曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        如果加密密鑰易受攻擊,則銷售點也是如此
        發布時間:2020-07-14 20:03:27   閱讀次數:

        如果加密密鑰易受攻擊,則銷售點也是如此(圖1)

        南非調查人員上周透露,欺詐者一年多前從該國郵局的銀行部門偷走了超過320萬美元,這強烈提醒人們,如果密鑰沒有受到保護,加密并不意味著什么。


        該違規行為發生在2018年12月,迫使該銀行重新發行1200萬張支付卡。這一切都是因為Postbank的36位加密數字主密鑰被印在了人們擔心的內部工作中。


        點對點加密管理公司Bluefin的首席戰略官Ruston Miles表示:“每次,密鑰管理中都會發生加密漏洞?!?/p>


        Miles說,例如,一家全球公司可能會為全球站點獲得數千個新的支付終端,并購買注入到系統中的加密密鑰。


        支付卡行業安全標準委員會顧問委員會成員邁爾斯說:“但是在整個過程中,有人忘記打開鑰匙?!?“當加密不是經過認證的,經過驗證的系統的一部分時,就會發生這種事情?!?/p>


        他補充說,該公司可能懷有良好的意愿并盡了最大的努力,但是“如果沒有外部實體定期按照某個特定標準審核和驗證控制措施,它們最終將不合時宜,黑客就會介入?!?。


        大約在同一時間,南非郵局銀行正在處理管理不當的加密密鑰的后果,青年零售商克萊爾的電子商務網站遭受了一次破壞,惡意軟件隱藏在“提交”按鈕后面以發起交易,從而使其成為可能。黑客很容易將付款數據路由到偽造的域并竊取它。


        該事件與其他許多零售數據泄露事件不太相似,它說明了加密服務的另一點:它們仍然是一種硬件到硬件的解決方案,而那些可能試圖避免這種費用并轉向基于軟件的保護的零售商冒著以下風險:麻煩。


        Miles說,由于加密密鑰位于過程的前端和后端,因此務必記住這些密鑰“只能存在于硬件中,就像存在硬件安全模塊中一樣”。


        邁爾斯指出:“鑰匙必須存放在與需要付款的卡分開的區域?!?“那個單獨的區域不能被暴露,加密必須在加密區域內進行,然后才能進入應用程序或軟件層,甚至是設備的各個層?!?/p>


        對于PCI委員會和其他安全專家來說,這個問題是長期以來的關注點。


        Aite Group高級網絡安全分析師Joe Krull說:“軟件開發人員通常不了解加密的復雜性,總是將密鑰直接編碼到他們的應用程序中,就像他們經常使用硬編碼的用戶名和密碼一樣?!?“這很容易,而且延遲很短,但是并不安全?!?/p>


        這樣,硬件安全模塊或HSM仍然是加密密鑰保護的最佳解決方案。


        克魯爾說:“我無法數出我審核過的加密密鑰存儲在數據庫中的數據庫數量?!?/p>


        為了彌補其被視為突出的安全弱點,PCI委員會最近更新了其P2PE標準,以簡化組件和軟件提供商的驗證過程,希望此舉最終將使更多產品可用于持卡人保護。


        HSM通常被認為對于中型和小型商家而言過于昂貴,每單位價格在4,000美元至5,000美元之間,因此迫使許多公司考慮也不支持加密的其他選擇。


        KHull補充說:“由于區塊鏈的部署,HSM煥發了新的生命,有望通過大規模生產降低成本?!?/p>


        但是,密鑰管理并不像確保它位于HSM中那樣簡單,沒有人可以訪問它。


        克魯爾說:“密鑰管理既復雜又困難?!?“拆分密鑰和托管更加困難,這是專家需要經常參與的地方,以便密鑰管理者離開云環境時,整個基礎架構不會變得不可用?!?/p>


        最終,P2PE仍然是保護持卡人數據并縮小商戶PCI范圍的有效方法。它的重要性使得評估者幾乎不可能對不包含強大密鑰管理功能的商家或服務提供商解決方案發表正面意見??唆敔栄a充說:“從字面上看,這是POS基礎架構的關鍵?!?“如果沒有HSM,那將是一件很難的事,它將需要對所有控制措施進行詳盡的審查?!?/p>


        當安全行業繼續看到基于不良密鑰管理的漏洞時,這令人不安。


        邁爾斯說:“你不希望加密得一個壞名聲,因為當人們僅僅把某件事弄錯了的時候,那真是愚蠢?!?/p>


        Miles堅持這一口號,即加密過程應遵循支付行業標準,而PCI合規性是關鍵指標。盡管如此,安全提供者與PCI理事會之間仍存在沖突,特別是如果公司認為其HSM在流程中比理事會建議的更重要的話。


        世界上最大的零售商建立并管理自己的安全密鑰,因為他們不希望由單個收單方來管理該過程。排名低于頂級公司的大型公司通常會轉向諸如First Data,Elavon,Global Payments,TSYS或其他公司之類的收購方。他們通常與金雅拓(現Thales)等公司合作以獲取HSM(SafeNet Luna HSM)。


        但是,即使是主要的收購方和加工商也已經轉向像Bluefin這樣的公司來全職管理加密密鑰,這種趨勢應該會減少與密鑰管理問題相關的違規行為。


        較小的零售商大多使用將P2PE服務帶到桌面的支付網關,其運作方式類似于支付安全鏈中的增值經銷商。邁爾斯說:“但是現在,各種規模的企業都可以使用加密服務,而收購方則將其納入其安全性和合規性服務中?!?/p>


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精