曹乙帆當前第三方支付充斥許多有待強化的許多安全問題,除了支付平台、交易傳輸,與各類型支付載具與終端安全外,最重要的莫過於支付資料的安全防護,其重點不外確保網路營運安全與持卡人資料安全之防護。企業必須做好 APT 防護與行動端點的妥善保護,才能實現第三方支付之網路營運安全與持卡人資料安全的要求。
本文目錄
HP ESP 實現從邊際網路、應用系統到弱點維護之全面安全
當前許多企業會引進雲端運算、虛擬化、行動裝置及自攜裝置上班 (BYOD) 等新興科技,但若沒有針對新科技導入相對應且良好的安全防護技術,自然會有招致更多像是匿名 (Anonymous) 、國家贊助與 LulzSec 等駭客組織發動新興攻擊手法的可能風險。 HP 北亞區資訊安全事業處資深技術經理林傳凱指出,持卡人資料流會經過應用程式系統及網路基礎設施,所以在任何評估活動之前,將所有持卡人資料流文化件化是非常重要的必要措施。同時,信用卡資產清冊應該對所有儲存、處理及傳送持卡人資料的系統進行定義。
大多數攻擊者會透過客製化的惡意程式,來規避企業標準的網際網路閘道與使用者端資訊安全防禦機制。其中尤以 APT 攻擊最為猖獗且難以防範,這點可從許多知名大廠包括 Zappos.com(2,400 萬筆)、 TJX(9,500 萬筆)、 Sony(1.01 億筆)及 Heartland Payment System(1.3 億筆)等公司資料外洩數量一個比一個還多的慘痛事件獲得證明,甚至連知名的安全廠商 RSA 也無法倖免,結果造成多達 4,000 萬筆資料的外洩。
這些可怕的惡意攻擊除了非常擅用 www 、 POP3 、 SMTP 及 IMAP 等不同網路協定外,並喜歡使用各種不同的網路埠與遠端存取工具,例如 Poison Ivy,其中駭客使用比例最高達 40% 的網路埠是 Port 443,其次則為 30% 的 Port 80,而 Port 220 與 Port 143 的使用比例也分別達到 11% 與 9% 。
原則上當前企業大致都了解 APT 等各種攻擊的可怕程度與高風險性,但儘管如此,絕大部分的企業仍然沒有做好完善的準備工作。林傳凱引用 IDG Research 的研究報告指出,有 95% 的受訪 IT 專業人員不相信現有資訊安全防護機制能完全抵禦所有潛在的資安事件。最令人驚訝的,更有高達 2/3 的 APT 解決方案提供商,竟然無法或沒有能力隔離一台被感染的主機。
HP ESP(Enterprise Security Products) 提供完整的解決方案,這些方案是透過購併來自知名安全廠商像是 Fortify 、 ArcSight 、 TippingPoint 及 Atalla 的解決方案組合而成。針對當前一大安全威脅 APT,透過 Tipping Point 整合方案可以有效加以偵測並阻擋。 Tipping Point 整合方案是由許多先進方案共同組成,包括具備網路封包檢測、封鎖已知弱點、支援可信賴網路上線時間追蹤紀錄與在線威脅防護的次世代入侵防禦系統 (NGIPS);支援精細應用可見度與控制機制的次世代防火牆 (NGFW);提供業界領導安全智慧的數位疫苗實驗室、提供橫跨 NGIPS 與 NGFW 的集中式管理機制與部署裝置與安全政策之單一主控台的安全管理系統 (SMS);以及具備能對 100 種協定進行掃描之高階偵測功能與專門針對「零號病人」(Patient Zero) 感染與隨後橫向散佈威脅之進階防禦機制的進階威脅設備 (Advanced Threat Appliance, ATA) 。
上述產品並可搭配整合 ArcSight SIEM/Logger 所提供完備的告警及報表儀表板,同時多台 Logger 可整合成一份報表,達到進階威脅防護的要求。而且所蒐集匯集的日誌紀錄與報表內容不容竄改,輕鬆符合 NIST 、 FISMA 、 PCI DSS 、 SOX/JSOC 等法規遵循要求。
當前充斥著許多專門針對企業智慧財產、用戶資料、商業流程及交易秘密等應用程式的網路犯罪活動。根據 Gartner 與 Ponemon Institute 的年度研究報告指出,有高達 80% 成功的攻擊是針對應用程式,更有高達 86% 的應用程式存在安全漏洞。但令人憂心的是,明明資料外洩的平均成本多達 380 萬美元,但企業 IT 預算花費在應用程式安全上的比例竟然不到 10% 。
林傳凱表示,企業必須以系統性與前瞻性的正確做法,亦即軟體安全保護 (Software Security Assurance, SSA) 來面對應用程式安全的挑戰,首先必須在軟體開發生命週期 (Software Development Lifecycle, SDLC) 的開發流程中,加入資訊安全管理。接著利用安全檢測機制,彈性驗證上線前內部及外包廠商所交付的程式碼。第三步再檢測並保護在正式環境中執行的軟體。透過周而復始的循環機制,來不斷改善 SDLC 策略。
