近幾年，有關(guān)個(gè)人數(shù)據(jù)和信用卡數(shù)據(jù)大量泄露的事件層出不窮。彭博《商業(yè)周刊》的一篇分析文章提到：2012 年，全球信用卡和借記卡欺詐導(dǎo)致的損失總計(jì)為112.7億美元；2014年1月，一次嚴(yán)重的攻擊至少泄露了1.05億人的身份信息。由于在黑市上兜售信用卡數(shù)據(jù)有利可圖，銷售點(diǎn)（POS）設(shè)備、POS環(huán)境和Web自助服務(wù)終端已成為網(wǎng)絡(luò)罪犯的主要攻擊目標(biāo)。

POS攻擊剖析

雖然卡安全技術(shù)有所改進(jìn)，而且也有支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），但POS系統(tǒng)的安全保護(hù)仍存在不足，再加上公司IT基礎(chǔ)架構(gòu)中普遍存在的安全漏洞，零售商面臨的安全威脅變得日益嚴(yán)重。

不論是零售店還是餐廳，在POS環(huán)境中支持信用卡交易處理需要安全的技術(shù)基礎(chǔ)架構(gòu)。基礎(chǔ)架構(gòu)中包括各種不同的POS終端、網(wǎng)絡(luò)服務(wù)器、臺(tái)式機(jī)和其他系統(tǒng)。網(wǎng)絡(luò)罪犯往往通過(guò)多階段攻擊的手段，獲取POS和Web自助服務(wù)終端環(huán)境中信用卡持卡人的數(shù)據(jù)。多階段攻擊通常包括以下幾個(gè)階段。

滲透 攻擊者可以通過(guò)多種方法獲取公司網(wǎng)絡(luò)的訪問(wèn)權(quán)。他們可能會(huì)找尋對(duì)外系統(tǒng)中的弱點(diǎn)，例如對(duì)Web 服務(wù)器使用SQL注入或?qū)ふ胰允褂弥圃焐棠J(rèn)密碼的外圍設(shè)備。

網(wǎng)絡(luò)遍歷 網(wǎng)絡(luò)罪犯秘密安插在網(wǎng)絡(luò)中的惡意文件可能會(huì)隱藏?cái)?shù)周、數(shù)月或數(shù)年，以刺探、掃描并收集網(wǎng)絡(luò)的有關(guān)信息。

數(shù)據(jù)竊取工具 專門設(shè)計(jì)用于從POS系統(tǒng)竊取數(shù)據(jù)的惡意軟件。這些數(shù)據(jù)文件往往需要通過(guò)內(nèi)部網(wǎng)絡(luò)傳輸?shù)蕉鄠€(gè)計(jì)算機(jī)跳點(diǎn)，然后到達(dá)可訪問(wèn)外部系統(tǒng)的系統(tǒng)中。

持續(xù)性和隱秘性 攻擊者在以POS系統(tǒng)為目標(biāo)時(shí)，攻擊需要花時(shí)間收集數(shù)據(jù)，因此攻擊者需要保持代碼的持續(xù)性。在安全性較高的環(huán)境中，攻擊者很可能會(huì)先行取得受損管理憑據(jù)的訪問(wèn)權(quán)，并使用這些憑據(jù)清除日志，禁用監(jiān)控軟件和系統(tǒng)，甚至修改安全軟件配置以避開(kāi)檢測(cè)。

滲漏 攻擊者可能會(huì)“劫持”內(nèi)部系統(tǒng)，將其作為緩沖服務(wù)器，還會(huì)嘗試識(shí)別經(jīng)常與POS系統(tǒng)通信的服務(wù)器，并利用正常通信來(lái)避開(kāi)檢測(cè)。

保障POS環(huán)境的安全

許多一體化POS系統(tǒng)建立在通用操作系統(tǒng)上，如Windows Embedded、Windows XP和更高的版本，或者Unix操作系統(tǒng)（包括Linux）。這些系統(tǒng)很容易遭受各種攻擊，從而導(dǎo)致大規(guī)模的數(shù)據(jù)泄露。常見(jiàn)的針對(duì)POS系統(tǒng)的攻擊途徑是通過(guò)公司網(wǎng)絡(luò)。一旦取得公司網(wǎng)絡(luò)的訪問(wèn)權(quán)，攻擊者就可以穿梭于網(wǎng)絡(luò)，直到取得POS網(wǎng)絡(luò)入口點(diǎn)的訪問(wèn)權(quán)。

