情報セキュリティの専門家もキルチェーンを理解します)、さまざまな段階で攻撃を阻止する方法を理解しています。
PoSハッキングの状況を変えた要因の1つは、アマチュアがプロに取って代わったことです。 Black Atlasなどの犯罪組織は、PoSハッキングを犯罪産業に変えました。
したがって、特にホテル業界やレジャーおよびエンターテインメント業界で働いている場合、ITによって解決されるタスクの既存の構造でPoSwareのキルチェーン(保護戦略)の優先度を上げることがさらに重要になります。
少額の投資で大きなセキュリティ上の利点がもたらされると思われるいくつかの重要な領域を以下に示します。
•従業員の教育-フィッシングメールがどのように見えるかを従業員に説明すると、最初からほとんどの攻撃を防ぐことができます。 これは、最初に送信者の信頼性を確認するか、そのアドレスを一意に識別するまで、外部の送信者からリンクや添付ファイルを起動しないでください。
• データ管理 -攻撃者、これらはより発達した文明からのエイリアンではありません。 他のすべての人々と同様に、彼らは情報の最初の観察と分析のためにファイルシステムにアクセスできなければなりません。 その考えは、ACL(アクセス制御リスト)を慎重に分析し、アクセスを制限して、ハッカーがランダムなユーザー資格情報を使用できないようにすることです。 重要なフォルダおよびディレクトリ内のファイルの読み取り、コピー、作成ができませんでした。
•ホワイトリスト-PoSシステムでは、インストールされているソフトウェア製品のリストを厳密に定義する必要があります。 最後に、これは、クレジットカードトランザクションの処理という1つのタスクのみを解決するコンピューターです。 理論的には、ホワイトリストの使用により、システムが非標準の実行可能ファイルの実行から保護され、ハッカーソフトウェアの効果的な解毒剤として機能します。 状況は異なりますが。 たとえば、最近のいくつかの攻撃では、カーネルの変更が発生したときにルートキットテクノロジーが使用され、マルウェアがオペレーティングシステムからほとんど見えなくなりました。
•現在の更新-セキュリティに影響する最新の更新があることを確認してください。
•資格情報の管理/ Pass-the-Hash(PtH)攻撃の役割の緩和は広大な領域であり、その本質は、資格情報を取得する簡単な方法をハッカーから奪うことです。 組織に厳格なパスワードポリシーがあり、テキストファイルまたはハッシュファイルとして保存されているパスワードを検索および削除していることを確認してください。可能であれば、LSASSメモリにクリアテキストでパスワードを保存するWindowsコンポーネントを無効にします。 最後に、ドメイン管理者アカウントがローカルネットワークやユーザーのコンピューターで使用されていないことを確認します。これにより、ハッカーがPtHを盗むことができます。
UBA?
攻撃者は常にチャンスを利用しようとし、それらを取得することができます-変更されていないデフォルトのパスワード、時間通りにインストールされなかったパッチやアップデート、またはITディレクターを指揮するためのフィッシングや攻撃の成功など。
また、防御できないゼロデイ脆弱性もあります。
そして、そのような状況では、通知および監視機能が決定的な役割を果たし始めます。 外部からの侵入やウイルス対策スキャンを検出するだけではありません。 要確認:PoS攻撃者は内部から行動し、その活動はほとんど見えませんが、純粋に標準的でよく知られた検出方法を使用し続けます。
これらの現実では、私のアドバイスは3つの言葉で表現されます:ユーザー行動分析
ホテル業界の情報セキュリティスペシャリストであるあなたは、既存のインフラストラクチャ上のユーザーとシステムの現在のアクティビティを考慮することなく、これらのサイバー犯罪者を検出することはできません。
攻撃者は、通常のユーザーの作業をシミュレートするアクティビティを生成することにより、システム構成ファイルへのアクセス、大量のファイルのコピーまたは移動、クレジットカードデータの暗号化、つまり特定のユーザーにとってもはや日常的ではないアクティビティの作成を同時に行うことができます。
そして、ここで行動分析が現場に出てきます。 これにより、実際のユーザーの権利と職責の枠内で平均を制御したり、実際のユーザーの通常の動作を制御したり、逸脱した場合はセキュリティ部門に通知したりできます。
ホテルのPoSシステムへの外部からの侵入の事実を行動分析を使用して防ぐことはできないかもしれませんが、攻撃用に選択されたセグメントを判別し、理想的にはクレジットカードデータの盗難を防ぐことができます。