電子支付的下一步與其安全意涵

電子支付的下一步與其安全意涵

又到了回顧過去一年並展望未來的時刻。

區塊鏈成為2016最具影響力的科技早已不是秘密。為什麼?因為它提供了比既有系統更獨特的革命性優勢,並讓未來的連結系統更為可信。區塊鏈的設計能從本質上確保交易的信任度,但若從整個系統的角度來看,其信任度還是取決於各個端點的密鑰安全性,需要被仔細地建立、管理和使用。例如,區塊鏈的主要優勢是一旦交易成立便不能被取消,因此所有關係人都必須確保他們的身份沒有被濫用。

在即將到來的這一年,我預期我們將看到區塊鏈獲得更廣泛地運用及部屬,不僅能提升多數金融交易的效率,更能增加交易過程的安全性。將有更多以區塊鏈為基礎並跨越金融領域的創新應用出現,產生更多的新創公司。政府機關也會更關注監管和網路犯罪議題。還可能發生專利大戰和隨之而來的冗長訴訟,進而減緩區塊鏈被運用的速度。無論如何,區塊鏈的熱門程度和延伸運用在2017年都很值得期待。

行動商務和行動支付是另外兩個持續成長的領域。上個月的感恩節促銷,零售業的手機交易量首度超越桌上型電腦。與去年相比,手機在感恩節促銷的整體獲利成長了30%,這顯示消費者在使用智慧型手機時,越來越能享受其舒適性與便利性。

2017還會發生什麼?千禧世代將在支付轉為行動錢包的過程中獲得更多好處和價值。當越來越多消費者意識到NFC或是QR技術能提供更快速和無縫的體驗時,使用支付卡就會變成“老掉牙”的行為。如同支付寶在其應用程式中所創造出的附加利益,將有更多想增加市場佔有率的企業會採用這些技術。然而,我預測會出現供過於求的支付選擇方案,而且不是每個方案都會將安全視為主要考量點。事實上,我相信至少會有一間支付新創公司會受到資料外洩的侵害。

當你想到區塊鏈和手機可以透過整合,大幅改變金融服務的可能性時,也很容易意識到即時支付將發揮作用,增加我們支付貨品和轉移資金的選擇方式。

在2017年,我預測支付服務商將有更多即時支付上的創新。同時,我認為這三個趨勢也將相互衝突、磨合,進而讓支付或點對點貸款資金能零時差、安全的移轉。

我想今年的感恩節促銷經驗將成為2017的常態:手機成為主要的商務平台,支付繼續演變成無礙的流程,並有更多支付方式可供選擇。在行動裝置上輕鬆找到我們需要或想要的東西、查看物品的評價、找到最划算的價格、決定要就近取貨或是要寄到家裡,並享受無縫支付的體驗,這些都是我們很快就能體會到的便利。在網路上煩悶地搜尋、詢問某個品項,開車繞整個市區就為了買個東西的日子很快就會消失,這些轉變都會讓你意識到是時候該把家裡的優惠券和支票簿丟掉了。

我們正處於技術快速創新的時代,商業和支付方式不斷受到影響。支付產業還是要認知到,他們未來成功與否是建立在消費者的信任之上。如果消費者所期望的強力安全措施沒有被納入這些創新之中,那麼這種信任很容易就會瓦解。如果我們想看到這些令人興奮的發展受到更多的採用,那麼所有支付產業的人都該義不容辭地採取最好的方式來保護消費者。 

原文請見:https://goo.gl/TbC1dO 

Thales Vormetric 資料保護解決方案

Thales Vormetric 資料保護解決方案

Thales 為企業的資料安全提供簡單、有效的管理解決方式。Vormetric 整體方案建構在一個可彈性擴充的架構下,擁有多種可個別佈署建置的資料保護及加密產品,同時提供高效、集中的金鑰管理機制。 透過DSM集中金鑰管理平台及彈性佈署模式,無論資料存放在雲端、虛擬或是傳統儲存架構,企業都可以橫跨資料庫、檔案、大數據環境,制定保護政策以符合法規要求。藉由 Vormetric 的整體方案,企業可以隨資料保護的法規要求,彈性擴張資料保護範圍,同時顯著降低滿足要求所需的成本。 Thales Vormetric 資料保護解決方案為全球不同領域的企業提供簡易的金鑰管理及加密功能,包含金融服務、零售、製造、醫療及政府等單位,以及 Fortune 財富20中的7家企業。

資料保護功能

  • 檔案透明加密
  • 應用程式加密
  • Tokenization
  • 動態資料遮罩
  • 金鑰管理與保管
  • 授權用戶存取控制
  • 存取稽核記錄

