हार्टलैंड-स्टाइल डेटा ब्रेक को कैसे रोकें

संयुक्त राज्य अमेरिका के न्याय विभाग ने आज 28 साल के मियामी आदमी अल्बर्ट गोंजालेज़ की गिरफ्तारी की घोषणा की, जो रिकॉर्ड पर सबसे बड़ी पहचान चोरी अभियोजन पक्ष में है। गोन्झालेज़ पर आरोप लगाया गया है, दो-अभी तक अज्ञात रूसी सह साजिशकर्ताओं के साथ, 130 मिलियन से अधिक क्रेडिट और डेबिट कार्ड खातों से हार्टलैंड पेमेंट सिस्टम और 7-ग्यारह सहित विभिन्न लक्ष्यों से समझौता करने का आरोप है।

न्याय विभाग गोन्झालेज़ की सफल जांच और अभियोग के लिए सराहना की जानी चाहिए, गिरफ्तारी 'गैर-उल्लंघन' खाते नहीं होगी जो पहले ही समझौता कर चुके हैं और काले बाजार पर उपलब्ध हैं। एक आदर्श दुनिया में गिरफ्तारी भविष्य की चोरी की चोरी को रोक देगा, लेकिन यह असंभव है। यह अभी भी लगभग पूरी तरह अज्ञात अपराध है जो महत्वपूर्ण राजस्व पैदा करने में सक्षम है और आईडी चोरों को स्वयं को गोन्झालेज़ से बेहतर और बेहतर समझने की संभावना है। उसने गलतियां की, लेकिन * वे * पकड़े नहीं जाएंगे।

तो, न्याय विभाग के लिए, लेकिन आपको अभी भी अपनी पीठ देखने और अपने नेटवर्क और समान हमलों से डेटा की रक्षा करने की आवश्यकता है। अपने डेटा की सुरक्षा में मदद करने के लिए यहां तीन युक्तियां दी गई हैं और सुनिश्चित करें कि आप अगले हार्टलैंड पेमेंट सिस्टम नहीं बनें।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

1. वायरलेस सुरक्षा । इन दिनों अधिकांश व्यवसायों में वायरलेस नेटवर्क मौजूद हैं। वायरलेस नेटवर्क के बारे में बात यह है कि वे कर्मचारियों को घूमने देते हैं और फिर भी नेटवर्क से जुड़े रहते हैं, लेकिन वे अनधिकृत उपयोगकर्ताओं के लिए भी अवसर प्रदान करते हैं जो वायरलेस एक्सेस पॉइंट की सीमा के भीतर भी पहुंच प्राप्त करते हैं। टीजेएक्स और लोवेस में डेटा उल्लंघनों दोनों को कमजोर या अस्तित्वहीन वायरलेस नेटवर्क सुरक्षा के माध्यम से संभव बनाया गया था।

सुरक्षा नेटवर्क की अतिरिक्त परत प्रदान करने के लिए वायरलेस नेटवर्क को प्राथमिक नेटवर्क से अलग किया जाना चाहिए। वायरलेस कनेक्शन को कम से कम WPA या WPA2 एन्क्रिप्शन के साथ सुरक्षित किया जाना चाहिए। वायरलेस नेटवर्क तक पहुंचने के लिए प्रमाणीकरण के किसी अन्य रूप का उपयोग करने पर यह बेहतर होता है। नकली नेटवर्क मौजूद नहीं होने के लिए अनधिकृत वायरलेस नेटवर्क और अवधि स्कैनिंग स्थापित करने के खिलाफ नीति भी होनी चाहिए।

2. अनुपालन । क्रेडिट कार्ड लेनदेन डेटा को स्वीकार करने, प्रसंस्करण, प्रसारित करने या संग्रहीत करने के आधार पर इन हमलों में समझौता किए गए संगठन भुगतान कार्ड उद्योग डेटा सुरक्षा मानकों (पीसीआई डीएसएस) आवश्यकताओं के अंतर्गत आते हैं। पीसीआई डीएसएस को क्रेडिट कार्ड उद्योग द्वारा संवेदनशील क्रेडिट कार्ड की जानकारी को संभालने वाले व्यवसायों के लिए आधारभूत सुरक्षा आवश्यकताओं को प्रदान करने के लिए विकसित किया गया था।

कई कंपनियां सर्बेंस-ऑक्सले (एसओएक्स), या ग्राम-लीच जैसे अन्य अनुपालन जनादेशों के अंतर्गत आती हैं। -बिली अधिनियम (जीएलबीए)। कंपनियों के लिए आत्मा के साथ-साथ अनुपालन आवश्यकताओं के पत्र का सम्मान करना महत्वपूर्ण है। ध्यान रखें कि चेकलिस्ट को पूरा करना या ऑडिट पास करना अनुपालन का लक्ष्य नहीं है। लक्ष्य संवेदनशील डेटा और नेटवर्क संसाधनों की रक्षा करना है। अनुपालन लेखापरीक्षा द्वारा स्क्रैप करने के लिए न्यूनतम न्यूनतम करना कुछ कमजोरियों को छोड़ सकता है जो डेटा समझौता कर सकता है जो कंपनी की प्रतिष्ठा को मारता है और अक्सर अनुपालन की तुलना में अधिक महंगा होता है।

3. परिश्रम । यह बड़ा वाला है। सुरक्षा एक 24/7/365 पूर्णकालिक नौकरी है। वायरलेस नेटवर्क को लॉक करना और दुष्ट नेटवर्क को प्रतिबंधित करने वाली नीति विकसित करना बहुत अच्छा है, लेकिन अगर कोई व्यक्ति नीति का उल्लंघन करता है और अगले हफ्ते एक दुष्ट वायरलेस नेटवर्क तैनात करता है तो क्या होगा? एक पीसीआई डीएसएस अनुपालन लेखा परीक्षा पास करना बहुत अच्छा है, लेकिन कर्मचारी आते हैं और जाते हैं, कंप्यूटर सिस्टम प्रावधान और डिमोकेशन किए जाते हैं, और नेटवर्क पर नई तकनीकें पेश की जाती हैं। सिर्फ इसलिए कि लेखापरीक्षा के समय नेटवर्क अनुपालन करता था इसका मतलब यह नहीं है कि यह अभी भी एक महीने बाद अनुपालन करेगा।

हमलावर लगातार नेटवर्क सुरक्षा में कमजोरियों का पर्दाफाश करने के लिए काम कर रहे हैं। नेटवर्क और सुरक्षा प्रशासकों को हमले की तकनीक और प्रतिवादों को बनाए रखने के लिए उतना ही मेहनती रहना होगा। सबसे महत्वपूर्ण बात यह है कि समझौता या संदिग्ध गतिविधि के संकेतों के लिए सतर्क रहने के लिए आपको घुसपैठ का पता लगाने और रोकथाम प्रणाली गतिविधि, फ़ायरवॉल लॉग, और अन्य डेटा की निगरानी करनी होगी। पहले आप हमले की पहचान और रोक सकते हैं, कम डेटा से समझौता किया जाएगा और जितना अधिक आप शून्य के बजाय नायक होंगे।

टोनी ब्रैडली एक सूचना सुरक्षा और एकीकृत संचार विशेषज्ञ है जो एक दशक से अधिक उद्यम आईटी अनुभव के साथ है। वह @PCSecurityNews के रूप में ट्वीट करता है और tonybradley.com पर अपनी साइट पर सूचना सुरक्षा और एकीकृत संचार प्रौद्योगिकियों पर सुझाव, सलाह और समीक्षा प्रदान करता है।