Giải pháp bảo vệ đa lớp cho các hệ thống thanh toán POS

Diễn đàn - Ngày đăng : 15:43, 18/01/2017

Với nhiều ưu điểm như gọn nhẹ và có thể dễ dàng lắp đặt tại nhiều nơi, hệ thống thanh toán qua máy POS (Point of Sale) ngày càng trở nên phổ biến. Tuy nhiên kèm theo đó là nhiều rủi ro tiềm ẩn.

Những rủi ro tiềm ẩn từ hệ thống thanh toán POS

Một trong những loại hình tội phạm mạng phát triển sớm nhất và nguyên thủy nhất đó là ăn cắp thông tin thẻ tín dụng và thẻ ghi nợ (debit), vấn nạn này vẫn còn tồn tại cho tới ngày nay. Những nhóm tội phạm mạng tổ chức hàng loạt những chiến dịch tấn công phức tạp nhằm lấy cắp một lượng lớn dữ liệu trước khi bán chúng ra thị trường chợ đen. Tội phạm mạng có thể sử dụng dữ liệu lấy cắp từ dải từ của thẻ để tạo ra các thẻ giả.  Trong những năm gần đây, số lượng các vụ lấy cắp thông tin từ thẻ từ và gian lận thẻ từ trên thế giới đã tăng mạnh.

Đặc biệt, hệ thống POS của nhiều ngân hàng lớn đã bị thâm nhập, đẩy hàng triệu người dùng đối mặt với rủi ro mất thông tin cá nhân, gian lận thương mại. Thống kê cho thấy số lượng mã độc nhằm vào các hệ thống thanh toán tại điểm bán hàng POS đang gia tăng rất nhanh, đe dọa không chỉ người dùng mà cả ngành công nghiệp bán lẻ cũng phải lao đao.  

Theo nghiên cứu mới đây của hãng bảo mật Trend Micro, dữ liệu quẹt thẻ của khách mua hàng qua máy POS tại các trung tâm mua sắm tiếp tục trở thành mục tiêu của loại mã độc mới mang tên FastPOS. Sau những phát hiện ban đầu trước đó về mã độc FastPOS chuyên nhắm tới máy POS, các chuyên gia nghiên cứu của Trend Micro đã tiếp tục phân tích và phát hiện thêm bản cập nhật mới TSPY_FASTPOS.A trộm cắp dữ liệu thẻ thanh toán qua máy POS, gửi chúng về máy chủ vận hành bởi tội phạm mạng. Việc nâng cấp phần mềm độc hại FastPOS nhằm đón đầu lượng mua sắm quẹt thẻ qua máy POS mùa cuối năm.Theo Trend Micro, phiên bản nâng cấp của FastPOS nhiễm trên cả hai bản Windows 32-bit và 64-bit, lạm dụng Mailslots chứa dữ liệu đánh cắp được trong bộ nhớ RAM, tích hợp thêm tính năng ghi nhớ nội dung gõ phím (keylogger) chứng thực mã PIN, gửi dữ liệu đánh cắp được về máy chủ từ xa.

Bên cạnh đó, các phiên bản FastPOS trước đây vận hành theo một quy trình khép kín, trong khi phiên bản mới cập nhật này, các mô-đun (module) chính và phụ hoạt động trên khắp các quá trình điều hành khác nhau của máy POS và hệ thống khiến khó có thể loại bỏ chúng.

FastPOS không phải là phần mềm độc hại duy nhất đe dọa máy POS, Trend Micro còn nhắc tới loại "anh em họ" khác tên LogPOS bị phát hiện năm 2015. Theo đó, người tiêu dùng khi mua sắm trả tiền qua thẻ bằng các "máy quẹt thẻ" POS, dữ liệu thẻ cũng như mã PIN gửi về máy chủ đơn vị cung cấp dịch vụ, nhưng cũng đồng thời bị tội phạm mạng đánh cắp.