要保護(hù)信用卡數(shù)據(jù)和POS環(huán)境，抵御復(fù)雜的多階段攻擊，就需要多層防護(hù)手段：實(shí)現(xiàn)端點(diǎn)保護(hù)，需要采用可提供多層防護(hù)的強(qiáng)大的端點(diǎn)防護(hù)解決方案；基于主機(jī)的訪問(wèn)控制可以保障與POS設(shè)備相連的服務(wù)器的安全；在網(wǎng)關(guān)（尤其是電子郵件網(wǎng)關(guān)）建立第一道防線是阻截網(wǎng)絡(luò)罪犯的關(guān)鍵；服務(wù)器和POS系統(tǒng)需要強(qiáng)大的身份驗(yàn)證控制，以阻止未經(jīng)授權(quán)的訪問(wèn)；SSL證書(shū)可在數(shù)據(jù)傳輸時(shí)進(jìn)行加密，確保信用卡持卡人數(shù)據(jù)的安全；數(shù)據(jù)泄露防護(hù)解決方案可掃描離開(kāi)網(wǎng)絡(luò)的通信，以確保機(jī)密數(shù)據(jù)不會(huì)從環(huán)境中流失。

1.確保Windows和Windows Embedded POS設(shè)備的安全

Symantec Endpoint Protection集成了多層防護(hù)功能以保護(hù)端點(diǎn)的安全。除了基于特征的標(biāo)準(zhǔn)防病毒功能之外，Symantec Endpoint Protection 還可提供應(yīng)用程序控制、網(wǎng)絡(luò)威脅防護(hù)、設(shè)備控制和基于行為和信譽(yù)的惡意軟件檢測(cè)，以保護(hù)客戶信用卡數(shù)據(jù)的安全。

控制哪些應(yīng)用程序能在POS設(shè)備上運(yùn)行，是抵御未經(jīng)授權(quán)的訪問(wèn)和攻擊的十分重要的方法。通過(guò)Symantec Endpoint Protection中的應(yīng)用程序控制功能，客戶可以采用強(qiáng)大而靈活的黑名單和白名單功能，鎖定POS系統(tǒng)并阻止攻擊?？蛻艨梢詫?yīng)用程序的執(zhí)行限制在運(yùn)行POS設(shè)備所必需的基本應(yīng)用程序范圍內(nèi)，從而進(jìn)一步提高系統(tǒng)的安全性。在白名單模式下，Symantec Endpoint Protection可使用文件位置參數(shù)驗(yàn)證應(yīng)用程序是否經(jīng)過(guò)批準(zhǔn)。

Symantec Endpoint Protection還增加了一層安全保障層，即入侵防護(hù)系統(tǒng)（IPS）和基于規(guī)則的防火墻，以攔截針對(duì)POS設(shè)備的基于網(wǎng)絡(luò)的攻擊?？蛻艨梢酝ㄟ^(guò)防火墻限制POS系統(tǒng)上哪些應(yīng)用程序可以進(jìn)行網(wǎng)絡(luò)通信或者可以使用哪些端口，以及允許應(yīng)用程序執(zhí)行哪些操作等。

為避開(kāi)網(wǎng)絡(luò)和應(yīng)用程序的控制，某些網(wǎng)絡(luò)罪犯會(huì)嘗試通過(guò)物理方式接入POS設(shè)備?？蛻艨梢酝ㄟ^(guò)Symantec Endpoint Protection阻止并精確控制連接到POS系統(tǒng)通信接口上的設(shè)備，如 USB、固件、串口和并口等。該解決方案可阻止對(duì)端口的全部訪問(wèn)，或只允許具有特定供應(yīng)商ID的某些設(shè)備進(jìn)行訪問(wèn)。Symantec Insight采用基于信譽(yù)的安全技術(shù)，可以跟蹤來(lái)自數(shù)百萬(wàn)個(gè)系統(tǒng)的數(shù)十億個(gè)文件，以識(shí)別新生成的威脅。該技術(shù)利用環(huán)境感知功能，可將存在風(fēng)險(xiǎn)的文件與安全文件分離開(kāi)來(lái)，從而更快、更準(zhǔn)確地檢測(cè)出惡意軟件。

SONAR技術(shù)使用人工智能和成熟的行為分析功能，能夠檢測(cè)出新出現(xiàn)的威脅和未知威脅。它會(huì)在文件執(zhí)行時(shí)實(shí)時(shí)監(jiān)控1000多種文件行為，以識(shí)別可疑行為，并刪除惡意應(yīng)用程序。為加強(qiáng)零日威脅檢測(cè)，客戶可將SONAR與Symantec Insight一起使用。

2.確保服務(wù)器和非Windows POS設(shè)備的安全

無(wú)論P(yáng)OS設(shè)備運(yùn)行Linux、Unix操作系統(tǒng)，還是其他非Windows 操作系統(tǒng)，Symantec Critical System Protection都可以提供這些設(shè)備所需的強(qiáng)大防護(hù)功能。Symantec Critical System Protection是保護(hù)網(wǎng)絡(luò)服務(wù)器以防復(fù)雜的多階段攻擊的理想解決方案。在多階段攻擊過(guò)程中，網(wǎng)絡(luò)罪犯常常會(huì)將POS環(huán)境或相關(guān)公司網(wǎng)絡(luò)中的服務(wù)器作為攻擊目標(biāo)。Symantec Critical System Protection 綜合采用基于主機(jī)的入侵檢測(cè)（HIDS）、主機(jī)入侵防護(hù)和沙盒等技術(shù)，主動(dòng)強(qiáng)化服務(wù)器并阻止攻擊。

