携程信用卡门的PCI-DSS合规启示

近期,国内知名的民间组织乌云平台曝光了携程信用卡信息泄露漏洞,携程旅行网立即启动了安全应急响应流程,及时通知了93名潜在风险用户换卡。看起来比较圆满的一件事件,却引发了信息安全界的不少质疑。

信息安全及在线金融服务专业人员们关注的焦点主要有三条:

1.携程旅行网记录了太多的信用卡信息,包括CVV,不管是以明文还是以加密的方式,这显然和PCI-DSS的精神不符,专家们在质疑PCI DSS落地情况,为携程旅行网提供PCI DSS牌照相关信息安全评估、审计与认证的服务商也受到了指责;

2.在安全支付服务器系统中进行在线调试,而且是“线上竟长时间打开调试功能”,显然和IT管理中“测试系统与生产系统分开”的基本软件开发及变更管理精神严重不符,携程旅行网的IT服务管理实践受到了质疑。

3.服务器未做严格的基线安全配置,存在目录遍历方面的安全漏洞。核心后台服务器缺乏基本的安全加固措施,让黑客可以从外部轻易获得相关明文日志信息,看起来基本的信息安全管理措施和流程很不到位。

不过话说过来,人人都是马后炮。昆明亭长朗然科技有限公司金融行业信息安全顾问James称:显然携程旅行网信用卡门只是冰山一角,这不仅仅是知名电商对支付卡行业数据安全标准PCI-DSS的合规遵循问题,而是信息安全相关的认证和监管生态出现了严重问题!

多数甲方将赚钱放在第一位,相关的认证和牌照只是拿来争取政府的补助和展示给客户看,其实质并不注重长久的数据安全,所以也不下功夫培训教育员工,只寄希望于咨询第三方快速通过牌照审核。

不少安全服务公司也是不学无术,靠一两个懂行的资深员工,带一批刚入门的毕业生,修改一些文件模板,拼拼凑凑一些报表报告,就在那儿糊弄客户,再通过走关系,请吃饭等等糊弄审核机构,最后的结果就是客户交钱,买个证书,在安全管理上没有什么改变。

发牌照的机构,搞一套死板的审核流程,两三次就被客户和咨询服务公司摸透了,剩下的不是被糊弄的份了,就是只管视查、盖章和收钱了。长期这样下去,如何能让消费者信得过信息安全相关的审计监管机构啊?还不如公司请个懂行的认证的老外每年来一次呢。

您可能会说漏洞就漏洞嘛,流程上的管理上的技术上的都难避免,也没有造成严重的损失啊。貌似如此,实际上,这里的损失无法估量,在地下黑暗经济中能够造成的损失有多少?每年的网络犯罪团伙有从这些漏洞中获得了多少?一些莫名其妙的金钱丢失就和这些漏洞有关!

如果漏洞发现者没有在乌云平台上进行曝光,而是私下享用并卖给地下黑客市场,那黑客们零星的这花那儿花,国内的老百姓有几人能从发卡行或银行里获得公正呢?国内的商家有多少能在交付了货物或服务但银行却不给钱之后得到维权呢?

我们不要把线上服务商想得太坏,有问题不好好解决,只要搞搞表面工作糊弄过去了事儿。没有公司想把自家的负面新闻闹大,影响公司商业形象和信誉,进而造成业绩下滑。所以,我们要理解携程旅行网的安全应急响应措施,人们的态度又是那么的诚恳,我们不要给人家太多的责难,而要深思问题的根源何在,并且从自身找出类似的问题并改之。

如果您是携程公司的大客户或合作伙伴,当然有权力提出自己所关心的安全问题,甚至可以要求相关的报告,并进行现场的安全审核,只是那些信用卡发卡行并没有好好做这些工作,哪一天携程的系统出现意外,来个批处理,瞬间让钱哗哗流走,这些关联方都会跟着倒霉,那时可真会成为国际头条新闻呢。

同时我们也不要把国人的安全渗透水平想得太差,菜鸟们也可能在不断尝试和学习中超越专业的计算机安全人员。我们需要外界的专业安全力量来进行安全评估和渗透测试,悬赏漏洞发现者是个聪明的做法。

一下子暴露出这么多问题,这些问题的背后根源何在?昆明亭长朗然科技有限公司James说:我们根本没有一个合规守法的文化!这才是问题的核心。除非携程旅行网想利用其罪恶的手段,希望通过掌握最多客户身份和信用卡信息来达到保留客户的目的,否则没有道理违法存储这么过多客户信息,给自己公司和客户同时置于风险之下。

如果说携程旅行网没有罪恶的留住客户的手段,那则是他们缺乏必要的信息安全意识、IT服务管理方法与合规守法经营理念,让全体员工参加诸如PCI-DSS基础培训是一个解决之道,不论是为客户,为公司,还是为投资者,携程和我们都应该立即行动起来。

