У дома Напредничаво мислене Кребс: повечето фирми не успяват да предприемат прости мерки за киберсигурност

Кребс: повечето фирми не успяват да предприемат прости мерки за киберсигурност

Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Ноември 2024)

Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Ноември 2024)
Anonim

Известният изследовател по сигурността Брайън Кребс даде увлекателна, но страшна беседа за настоящото състояние на киберпрестъпността, в презентация вчера преди откриването на симпозиума на Gartner в Орландо.

Разговаряйки с група от ръководители на CIO и други ИТ мениджъри, авторът на уебсайта Krebs on Security и книгата Spam Nation заяви, че има голяма „PR разлика“ между възприятието и реалността на киберпрестъпността. "Светлината в края на тунела не е изход", каза той. "Това е влак, който идва."

По-специално той каза, че лошите са свършили по-добра работа за споделяне на информация от CIO; дори по-старите версии на докладите като Verizon Data Breach Report Research Report (Доклад за разследвания на данни за Verizon) често правят добра работа като обясняват как са нарушени системите с информация, която остава уместна. Според много от последните хакове, просто проучване на журналите за сигурност би предупредило компаниите, че имат проблем.

Кребс прекарва по-голямата част от времето си в разговори за информация за кредитни карти, като най-вече се съсредоточава върху злонамерен софтуер, насочен към системите за продажба. Той говори за това как през последните две години лошите не само подобриха атаките си към подобни системи, но направиха подземните пазари за покупка и продажба на информация за кредитни карти по-сложни и „удобни за клиентите“.

В много случаи уличните банди се превръщат в измама с кредитни карти като бърз начин за превръщане на инвестиция от 10 до 20 долара в 800 до 1000 долара. Това не само е печелившо, каза той, но по своята същност е по-малко опасно и рисковано от разпространението на наркотици и често се разглежда като престъпление без жертва, тъй като титулярите на акаунти обикновено не носят отговорност за обвиненията.

Кребс отбеляза проблеми като броя на POS системите с уеб браузъри и как това е много често срещан вектор на атака. Той каза, че преходът към кредитни карти с чип-и-пин не е решаването на проблема, цитирайки как в други страни този преход е довел до увеличаване на измамите с електронната търговия, новата измама с акаунти и поглъщането на акаунти.

Голяма част от това се свежда до идентичност и неприкосновеност на личния живот и той отбеляза, че вече има на разположение много непроменими лични данни на хората (като адреси и номера на социалното осигуряване). Той каза, че когато става въпрос за компютърни системи, те могат да бъдат сигурни, бързи или лесни за използване: изберете две. Повечето хора са избрали да не се фокусират върху сигурността, каза той. В резултат на това има много места в мрежата, за да разберете личната информация за хората и той призова правителството да приеме по-строги правила за поверителност, каквито се използват в повечето други страни.

В крайна сметка Кребс цитира пет области, в които смята, че компаниите могат да постигнат най-голям напредък в борбата срещу киберпрестъпността. Той е голям вярващ в сегментацията на мрежата, казва, че сигурността в повечето компании е като бонбони: „твърда и хрупкава отвън, мека и гъста отвътре“.

Вместо това той предложи да направите най-чувствителните части от вашата мрежа достъпни само за тези в организацията с конкретна нужда. Компаниите трябва да създадат специализиран екип за реагиране на инциденти, да преглеждат новините за други нарушения, за да видят какви уроци могат да научат, да правят многократни проучвания какво да правят в случай на нарушение и да включват своите партньори в планирането на сигурността.

Добър съвет е, но неща, които често се пренебрегват в ежедневния тласък да правят нови проекти в ИТ. Балансирането на тези приоритети е ключов въпрос за много от ИТ ръководителите, с които разговарях на конференцията.

Кребс: повечето фирми не успяват да предприемат прости мерки за киберсигурност