White Paper
© 2015
思科和
/
或其附属公司。版权所有。本文档所含内容为思科公开发布的信息。
第
3
页,共
6 页
为了提供足够的安全性,要求组织在店内网络中部署新的预防性和检测控制,这可以提供更复杂的设备和用户的网
络级分离、高级网络使用控制以及可接受的使用策略实施。考虑到零售业遇到的恶意软件和攻击类型,不言而喻,
连接到零售网络的所有设备都处在恶劣环境下。
威胁环境是如何定义的? 首先,攻击者对准最省力的途径,即在环境中找到立足点。这通常包括 POS 终端的中心。
遗憾的是,许多领先的 POS 系统配备了商品硬件、操作系统和软件组件,但攻击者使用简单攻击即能轻松入侵。即
使 POS 供应商对系统适当地修补,但修补无数台设备的运营成本非常高昂,通常需要手动更新。
POS 系统到公共互联网的传统连接会引发风险。此类设置使远程操作成为可能,其中 POS 后端系统位于不同的设
施内,并且可以提供远程支持。但是,运营团队必须在简化设备管理和降低网络型攻击的风险之间做出选择。这不
是合理或必要的权衡。
传统的 Web 安全网关需要在总部安装集中化的网关。每个商店或分支机构将所有流量转发到中心聚合点进行检查,
然后这些流量流向互联网。考虑到店内流量(包括入站和出站)不断增加,此方法会占用大量有限的带宽。合规性
也是必须考虑的一个重要因素,因为零售 IT 属于 PCI DSS 的范围。为遵守法规并通过年度评估,组织需要实施主
动网络控制来保护连接,并帮助确保处理持卡人数据的系统的持续安全性。
总之,店内网络通常具备一个作用:将 POS 系统连接到企业 WAN。这些解决方案通常部署在组织的安全边界内。
零售组织中涉及 POS 系统的最新安全漏洞表明,此网络架构不再适合构建或运行店内网络。
IT 环境中常见的差距
由于零售商面临解决安全问题的关键时间压力,零售企业通常认为单点解决方案可以保护重要资产。但是,一个聚
合的安全模式提供的不仅仅是单点解决方案,还必须实施足够的网络安全控制来解决如今的问题并满足以后的需
求。
部署到商店的直接互联网连接就证明了单点解决方案与全面的安全解决方案之间的差距。部署直接互联网连接时,
即已添加新的防火墙来保护商店网络。防火墙部署在以下两种模式之一。
1. 可以在 WAN 路由器上设置规则,用来将受互联网制约的流量传输到新的防火墙。
2. 连接店内网络的设备可以将防火墙用作默认网关,从而取消对网络的控制或监控。部署店内 Wi-Fi 连接时,如果
流量没有正确传送到检查点,就无法确保企业数据不泄露到互联网中。此外,也不能确保连续遵从可接受的使
用策略。
总之,拼凑的单点产品会造成这样的局面,很难控制、发现或管理给组织带来的实际风险。
零售业面临的威胁数年来一直引起广泛的关注,例如,2006 年的重大零售漏洞泄露了多达 100 万张信用卡的数据。
黑客利用店内的薄弱控制点获得信用卡和其他客户信息的访问权限。黑客一旦发现漏洞,攻击者即从侧面进入企业
网络,进一步泄露私有数据。
如果黑客能够共享攻击策略并实现攻击的自动化,他们将通过链条中最薄弱的环节(这通常是指控制欠佳的零售
点)瞄准大型企业。