此外,企業必須做好弱點維護資訊安全管理工作,對此可針對線上環境,透過 Fortify 進行 Web 應用程式弱點掃描,整合 WebInspect 客製化數位疫苗以防駭客攻擊,同時結合 TippoingPoint 與 ArcSight 阻擋可疑連線,打造主動式 Web 應用程式資安弱點管理機制。總之,透過 Fortify 與 ArcSight 便可完美整合黑箱及白箱機制,讓企業內部所有應用程式弱點無所遁形。
尋求確保持卡人資料安全的最佳金鑰管理與交換機制
行動支付為市場帶來諸多商機與契機,HP 資訊安全事業處資深技術經理邱裕翔表示,當前行動支付市場無窮的商機,主要是由創新的行動科技與無所不在的連結能力所驅動。藉由行動支付解決方案,廠商可以全面提升產品及服務的價值鏈,而客戶也可透過行動設備存取行動銀行方便地進行取款與付款作業。更重要的是,商家可藉由持卡人與商店的距離遠近,提供針對性的優惠折扣等創新服務模式,進而為使用者創造能透過便利行動支付科技,在任何時間、任何地點進行特定商務與交易的絕佳環境。
雖然行動支付為商家與消費者創造打破時間、地域與裝置的方便交易環境與模式,但同時也讓駭客從中看到千載難逢的攻擊利益,結果導致許多重大信用卡資料外洩事件的爆發,其中知名美國零售巨頭 Target 因 PoS 系統遭到 APT 攻擊,而爆發有史以來最嚴重的資料外洩事件,共有多達 1.1 億筆信用卡與個人資料外洩,並創下總賠償金高達 1,900 萬美元的歷史紀錄。此外,2014 年南韓三家信用卡爆發超過 2,000 萬名民眾金融資料遭竊的史無前例資料外洩事件,而遭到信用卡全面停止交易的嚴厲處罰。
當前行動支付面臨網路應用程式攻擊、網路竊聽、行動裝置惡意程式、程式弱點、端末銷售機病毒與內賊等各式各樣的安全威脅。通常攻擊者會有一連串完整的攻擊流程:入侵、搜查、資料竊取、資料及軌跡刪除與銷贓。 HP 除了透過旗下 Security Research 進行入侵對象與弱點的研究以提供完備威脅情資外,並能針對攻擊者每一階段的攻擊流程提供安全防護。
針對入侵階段的精準釣魚與進階惡意程式,可以透過 HP TippingPoint 與 Fortify 有效加以阻絕。面對搜查階段下,駭客任何建構被入侵環境拓撲的不軌舉動,都能被 HP ArcSight 偵測出來。面對駭客竊取有價值資訊資產的惡意行為,更可以透過 HP Atalla 與 Security Voltage 達到資料保護的作用。針對駭客毀屍滅跡之舉,HP Service 可以支援緊急應變措施來因應。
邱裕翔表示,當前 BYOD 行動裝置數量成長幅度遠遠高於傳統 PC,再加上針對各種行動商務之 App 服務的激增,致使需要在動態交易中被保護的業務服務資訊與使用者身分內容資訊不斷攀升,再再反應出當前資料成長的速度,已經大大超出其能被充分保護的能力範疇之外。
隨著雲端與行動交易需求的高漲,導致我們面臨 IT 可控制基礎環境邊界逐漸消失,同時各類攻擊面不斷擴大的全新雲端與行動資訊基礎環境。在此環境下,以有價資料為目標的各種攻擊事件更加頻繁,並加速地由更多被入侵的內部員工裝置上急速地往外擴散。對於企業而言,今後法規遵循的風險及成本大幅提升,因為需要更加關注更專業的安全防護技術能力與更高的監管成本。
因應如此嚴峻的安全與法規挑戰,HP 提供可因應各種層面安全防護需求的一系列完整解決方案。透過 HP Atalla 與 HP Security Voltage 可以提供兼具 PCI/安全稽核/驗證範圍縮減、資料去識別化與隱私權保護,以及協同安全作業等全方位的資訊保護機制。其中 HP SecureData 支援高效能、無限擴充且不需儲存或管理金鑰資料庫的 HP 無狀態金鑰管理功能,以及可客製化客戶需求的加密與令牌化技術,進而發揮完整端到端資料保護與大量降低建置成本的即時效益。
此外,企業更可透過可與 ArcSight 資安管理平台完美整合的 HP ESKM 完整企業金鑰管理方案,來保護企業內部由 HP 與其他產品構成的資訊基礎架構。面對各式各樣的龐大資料,企業需要一套全面性的分類與防護機制,對此 HP 提供支援全自動化、使用者決定並提供完整使用情境與內文分析的 Atalla IPC 方案,該方案內建可以提供完備資訊生命週期分類、保護與控管的 DNS 模式資料分類技術。
為了降低傳統 PKI 金鑰交換的複雜性與不便性,HP 特別提供採用基於辨識之加密機制 (Identity-based Encryption, IBE) 的 SecureMail 安全郵件金鑰交換方案,IBE 是一個只需寄件者電子郵件的公開金鑰交換技術,透過簡單的個人資訊便能產生具備 1024 位元 RSA 公開金鑰強度的非對稱金鑰 PKI 架構,不失為兼具一流安全強度與方便性的最佳安全 E-mail 金鑰交換方案。