Acasă Gândire înainte Krebs: majoritatea firmelor nu iau măsuri simple de securitate cibernetică

Krebs: majoritatea firmelor nu iau măsuri simple de securitate cibernetică

Video: Ritmul muzical - TUTORIAL 1 - Resurse Lectii Educatie muzicala - Rhythm in music (Noiembrie 2024)

Video: Ritmul muzical - TUTORIAL 1 - Resurse Lectii Educatie muzicala - Rhythm in music (Noiembrie 2024)
Anonim

Cunoscutul cercetător de securitate Brian Krebs a ținut o discuție fascinantă, dar înfricoșătoare, despre starea actuală a criminalității informatice, într-o prezentare ieri, înainte de deschiderea simpozionului Gartner din Orlando.

Vorbind cu un grup de CIO-uri și alți directori IT, autorul site-ului Krebs pe Securitate și cartea Spam Nation a spus că există un „decalaj de PR” între percepția și realitatea criminalității informatice. "Lumina de la capătul tunelului nu este o ieșire", a spus el. "Este un tren care se apropie."

În special, el a spus că cei răi au făcut o treabă mai bună de a împărtăși informații decât CIO-urile; chiar și versiuni mai vechi de rapoarte, cum ar fi Raportul de investigații privind încălcarea datelor Verizon, adesea fac o treabă bună în a explica modul în care sistemele au fost încălcate, cu informații care rămân relevante. În multe dintre recentele hacks, a spus el, o simplă pericolă a jurnalelor de securitate ar fi alertat companiile că au o problemă.

Krebs și-a petrecut cea mai mare parte a timpului vorbind despre atacuri asupra informațiilor despre cardurile de credit, concentrându-se în cea mai mare parte pe malware-urile destinate sistemelor Point-of-Sale (POS). El a vorbit despre cum în ultimii doi ani, cei răi nu numai că și-au îmbunătățit atacurile asupra unor astfel de sisteme, dar au făcut piețele subterane pentru cumpărarea și vânzarea informațiilor despre cardurile de credit mai sofisticate și „prietenoase cu clienții”.

În multe cazuri, bandele de stradă apelează la fraudă cu cardul de credit ca o modalitate rapidă de a transforma o investiție de 10 până la 20 $ în 800 USD la 1.000 USD. Nu numai că acest lucru este profitabil, a spus el, dar este, în mod inerent, mai puțin periculos și mai riscant decât consumul de droguri și este adesea văzut ca o infracțiune „fără victimă”, deoarece de obicei deținătorii contului nu sunt responsabili pentru acuzații.

Krebs a remarcat probleme precum numărul de sisteme POS cu browsere Web și modul în care acesta este un vector foarte frecvent de atac. El a spus că trecerea la cărțile de credit chip-and-pin nu va rezolva problema, citând cum în alte țări, acea tranziție a dus la o creștere a fraudei de comerț electronic, fraude noi în cont și preluări de cont.

O mare parte din aceasta se referă la identitate și confidențialitate, iar el a menționat că o mulțime de informații personale neschimbate (cum ar fi adresele și numerele de securitate socială) sunt acum disponibile. El a spus că atunci când vine vorba de sisteme informatice, acestea pot fi sigure, rapide sau ușor de utilizat: alegeți două. Mulți oameni au ales să nu se concentreze pe securitate, a spus el. Drept urmare, există o mulțime de locuri pe Internet pentru a afla informații personale despre oameni și a solicitat guvernului să adopte reguli de confidențialitate mai stricte, cum sunt cele utilizate în majoritatea altor țări.

La final, Krebs a menționat cinci domenii în care a crezut că companiile pot face cel mai mult progres în lupta împotriva criminalității informatice. El este un mare credincios în segmentarea rețelei, spunând că securitatea în majoritatea companiilor este ca o bara cu bomboane: „tare și crunchy la exterior, moale și gooey la interior”.

În schimb, el a sugerat să facă accesibile cele mai sensibile părți ale rețelei dvs. doar celor din organizație cu o anumită nevoie. Companiile ar trebui să înființeze o echipă dedicată de răspuns la incidente, să examineze noutățile altor încălcări pentru a vedea ce lecții pot învăța, să facă exerciții repetate cu privire la ce să facă în caz de încălcare și să includă partenerii lor în planificarea securității.

Este un sfat bun, dar lucrurile care sunt adesea trecute cu vederea în cotidianul împing pentru a face proiecte noi în IT. Echilibrarea acestor priorități este o problemă-cheie pentru mulți dintre directorii IT cu care am vorbit în cadrul conferinței.

Krebs: majoritatea firmelor nu iau măsuri simple de securitate cibernetică