トラフィックが真実
社内ネットワーク上のPOSマシンを経由する疑わしいトラフィックと、サポートシステムやPOSインフラに信頼されているシステムを経由する疑わしいトラフィックをすべて検知するために、堅牢なネットワーク監視を構築するべきです。高度な攻撃者は1つの侵入ポイントから旋回して他の侵入ポイントを収集します。このような水平移動によりネットワーク活動の足跡が残るため、慎重な組織であれば検出が可能です。
Tor上のマルウェアの活動を検知
POSバイナリ自体にTorが含まれているため、組織は予期せぬTorの存在を検出することが奨励されます。また、ネットワークレベルでTorを確実に検出し、必要に応じて調査することを検討すべきです。
警戒
十分なテストを行った後に、潜在的に未知のマルウェアを検出するために、POSマシンで積極的にマルウェア対策アプリケーションを稼働するべきです。あらゆる干渉の可能性を回避するために、必要に応じて中核的なPOSプロセスをホワイトリストに登録することができます。
POSマシンがWindowsベースである場合、可能であればEnhanced Mitigation Experience Toolkit(EMET)を導入し、OSのあらゆる側面やPOSソフトウェアを含むすべてのサードパーティ製ソフトウェアが対象となるように入念に調整する必要があります。
流出の検知が必要
重要なインフラを監視して異常なホストやネットワークの活動を検知するために、組織はさまざまな手法を活用しなければなりません。複雑性とリスク評価は、機能性やネットワーク/プロセスのセグメンテーションによって異なるため、このような作業が困難である場合があります。
ネットワークの設定が不適切で必要でないトラフィックも許可される場合、データ流出の足掛かりとなる可能性があるシステムの数が増加します。そのため、攻撃実行者の選択肢と、それらの活動の幅と寿命を拡張する目的でトラフィックを隠す場所が増えることになります。
