작년 말 수천만 명의 미국인의 재무 및 개인 정보를 노출시킨 악명 높은 대상 보안 위반은 보안 정보에 따라 회사가 일상적인 운영 및 유지 관리 기능을 중요한 지불 기능과 별도의 네트워크에 유지하지 못했기 때문에 발생했습니다. 12 월에 처음으로 위반 사실을보고 한 연구원 Brian Krebs.
지난 주 대상 은 월스트리트 저널 에 네트워크의 초기 침해가 제 3 자 벤더로부터 도난당한 로그인 정보로 추적되었다고 밝혔다. Krebs 씨는 문제의 공급 업체가 타겟과 계약하여 냉장 및 HVAC 설치 및 유지 보수를 제공하는 PA의 Sharpsburg 기반 회사 인 Fazio Mechanical Services라고보고했습니다. 로스 파지오 (Ross Fazio) Fazio 회장은 조사의 일환으로 미국 비밀 서비스국에 회사를 방문했음을 확인했지만 직원에게 할당 된 로그인 자격 증명과 관련하여보고 된 내용은 아직 밝히지 않았다.
Fazio 직원은 에너지 사용 및 냉장 온도와 같은 매개 변수를 모니터링하기 위해 Target 네트워크에 원격으로 액세스 할 수있었습니다. 그러나 Target은 네트워크를 세분화하지 못한 것으로 알려 졌기 때문에 지식이있는 해커는 동일한 타사 원격 자격 증명을 사용하여 소매 업체의 POS (판매 시점) 서버에 액세스 할 수 있습니다. 아직 알려지지 않은 해커는이 취약점을 이용하여 대부분의 Target POS 시스템에 맬웨어를 업로드 한 후 11 월 말에서 12 월 중순까지 매장에서 쇼핑 한 최대 7 천만 명의 고객의 결제 및 개인 정보를 수집했습니다.
이 계시는 대상 경영진이 정교하고 예측할 수없는 사이버 도난으로 이벤트의 특성화에 의문을 제기했습니다. 업로드 된 맬웨어는 실제로 매우 복잡하고 Fazio 직원은 로그인 자격 증명 도용에 대한 책임이 있지만, Target이 보안 지침을 준수하고 결제 서버를 격리하기 위해 네트워크를 분할 한 경우 두 가지 조건 중 하나가 불완전한 것으로 남아 있습니다. 비교적 광범위한 액세스를 허용하는 네트워크에서
보안 회사 FireMon의 설립자이자 CTO 인 Jody Brazil은 Computerworld에 다음과 같이 설명했습니다. Target은 타사의 네트워크 액세스를 허용하기로 결정했지만 해당 액세스를 제대로 보호하지 못했습니다.”
다른 회사가 Target의 실수를 배우지 못하면 소비자는 더 많은 위반을 따를 것으로 기대할 수 있습니다. 위험 관리 회사 인 BitSight의 CTO이자 공동 창립자 인 Stephen Boyer는 다음과 같이 설명합니다.“오늘날의 하이퍼 네트워크 세계에서 회사는 점점 더 많은 비즈니스 파트너와 함께 지불 수집 및 처리, 제조, IT 및 인적 자원과 같은 기능을 수행하고 있습니다. 해커들은 민감한 정보에 접근 할 수있는 가장 취약한 진입 지점을 발견하고 종종 해당 지점이 피해자의 생태계 내에 있다고 생각합니다.”
목표는 아직 위반으로 인해 PCI (Payment Card Industry) 보안 표준을 위반 한 것으로 밝혀지지 않았지만 일부 분석가들은 회사의 미래에 문제가있을 것으로 예상합니다. PCI 표준은 조직이 지불 기능과 비 결제 기능간에 네트워크를 세분화 할 것을 요구하지는 않지만 대상의 타사 액세스가 2 단계 인증을 사용했는지 여부에 대한 의문이 남아 있습니다. Gartner의 분석가 인 Avivah Litan은 PCI 표준 위반으로 인해 벌금이 부과 될 수 있으며, Krebs는 회사가 위반으로 최대 4 억 4 천만 달러의 처벌을받을 수 있다고 말했다.
정부는 또한 위반에 대응하여 행동하기 시작했다. 오바마 행정부는 이번 주에 더 강력한 사이버 보안법을 채택 할 것을 권고했으며, 보안 위반으로 인해 고객에게 알리고 사이버 데이터 정책에 관한 특정 최소 관행을 준수해야하는 가혹한 범죄자에 대한 가혹한 처벌과 기업의 연방 요구 사항을 모두 제시했습니다.