Giải pháp bảo vệ đa lớp cho các hệ thống thanh toán POS

Theo các chuyên gia bảo mật, để đảm bảo an toàn cho các hệ thống POS cần ứng dụng các biện pháp bảo mật đa lớp trong các hệ thống POS và trên toàn hệ thống CNTT của doanh nghiệp. Một sản phẩm bảo vệ thiết bị đầu cuối được cấu hình đúng có thể ngăn chặn những kẻ tấn công rắn mặt nhất, và điều này đặc biệt đúng với các hệ thống POS. Các hệ thống POS thực ra có lợi thế về bảo mật hơn so với máy tính bởi vì nó là những thiết bị đơn năng (single function). Nó không có trình duyệt web, không có email và khả năng chia sẻ ổ cứng, những tính năng và tệp tin cần thiết trên thiết bị này là hạn chế. 

Việc xác định các dấu hiệu bất thường ban đầu hoặc xâm phạm dữ liệu đòi hỏi toàn bộ cơ sở hạ tầng liên quan đến việc xử lý thẻ cần được phối hợp tốt và giám sát các hoạt động bất thường hiệu quả. Điều này bao gồm tất cả mọi thứ từ thiết bị đầu cuối (POS- Point-of-sale) đến bộ xử lý thanh toán, cũng như tất cả hạ tầng mạng và back-office. Đây là một yêu cầu quan trọng để có thể phát hiện hành vi cụ thể biểu thị một cuộc tấn công.Ví dụ, khi một phần của phần mềm độc hại được cài đặt trên một hệ thống POS, nó có thể tiếp cận với một máy chủ điểu khiển (Command & Control) - một giao dịch bất thường từ POS. Hoặc các phần mềm độc hại có thể khởi động tiến trình đáng ngờ và/hoặc thay đổi hệ thống tập tin của POS. Một dấu hiệu khác có thể là một người dùng cố gắng truy cập bất thường tới một máy chủ back-office lưu trữ dữ liệu khách hàng nhạy cảm. Trong tất cả các tình huống, việc giám sát và phân tích sẽ giúp phát hiện những hoạt động bất thường giả tạo, từ đó cảnh báo các tổ chức, doanh nghiệp khi có các vi phạm đang cố gắng được thực hiện.

Giải pháp Security Intelligence Platform của LogRhythm được xây dựng với khả năng bảo mật đa lớp, không chỉ giúp thu thập dữ liệu đăng nhập được tạo ra bởi các hệ thống và thiết bị mạng đang hoạt động trên hạ tầng xử lý thẻ tín dụng, mà còn có thể trực tiếp giám sát các thiết bị đầu cuối và mạng. Sau đó, tất cả các dữ liệu có sẵn này sẽ được phân tích để phát hiện những hoạt động bất thường và độc hại thông qua AI Engine, công nghệ phân tích máy được cấp bằng sáng chế của LogRhythm. Ngoài ra, giải pháp còn cung cấp những công cụ giảm thiểu tấn công bằng cách hạn chế những ứng dụng cụ thể chạy trên máy, cũng như kiểm soát thiết bị và ứng dụng được truy nhập mạng.

Security Intelligence Platform - Giải pháp bảo mật cho hệ thống POS

Hệ thống giám sát POS

AI Engine được sử dụng để giám sát các thiết bị đầu cuối POS nhằm phát hiện các hoạt động độc hại, trong đó dữ liệu được thu thập phù hợp theo thời gian thực. Hệ thống POS đang được vận hành sẽ được cài đặt các tính năng giám sát thiết bị đầu cuối tiên tiến của LogRhythm. Những tính năng cao cấp, bao gồm giám sát tiến trình, giám sát kết nối mạng, giám sát hoạt động của người sử dụng, ngăn ngừa mất dữ liệu, giám sát tính toàn vẹn của tệp tin và cung cấp một cái nhìn độc lập và sâu sắc hơn về hoạt động của hệ thống. Việc giám sát độc lập là rất quan trọng do phần mềm độc hại thường khi xâm nhập hệ thống POS thường cố gắng vô hiệu hóa các hệ thống kiểm toán/thanh toán gốc (native auditing system). Dữ liệu thời gian thực được tạo ra bởi hệ thống giám sát (System Monitor) sẽ được truyền tới AI Engine để sử dụng cho phân tích.

