طراحی غلط شبکه، دلیل سرقت اطلاعات از فروشگاه های Target
سرقت مشخصات و اطلاعات میلیون ها مشتری فروشگاه های زنجیره ای Target در ماه گذشته به دلیل طراحی غلط ساختار شبکه و جدا نکردن بخش حساس پردازش های مالی از بقیه قسمت های شبکه بوده است.
اکنون مشخص شده است که نفوذگران با سرقت و استفاده از مجوزهای دسترسی یکی از پیمانکاران Target، به شبکه این شرکت راه پیدا کرده اند.
این شرکت پیمانکار مسئولیت نگهداری تأسیسات و سیستم های سرمایشی فروشگاه های مختلف Target را برعهده دارد و برای نظارت و کنترل عملکرد این سیستم ها، به شبکه سازمانی Target دسترسی داشته است.
نفوذگران پس از استفاده از مجوزهای دسترسی این پیمانکار ساده، به شبکه Target وارد شده و با کمکی جستجو، توانسته اند به بخش پردازش کارت های اعتباری در سامانه های فروشگاهی این شرکت، رخنه و اقدام به نصب بدافزار جاسوسی خود نمایند.
نفوذگران حتی فرصت داشته اند که بدافزار خود را در ابتدا بر روی فقط چند سامانه فروشگاهی در چند شعبه، بعنوان نمونه نصب کنند و پس از اطمینان از عملکرد صحیح آن، بدافزار را بر روی چند هزار سامانه فروشگاهی Target فعال نمایند.
اکنون مشخص است که این رویداد بزرگ به دلیل سهل انگاری و عدم رعایت اصول اولیه در طراحی ساختار شبکه و تقسیم بندی (Segmentation) آن، اتفاق افتاده است. درصورت رعایت دستورالعملها و راهکارهای امنیتی، بخش پردازش مالی در شبکه سازمانی Target باید از بخش های دیگر جدا و غیرقابل دسترسی می شد. به ویژه اینکه، شرکت Target به بسیاری از شرکت های طرف قرارداد و پیمانکار خود دسترسی به شبکه سازمانی داده بود و باید محدوده دسترسی آنان در شبکه را تعیین و کنترل می نمود.
در شبکه هایی که پردازش کارت های مالی و اعتباری صورت می گیرد، رعایت حداقل استانداردهای امنیتی نظیر PCIDS یا Payment Card Industry Data Security Standard ضروری و الزامی است. در این استاندارد به تقسیم و مرزبندی خاص شبکه اشاره و تاکید شده است.
شاید بدافزار مورد استفاده در این مورد خاص، زیرک، پیچیده و هوشمند بوده، ولی اگر دسترسی و نفوذ به بخش سامانه های فروشگاهی برای نفوذگران فراهم نمی شد، بدافزار آنان به هیچ دردی نمی خورد !
