Target Caso - Autopsia de violación de datos
Enviado por Ensa05 • 24 de Diciembre de 2018 • 960 Palabras (4 Páginas) • 531 Visitas
...
Una estrategia de seguridad multicapa habría evitado, si no al menos mitigado, los efectos perjudiciales de esta violación en Target y sus clientes. La estrategia de Target se centró principalmente en el cumplimiento de cifrado punto a punto (PCI), mientras que a veces existen riesgos que quedan fuera del alcance de los requisitos de PCI. Los estándares también pueden informar a los adversarios qué medidas de seguridad ha implementado una empresa, por lo que el atacante aprovechará las vulnerabilidades que no están en la lista de verificación de cumplimiento de PCI.
Como también lo establece SANS Reading Room, "Para que el cifrado sea efectivo, debe emplear una estrategia de defensa detallada en la que también proteja la clave y proteja el acceso a los sistemas donde los datos deben estar sin cifrar para poder ser procesados."
Instalación de sistemas de punto de venta para listas blancas de aplicaciones
Incluye la implementación en todos los registros, servidores de punto de venta y el desarrollo de reglas de listas blancas.
Implementación de segmentación mejorada
Desarrollamos herramientas de administración de puntos de venta, revisamos y simplificamos las reglas de firewall de red y desarrollamos un proceso integral de control de firewall.
Revisión y limitación del acceso del proveedor
Prohibir el acceso del proveedor al servidor afectado en la violación y desactivado la selección de puntos de acceso del proveedor, incluidos los protocolos de FTP y Telnet.
Seguridad de cuentas mejorada
- El reinicio de 445,000 contraseñas de miembros y contratistas del equipo Target, Incluir la autenticación de dos factores (Token)
- Desactivar las cuentas de proveedores múltiples, reducción de los privilegios para ciertas cuentas
- Capacitaciones relacionadas con la rotación de contraseñas y el uso de las mismas.
- CONCLUSIONES
- REFERENCIAS
Autopsy of a Data Breach: The Target Case.
https://cb.hbsp.harvard.edu/cbmp/pl/70912161/70912226/61dca173c5464614b2cca250f7a3f2f2
Anatomy of the Target data breach: Missed opportunities and lessons learned
http://www.zdnet.com/article/anatomy-of-the-target-data-breach-missed-opportunities-and-lessons-learned/
Updates on Target’s security and technology enhancements
https://corporate.target.com/article/2014/04/updates-on-target-s-security-and-technology-enhanc
SOLUCIONES DE CIFRADO PUNTO A PUNTO PCI (P2PE)
https://www.pcisecuritystandards.org/assessors_and_solutions/point_to_point_encryption_solutions
...