Để xác định chính xác khi hành vi nguy hiểm đang xảy ra, các thuộc tính nhất định trên các thiết bị đầu cuối nên được giám sát. Mỗi POS nên chạy cùng một bộ các quy trình. Các hệ thống tập tin của chúng sẽ khá đồng nhất, và chỉ thay đổi trong quá trình cập nhật kế hoạch. Tuy nhiên, trong một số tình huống, các thuộc tính có thể khác nhau giữa các thiết bị đầu cuối POS, chẳng hạn như các tài khoản sử dụng để đăng nhập vào mỗi thiết bị đầu cuối, hoặc các hệ thống back-end với các thiết bị đầu cuối POS tại các địa điểm khác nhau.

Ngoài quá trình giám sát và hoạt động hệ thống tập tin, nhận biết những thay đổi trong thành phần của loại dữ liệu truy nhập đến từ mỗi thiết bị có thể giúp phát hiện hoạt động độc hại. Ví dụ, khi mã độc được phát tán đến một thiết bị đầu cuối POS, nó có thể tạo ra một loại sự kiện mới trong bản ghi hệ thống mà thường không được tạo ra trong quá trình hoạt động bình thường. Hoặc các phần mềm độc hại có thể vô hiệu hóa hoàn toàn hệ thống hoặc đăng nhập kiểm toán/thanh toán.

Hệ thống Back-Office

Trong nhiều trường hợp, các thiết bị đầu cuối POS của tổ chức, doanh nghiệp kết nối trực tiếp tới các hệ thống thanh toán của các đối tác thứ ba. Tuy nhiên, trong một số trường hợp, các thiết bị này lại kết nối với các hệ thống “back-office”, nhằm đáp ứng các mục tiêu khác nhau, đặc biệt trong các doanh nghiệp lớn. Chúng có thể kết tập các giao dịch từ nhiều thiết bị đầu cuối POS nhằm xử lý, giám sát các hoạt động mua của khách hàng, cho phép khách hàng cập nhập thông tin trong hệ thống giám sát kiểm kê.

Mặc dù các hệ thống back-office không xử lý dữ liệu thẻ tín dụng, nhưng chúng thường được ủy quyền để giao tiếp với các thiết bị đầu cuối POS, khiến chũng cũng trở thành mục tiêu tấn công của tin tặc. Dữ liệu cá nhân khác cũng có thể lưu trữ trên các hệ thống này, do đó cần phải được bảo vệ giống như dữ liệu chi tiết thẻ tín dụng.

Phần giám sát hệ thống Back-Office của LogRhythm bao gồm giám sát quá trình (Process Monitor), giám sát kết nối mạng (Network Connection Monitor), giám sát hoạt động của người sử dụng (User Activity Monitor), Ngăn ngừa mất dữ liệu (Data Loss Defender) và giám sát tính toàn vẹn của tệp tin. Tất cả dữ liệu truy nhập ứng dụng và hệ thống đều được thu thập và phân tích phù hợp.

Kiểm soát hệ thống mạng

Truyền thông mạng giữa các thành phần trong chuỗi xử lý thẻ cần được kiểm soát chặt chẽ và giám sát. Giải pháp LogRhythm Network Monitor cung cấp các giám sát chi tiết lưu lượng mạng thông qua các cổng/giao thức, các ứng dụng lớp 7. LogRhythm cung cấp  module phát hiện hành vi mạng bất thường (NBAD-Network Behavior Anomaly Detection) để tăng cường tiếp cận danh sách trắng cần thiết. Module này chứa một tập hợp các quy tắc của AI Engine được tạo ra để phân tích dữ liệu do thành phần Network Monitor tạo ra.  Nhờ đó có thể ngay lập tức xác định

các loại hoạt động bất thường và gửi thông báo cho bộ phận quản trị hệ thống để có phản ứng nhanh, nhằm giảm thiểu rủi ro có thể.

Kết luận

Bằng cách thực thi và giám sát toàn bộ hạ tầng CNTT tham gia trong quá trình xử lý giao dịch thẻ tín dụng phù hợp và hiệu quả, các quản trị viên có thể xác định các hoạt động gây nguy hiểm trong chuỗi xử lý thanh toán. Với giải pháp bảo vệ đa lớp cho hệ thống POS của Rhythm, các tổ chức, doanh nghiệp bán lẻ có thể xác định và ngăn chặn các cuộc tấn công vào chuỗi xử lý thanh toán của họ trước khi dữ liệu khách hàng bị rò rỉ, mất mát.

DY