Кибератакующие поставили под угрозу сеть Target, воруя учетные эти компании по обслуживанию HVAC, подчеркивая важность минимизации стороннего доступа к сетям.Лишь 11,1 процентов компаний соответствуют всем 12 требованиям DSS PCI, не обращая внимания на то, что примерно 85 процентов компаний соответствовали 85 процентам средств управления, в соответствии с отчету, опубликованному 6 февраля.
Другие эксперты по безопасности сделали подобные выводы. Большая часть нарушений не результат отсутствия технологии безопасности либо неприятности с главным стандартом обеспечения защиты для ритейлеров, Стандартом по защите данных Отрасли Платежной карты (DSS PCI), но со свойством компаний поддерживать их совокупности в соответствии в течение продолжительного времени, согласно данным компании бизнес-телекоммуникаций и услуг Verizon.Инцидент выделяет, что компании должны обратить внимание на уровень доступа, что они предоставляют к третьим лицам, потому, что атакующие довольно часто применяют меньших провайдеров, дабы поставить под угрозу сети более больших компаний, каковые являются их фактическими целями. В 2011, к примеру, Lockheed Martin указал, что атакующие постарались войти в его сеть при помощи совокупностей третьего лица.
«Мы видим , что большое количество организаций просматривают соответствие PCI как единственное ежегодное мероприятие, не сознающее, что соответствие должно иметь 365-дневное, в год фокусируются», Родольф Симонетти, управляющий директор практики PCI для Корпоративных ответов Verizon, заявленных.Target разумеется не поместил соединенные с сетью совокупности HVAC в подсеть, поделённую от другой части ее совокупностей, разрешив атакующим применять поставившую под угрозу совокупность HVAC в качестве панели запуска для их вторых нападений на сеть Target. Такие неточности конфигурации распространены.
Большое количество компаний предоставляют подрядчикам и поставщикам временный доступ к собственной сети, дабы поддержать либо администрировать разработку, и после чего забыть отменять их учетные эти, оставляя их открытыми для нападения, сообщил Джоди Брэзил, CEO компании политики безопасности FireMon, eWEEK.Компании должны стремиться иметь лучшую видимость в собственные совокупности, заявила Бразилия. «Это не новая разработка, что мы должны остановить эти нападения», сообщил он. «Мы легко должны применять ветхую разработку лучше».
15 ноября атакующие поставили под угрозу сеть поставщика HVAC Fazio Mechanical Services Шарпсберга, Пенсильвания, и похитили учетные эти компании для сети Target, в соответствии с отчету 5 журналиста Брайана и февраля исследователя Кребса. Target заявил новостным СМИ некоторое количество дней назад, говоря, что расследование идентифицировало похищенное пароль и имя пользователя как способ, которым атакующие вошли в его сеть.
Несколько, которая похитила больше чем 40 миллионов кредитов – и счета дебетовой карты от розничной сети Target гиганта по сообщениям, получила доступ с помощью нагревания компании, кондиционирования и вентиляции воздуха (HVAC) поставщик, выделив важность ограничения стороннего доступа к корпоративным сетям, сообщили эксперты по безопасности.«Весьма быть может, что некий склад имел проблему охлаждения, и они должны были дать доступ поставщика к определенным совокупностям, и так, они обходят его, и после этого не отменяют доступ», сообщил он.
Сайт Fazio Mechanical Services сейчас понижается благодаря неприятностей пропускной способности, в соответствии с ошибочной странице.