Bekannte Sicherheitsexperte Brian Krebs hat eine faszinierende, aber beängstigend Vortrag über den aktuellen Stand der Cyberkriminalität, in einer Präsentation gestern vor der Eröffnung der Gartner Symposium in Orlando.
Im Gespräch mit einer Gruppe von CIOs und andere IT-Führungskräfte, der Autor von Krebs on Security-Website und dem Buch Spam Nation sagte, gibt es einen großen "PR Lücke" zwischen der Wahrnehmung und Wirklichkeit der Cyberkriminalität. "Das Licht am Ende des Tunnels ist kein Ausweg", sagte er. "Es ist eine entgegenkommenden Zug."
Insbesondere, sagte er, dass die bösen Jungs haben eine bessere Arbeit der Austausch von Informationen als CIOs durchgeführt; auch ältere Versionen von Berichten wie der Verizon Data Breach Investigations Bericht oft machen einen guten Job zu erklären, wie Systeme wurden durchbrochen, mit Informationen, die relevant bleibt. In vielen der jüngsten Hacks, sagte er, eine einfache Durchsicht der Sicherheitsprotokolle würden die Unternehmen, dass sie ein Problem hatte gewarnt haben.
Krebs verbrachte die meiste Zeit im Gespräch über Angriffe auf Kreditkarteninformationen, meist mit Schwerpunkt auf Malware am Point-of-Sale (POS) Systeme ausgerichtet. Er sprach darüber, wie in den vergangenen zwei Jahren haben die bösen Jungs nicht nur verbessert, ihre Angriffe auf solche Systeme, machte aber die U-Bahn-Märkten für Kauf und Verkauf von Kreditkarteninformationen immer ausgefeilter und "kundenfreundlich."
In vielen Fällen werden die Straßengangs drehen, um Kreditkartenbetrug als schnelle Möglichkeit des Drehens ein $ 10 bis $ 20 Investition in $ 800 bis $ 1.000. Dies war nicht nur profitabel, sagte er, aber es ist von Natur aus weniger gefährlich und riskant als Drogenhandel, und wird oft als "opferlose" Verbrechen gesehen, weil die Kontoinhaber sind in der Regel nicht für die Gebühren.
Krebs genannten Probleme, wie beispielsweise, wie viele POS-Systeme haben Web-Browser, und wie dies sehr häufig Angriffsvektor. Er sagte, dass der Übergang zu Chip-und-Pin-Kreditkarten ist nicht zu gehen das Problem zu lösen, unter Berufung auf, wie in anderen Ländern hat, dass der Übergang zu einem Anstieg der E-Commerce-Betrug, neues Konto Betrug, und Account-Übernahmen geführt.
Eine Menge davon kommt auf die Identität und Privatsphäre, und er stellte fest, dass eine Menge von unveränderlichen Daten der Menschen (wie Adressen und Sozialversicherungsnummern) ist jetzt verfügbar. Er sagte, dass, wenn es um Computer-Systeme geht, sie sicher, schnell oder leicht zu bedienen sein könnte: wählen Sie zwei. Die meisten Menschen haben entschieden, nicht auf die Sicherheit konzentrieren, sagte er. Als Ergebnis gibt es viele Orte auf der Web, um persönliche Informationen über Menschen herauszufinden, und er rief die Regierung auf, strengere Datenschutzregeln, wie in den meisten anderen Ländern erlassen.
Im Ende, zitiert Krebs fünf Bereiche, in denen er dachte, Unternehmen könnten die größten Fortschritte bei der Bekämpfung der Cyberkriminalität zu machen. Er ist ein großer Anhänger der Netzwerksegmentierung und sagte, die Sicherheit in den meisten Unternehmen ist wie ein Schokoriegel ". Hart und außen knusprig, weich und klebrig auf der Innenseite"
Stattdessen schlug er vor, dass die empfindlichsten Teile des Netzwerks zugänglich nur für die innerhalb der Organisation mit einem besonderen Bedarf. Unternehmen sollten eine dedizierte Incident Response Team, lesen Sie die Nachrichten von anderen Verstößen, um zu sehen, welche Lehren sie lernen können, zu tun wiederholt Bohrer auf, was im Falle der Verletzung zu tun, und sind ihre Partner in der Sicherheitsplanung.
Es ist ein guter Rat, aber die Dinge, die oft in den Tag zu Tag Push übersehen werden, um neue Projekte in der IT zu tun. Balancing dieser Prioritäten ist eine Schlüsselfrage für viele IT-Verantwortliche Ich sprach auf der Konferenz.
No comments:
Post a Comment