適用環境

  • IaaS, PaaS, SaaS
  • Linux, Windows, UNIX
  • Hadoop, MongoDB, NoSQL, Teradata
  • SAP HANA
  • Docker containers
  • Oracle, IBM DB2, Microsoft SQL Server, MySQL, Sybase, NoSQL 等
  • 任何儲存環境

合規性

  • PCI DSS 3.0
  • HIPAA/HITECH
  • NIST 800-53
  • FISMA
  • PIPA
  • GDPR

解決方案優勢

  • 集中管理靜態資料安全政策
  • 管理Vormetric和第三方廠商產品的加密金鑰
  • 在實體、虛擬、雲端、大數據等環境下,提供統一的資料保護和合規功能
  • 可預先設定SIEM系統儀表板進行檔案存取軌跡記錄
  • 具備彈性與可擴充性,能夠快速支援額外增加的應用需求

提供企業組織效益

  • 降低採購成本  Vormetric 資料保護解決方案讓靜態資料保護變得更簡單、成本更低
  • 發揮人員和資源的最大效益  資料保護解決方案讓管理更簡單、有效率
  • 強化資料保護的安全性與合規性  直接對資料進行保護可達到更好的防護效果,因為能將不當存取的機率降至最低

相關資料:

CPS Ultimate Auditor Plus 新一代維運稽核與風險控制系統

CPS Ultimate Auditor Plus 新一代維運稽核與風險控制系統

CPS ULTIMATE AUDITOR PLUS 新一代維運稽核與風險控制系統架構在虛擬化系統內。是符合5A的統一安全管理方案,作為進入內部的連線與檢查設備,透過政策、授權與工單系統,針對系統特權帳號及操作行為,進行控制和稽核,防止未經授權的連線行為,並對不合法的指令進行告警或阻斷。

 

    • 使用者認證與單一登入 Single sign-on (SSO)

      介面採用WEB2.0,採用單一登錄 Single sign-on (SSO),維運人員一次登入,即可訪問所有具有權限的所有目標。使用帳號密碼認證、LDAP認證、AD認證等單因素認證與硬體式動態Token、硬體式USB Token雙因素加強認證。可有效解決維護人員使用共用系統帳號的稽核問題。

    • 應用發佈模組

      可安裝在Windows伺服器上的程式例如:vCenter、Teamviewer、瀏覽器、SQLplus、PCanywhere、Toad…等非標準協定的工具,採用應用發佈模組,可實現密碼代填和操作側錄。

    • 維運工單流程與二次審核

      系統提供維運工單流程管理功能,透過管理員下發工單,授權維運人員在指定時間內訪問有權限的資源,對特殊性的操作與管理流程支援二次審核功能。

    • 自動改密

      系統密碼策略可設定登錄帳號的密碼原則,與支援作業系統自動改密,例如Windows、Linux、Unix。

    • 策略管理、告警與阻斷

      可設定黑白名單與多項指令,並將指令和對象配對為進階政策,根據策略規則,自動檢測越權與違規的操作行為,依據所設定的事件類型、等級進行告警和阻斷處理。

    • 歷史操作回放

      維運人員透過CPS的操作行為都將會被記錄下來,並可提供指令與畫面回播,也可透過下載功能與專屬程式進行回播。

    • 日誌查詢與稽核報表

      管理者可透過關鍵字、IP、時間、使用者、服務、審核動作、狀態、工單編號等查詢條件進行指令與日誌查詢。並使用預設的連線操作與異常報表樣本,手動產或自動週期性產出報表 ,並可以透過新增樣版功能去自訂報表範本,彈性調整報表內容。

    • 支援多種資料庫協定與工具

      支援 Oracle(RAC)、MS SQL、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、Postgre SQL

      本地工具:MSSQL SSMS,SecureCRT,WinSCP,SQLPlus,PLSQLDev,Toad4Oracle,Db2cmd(DB2),TightVNC,pgAdmin3,SqlAdvantage,Sqleditor,mysql,QuestCentral, Xshell,dbvis,Navicat,SSH Secure Shell Client

    • 支援多種協定

      字元協定:SSHv1、SSHv2、TELNET、RLOGIN檔案與圖形協定:RDP、VNC、FTP、SFTP

    • 系統支援高可用性(HA)與負載平衡

PDF 檔案下載

 