建立合规守法的企业文化的关键在:1.让人们理解法规的精神,2.让人们遵守法规的条款。通过多层次的员工沟通可以让人们明白法规的精神,了解法规的精神内涵远比宣读法规内容本身重要的多。而多数人在了解精神之后会同意并遵守,那些少数知法但不愿守法的才是我们工作的焦点,要做的是通过必要的奖惩措施来激励员工们积极遵守和实践法规的精神。

未来的企业安全重点在大数据分析

大数据分析俨然成为目前各行业了解用户潜在需求、挖掘商业价值、改进服务质量和提升客户满意度的一大利器,也是各大信息服务提供商决战企业级大客户市场的焦点。的确,行业内人士相见,三句不离大数据,否则就恍如隔世。

如同电子商务、在线赌博以及网络色情服务业,网络犯罪份子也是大数据技术的先行体验者,他们部署最先进和快速的方案,用来窃取价值不菲的商业信息。昆明亭长朗然科技有限公司大数据行业观察员James Dong说:我们已经进入一种由智能化驱动的安全时代,传统的静态化安全防范措施无法应对被高度智能化武装过的信息窃贼,我们需要走在网络犯罪份子的前面,比他们更加聪明和智慧,这样才能赢得大数据时代的信息安全战争。

索尼和塔吉特这类世界级的知名公司都被黑客搞成国际头条新闻,集团高管们连续几个季度睡不安稳都是小事儿,客户严重流失、商业信誉不保、生意亏损尚能撑着则是常态,严重点儿的话就是昔日的世界五百强公司在瞬间倒闭!

黑客们早已不再简单通过单一的方式入侵,比如分析网站和应用的技术漏洞,通过钓鱼邮件和诈骗电话等社工攻击,他们变得日益狡猾,狡猾到熟知业务流程。昆明亭长朗然James表示:攻击者打探业务流程中的安全弱点这种事儿是很可怕的啊,其实大型公司中的绝大多数员工都不清楚业务流程中的严重安全弱点,因为人们的专业技能、职责范围、精力和视野都是很有限的,即使是专注于业务内部控制、风险防范和安全审计的人员也不是商业流程安全方面的全能人士。

但是狡猾的训练有素的黑客们却能借助大数据来快速学习和分析攻击目标,在很短的时间内超越多数公司内部人员,对攻击目的的内部业务流程的安全控管和薄弱之处一览无余。针对塔吉特Target的攻击便是明显的一例,犯罪份子通过业务流程中的关键一环——PoS零售终端进而渗透到PoS后台系统,直取客户信用卡信息。事后,Target花了不少功夫找懂安全防范的人才,最终找了一位没有IT背景的高管。

其实我们再看看Stuxnet伊朗核设施攻击案例——攻击者选择的是利用西门子工业控制系统的安全漏洞,这是事先业界几乎都无人知晓的薄弱环节。

那如何能够应对掌握大数据分析这类高科技武器的网络犯罪份子呢?信息安全业界专家们常常呼吁复合型跨学科的安全人才,来进行信息安全风险评估,的确,万精油式什么都懂的安全精英在适当的环境和舞台下能够全面发掘业务流程中的安全弱点并提供修复建议。然而这种人才是很难培养和获得的,也是如同夏洛克福尔摩斯一样的稀缺资源。

有没有替代的方案呢?昆明亭长朗然公司James说:最佳的方案是让业务一线人员了解基本的信息安全理念,让他们将这些理念应用到实际工作之中,这样,业务流程中的安全漏洞方能被有效发掘和修复。

信息安全人员通常发现不了业务流程中的安全问题,是因为信息安全人员不是业务流程方面的专家,简单说不懂业务。而业务流程相关人员通常也发现不了业务流程中的安全问题,是因为业务部门人员不懂信息安全。传统的思维是让信息安全人员学习更多业务相关知识,了解更多业务流程,为什么不换一个角度,让业务人员了解更多信息安全知识呢?

大数据分析是业务流程的创新,离不开业务人员,网络犯罪份子在利用大数据分析来发现安全漏洞,我们要做的是在大数据分析领域超越这些坏家伙们,武装起我们的业务团队人员的头脑,早于坏家伙们之前发现业务流程中的安全漏洞并及时修复之。

要让众多专注于创新和效率的业务单元部门员工们了解基础的信息安全理论和知识,我们无疑需要强化基础信息安全意识教育,并鼓励员工们积极思索和找寻业务流程中的不安全因素和潜在安全隐患,并与信息安全团队人员保持密切沟通和交流。昆明亭长朗然科技有限公司,专注于保障信息安全管理团队与业务部门或单元的顺利沟通,欢迎和我们联系洽谈业务合作。