Domov Naprej razmišljanje Krebs: večina podjetij ne sprejme preprostih ukrepov za kibernetsko varnost

Krebs: večina podjetij ne sprejme preprostih ukrepov za kibernetsko varnost

Video: 97% Owned - Economic Truth documentary - How is Money Created (November 2024)

Video: 97% Owned - Economic Truth documentary - How is Money Created (November 2024)
Anonim

Znani raziskovalec varnosti Brian Krebs je v včerajšnji predstavitvi pred odprtjem Gartnerjevega simpozija v Orlandu govoril o fascinantnem, a strašljivem govoru o trenutnem stanju kibernetske kriminalitete.

Avtor spletnega mesta Krebs on Security in knjige Spam Nation je v pogovoru s skupino direktorjev organizacij za upravljanje informacij in drugih IT direktorjev dejal, da obstaja velik "PR vrzel" med dojemanjem in resničnostjo kibernetske kriminalitete. "Luč na koncu tunela ni izhod, " je dejal. "To je prihajajoči vlak."

Zlasti je dejal, da so negativci opravili boljše delo pri izmenjavi informacij kot CIO; tudi starejše različice poročil, kot je poročilo o preiskavah podatkov o napaki Verizon, pogosto dobro razložijo kršitev sistemov z informacijami, ki ostajajo pomembne. Kot je dejal, je v številnih zadnjih krajih preprosto preverjanje varnostnih dnevnikov opozorilo podjetja, da imajo težave.

Krebs je večino svojega časa preživel v pogovorih o napadih na podatke o kreditnih karticah, največ pa se je osredotočil na zlonamerno programsko opremo, usmerjeno v sisteme prodajnega mesta (POS). Govoril je o tem, kako v zadnjih dveh letih slabi fantje niso samo izboljšali svojih napadov na takšne sisteme, ampak so podzemne trge za nakup in prodajo informacij o kreditnih karticah naredili bolj zapletene in "uporabnikom prijazne."

V mnogih primerih se ulične tolpe pretvorijo v goljufije s kreditnimi karticami kot hiter način, kako naložbe od 10 do 20 USD spremeniti v 800 do 1000 dolarjev. Ne le, da je to dobičkonosno, je dejal, ampak je sam po sebi manj nevaren in tvegan kot preprodaja mamil, pogosto pa ga obravnavajo kot kaznivo dejanje brez žrtev, saj imetniki računov običajno ne odgovarjajo za stroške.

Krebs je opozoril na težave, kot je število POS sistemov s spletnimi brskalniki, in kako je to zelo pogost vektor napada. Dejal je, da prehod na kreditne kartice s čipi in pini ne bo rešil težave in navajal, kako je v drugih državah ta prehod privedel do povečanja goljufij pri e-trgovini, novih goljufij na računih in prevzema računov.

Veliko tega se nanaša na identiteto in zasebnost in opozoril je, da je veliko osebnih podatkov (na primer naslovov in številk socialnega zavarovanja) na voljo veliko ljudi. Povedal je, da so lahko računalniški sistemi varni, hitri ali enostavni za uporabo: izberite dva. Večina ljudi se je odločila, da se ne bo osredotočala na varnost, je dejal. Posledično je na spletu veliko mest za iskanje osebnih podatkov o ljudeh, vlado pa je pozval, naj sprejme strožja pravila o zasebnosti, kakršna se uporabljajo v večini drugih držav.

Na koncu je Krebs navedel pet področij, na katerih je menil, da lahko podjetja najbolj napredujejo v boju proti kibernetski kriminaliteti. Veliko verjame v segmentacijo omrežja, pravi, da je varnost v večini podjetij podobna čokoladicam: "na zunaj trda in hrustljava, na notranji strani mehka in gooey."

Namesto tega je predlagal, da bi najobčutljivejši deli omrežja postali dostopni samo tistim v organizaciji s posebno potrebo. Podjetja bi morala ustanoviti posebno skupino za odzivanje na nesreče, pregledati novice o drugih kršitvah, da bi videle, kaj se lahko naučijo, narediti večkratne vaje, kaj storiti v primeru kršitve, in vključiti svoje partnerje v varnostno načrtovanje.

To je dober nasvet, toda stvari, ki jih v vsakodnevnem iskanju pogosto spregledajo, da bi se lotili novih projektov v IT. Uravnoteženje teh prednostnih nalog je ključno vprašanje za številne vodje IT, s katerimi sem govoril na konferenci.

Krebs: večina podjetij ne sprejme preprostih ukrepov za kibernetsko varnost