用威脅情報對抗線上支付卡攻擊

用威脅情報對抗線上支付卡攻擊

網路罪犯不斷從重大資料外洩事件中竊取線上支付資訊,使得財務機構與電子商務業者成為重大金融事件的受害目標,像溫蒂漢堡、家得寶(Home Depot)、Target百貨等公司都曾發生線上非法消費的狀況。
當實體商店以晶片支付卡(EMV)來確保交易時,不法份子開始轉向安全性較低的無卡片(CNP)交易進行網路詐騙。許多被竊的支付卡資料都被用在接受線上CNP支付的購物平台,如卡片的有效期限和卡片驗證代碼(CVV)等,而持卡人的姓名和地址也被拿來驗證卡片的有效性。
這篇blog調查了電子商務和銀行網站上的網路支付卡詐騙,以及自動網路攻擊技術的使用,如盜刷(Carding),並提供關於網路應用程式防火牆(WAF)和群眾外包(Crowd-sourcing)的威脅情報洞察,希望在詐騙犯罪發生之前能主動預防此類攻擊。
   
支付卡盜刷攻擊鏈

2018 POS詐騙量將縮減,線上信用卡風險交易總值卻將高達$190億

# 在黑市論壇銷售卡片資料以牟取暴利
讓我們先來看看盜刷攻擊鏈(kill-chain)是怎麼運作的。從眾多來源偷竊來的支付卡資訊在網路黑市論壇中會以每張卡5美元以上的價格成批販售。網路罪犯再用比特幣,以每張卡10美元以上的價格匿名購買成千上萬筆的資料。這些罪犯藉由殭屍網路在不知名的捐贈網站上進行小於1美元的小額交易來驗證這些卡片是否有效。一旦他們篩選出有效、還沒被發卡銀行停用的支付卡,他們會再將這些卡片資訊以每張卡20美元的價格回售到黑市論壇中,在幾分鐘內就從原本購買的地方賺到翻倍的利潤。
刷卡刷到好像沒有明天
末端網路罪犯以每張卡50到100美金的高價購買這些”可以用的”支付卡資訊,價格高低則依信用額度而定。接著他們會在購物網站上用這些” 可以用的”卡片大量消費,進行”兌現” 。網路攻擊者會用這些“可以用的”卡片在好幾個購物網站進行好幾次價值數千美元的高額消費。

兌現行為可能在資訊外流的幾小時或幾天內發生,直到發卡銀行被店家通知而停用卡片前為止!

# 用WAF和威脅情報挽救局勢
網路罪犯的目標是可以盜刷和兌現的支付與結帳頁面,透過殭屍網路來執行大量指令或以匿名proxy來模糊攻擊來源,藉此繞過設有IP黑名單的周邊控制。想要先發制人,主動對抗支付卡攻擊,需要的網路應用程式保護策略應包括以下威脅情報:
  1. 1. 信用評等情報:惡意IP地址,包括已知的不良信用來源、匿名proxy和TOR出口節點。
  2. 2. 機器人情報:透過客戶特徵和驗證碼機制(CAPTCHA)來辨別機器人與一般使用者,以主動檢測出未知的機器人。
  3. 3. 群眾外包:蒐集任何由使用者社群提供的最新攻擊資訊並與所有社群成員分享,以防止新的攻擊。
網路應用程式防火牆則應提供以下進階功能,以主動檢測威脅:
  1. 1. 應用程式建模:動態檢測應用程式介面,像是網路應用程式內公開的支付和結帳頁面,並驗證這些頁面的輸入參數。
  2. 2. 攻擊關聯性驗證:為可配置的安全政策,能找出多個攻擊情境的關聯性,並檢查攻擊參數、對應群眾外包所提供最新威脅情報。
  3. 3. 速度檢測:檢測由殭屍網路發起的暴力攻擊(brute-force attacks),也就是讓網路罪犯能夠逐批驗證數千張信用卡並快速兌現的攻擊方式。

對抗支付卡攻擊,WAF與威脅情報應具備的功能
# 用Imperva WAF來防禦自動化攻擊
Imperva ThreatRadar提供產業專用的情報服務,讓Imperva SecureSphere WAF能主動保護電子商務及銀行網站免於盜刷和兌現的支付卡詐騙風險。
想了解Imperva SecureSphere WAF是如何讓你減緩OWASP(開放Web軟體安全計畫組織)所列出的前20大自動化攻擊,請參考白皮書內容。
OWASP在2015年7月出版了OWASP自動化攻擊指南,列出了前20大可在網站上啟動、利用企業網路應用程式邏輯缺陷的自動化攻擊。

參考資料:
  1. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
  2. https://www.2checkout.com/ecommerce-glossary/card-not-present
  3. https://en.wikipedia.org/wiki/Carding_(fraud)
  4. Credit card fraud and id theft statistics
  5. OWASP Automated Threat Handbook for Web Applications v 1.0
原文請見:https://goo.gl/qnAdZN