Symantec Critical System Protection可以嚴(yán)格限制系統(tǒng)操作，并防止惡意進(jìn)程的執(zhí)行。它采用具有“默認(rèn)拒絕”策略的應(yīng)用程序白名單和受保護(hù)的白名單模式，提供允許在受限的沙盒中運(yùn)行不在白名單中的應(yīng)用程序這一功能選項(xiàng)。為抵御新的威脅類別，該解決方案使用了包括沙盒和過(guò)程訪問(wèn)控制（PAC）在內(nèi)的全面IPS防護(hù)技術(shù)。

在數(shù)據(jù)中心和POS環(huán)境中，由于Symantec Critical System Protection對(duì)通過(guò)網(wǎng)絡(luò)或互聯(lián)網(wǎng)進(jìn)行通信的需求有限，故而可以降低網(wǎng)絡(luò)帶寬消耗。該解決方案不僅可通過(guò)保護(hù)服務(wù)器和POS 設(shè)備不受攻擊，以減少帶外修補(bǔ)周期，并保護(hù)不受支持的早期系統(tǒng)，而且具備預(yù)定義的、有針對(duì)性的防護(hù)策略，因此對(duì)企業(yè)運(yùn)營(yíng)的影響微乎其微。

Symantec Web Gateway和賽門鐵克網(wǎng)絡(luò)安全云服務(wù)可抵御基于網(wǎng)絡(luò)的威脅（如惡意軟件和間諜軟件），讓客戶在網(wǎng)關(guān)層面攔截新的和未知的惡意軟件，使之無(wú)法到達(dá)端點(diǎn)，并可檢測(cè)并自動(dòng)隔離可疑行為。Symantec Messaging Gateway和賽門鐵克電子郵件安全云服務(wù)可提供跨電子郵件平臺(tái)的主動(dòng)防護(hù)。

賽門鐵克的解決方案可以確保POS環(huán)境的訪問(wèn)安全、網(wǎng)絡(luò)通信安全和客戶數(shù)據(jù)的安全，抵御內(nèi)部和外部威脅。Symantec Data Loss Prevention會(huì)在持卡人數(shù)據(jù)的存儲(chǔ)或使用位置（包括端點(diǎn)、數(shù)據(jù)中心和網(wǎng)絡(luò)）進(jìn)行發(fā)現(xiàn)、監(jiān)控和保護(hù)操作。為防止數(shù)據(jù)使用不當(dāng)或被盜，該解決方案可識(shí)別任何異?；蚍闯；顒?dòng)，包括信用卡數(shù)據(jù)在不合適的數(shù)據(jù)存儲(chǔ)區(qū)可疑的積聚，或不恰當(dāng)?shù)卦L問(wèn)任何敏感數(shù)據(jù)。

多層安全防護(hù)

賽門鐵克可提供全面的安全專業(yè)知識(shí)和廣泛的解決方案，以保護(hù)信用卡持卡人數(shù)據(jù)的安全，抵御持續(xù)、復(fù)雜的網(wǎng)絡(luò)攻擊。在POS終端和Web自助服務(wù)終端上，賽門鐵克可提供多層防護(hù)，以強(qiáng)化端點(diǎn)保護(hù)，抵御復(fù)雜的攻擊，并可為服務(wù)器提供全面的安全保障，防止威脅滲透到網(wǎng)絡(luò)中。賽門鐵克的網(wǎng)關(guān)防護(hù)產(chǎn)品增加了更多防御層，可阻止試圖通過(guò)電子郵件或 Web 攻擊突破應(yīng)用環(huán)境的企圖，還憑借可攔截未經(jīng)授權(quán)用戶訪問(wèn)的基于云的雙重身份驗(yàn)證服務(wù)、可對(duì)傳輸中的信用卡持卡人數(shù)據(jù)進(jìn)行加密的安全套接字層 （SSL） 認(rèn)證產(chǎn)品，以及可確保POS數(shù)據(jù)不會(huì)丟失或被盜的數(shù)據(jù)泄露防護(hù)技術(shù)，進(jìn)一步抵御攻擊。

賽門鐵克的安全情報(bào)以賽門鐵克全球情報(bào)網(wǎng)絡(luò)為后盾，通過(guò)多種先進(jìn)的檢測(cè)功能（如 Insight、SONAR、Disarm和Skeptic技術(shù)）為解決方案提供支持。深入的安全專業(yè)知識(shí)加上諸多業(yè)界領(lǐng)先的解決方案，使得賽門鐵克成為幫助客戶保護(hù)POS環(huán)境以防當(dāng)今復(fù)雜攻擊的理想合作伙伴。