Video: Trump fires top cybersecurity official l GMA (Oktober 2024)
Den kjente sikkerhetsforskeren Brian Krebs holdt en fascinerende, men skummel foredrag om den nåværende nettkriminaliteten, i en presentasjon i går før åpningen av Gartner-symposiet i Orlando.
Forfatteren av nettstedet Krebs on Security og boken Spam Nation snakket med en gruppe CIOs og andre IT-ledere, og sa at det er et stort "PR-gap" mellom oppfatningen og virkeligheten av nettkriminalitet. "Lyset i enden av tunnelen er ikke en vei ut, " sa han. "Det er et møtende tog."
Spesielt sa han at skurkene har gjort en bedre jobb med å dele informasjon enn CIO-er; selv eldre versjoner av rapporter som Verizon Data Breach Investigations Report gjør ofte en god jobb med å forklare hvordan systemer ble brutt, med informasjon som fortsatt er relevant. I mange av de siste hakkene, sa han, ville en enkel gjennomgang av sikkerhetsloggene ha varslet selskapene om at de hadde et problem.
Krebs brukte mesteparten av tiden sin på å snakke om angrep på kredittkortinformasjon, hovedsakelig med fokus på skadelig programvare rettet mot Point-of-Sale (POS) -systemer. Han snakket om hvordan skurkene de siste to årene ikke bare har forbedret sine angrep på slike systemer, men gjort de underjordiske markedene for kjøp og salg av kredittkortinformasjon mer sofistikert og "kundevennlig."
I mange tilfeller dreier gategjenger seg mot kredittkortsvindel som en rask måte å gjøre en investering fra $ 10 til $ 20 til $ 800 til $ 1000. Ikke bare er dette lønnsomt, sa han, men det er iboende mindre farlig og risikabelt enn å handle narkotika, og blir ofte sett på som en "offerfri" forbrytelse fordi kontohaverne vanligvis ikke er ansvarlige for siktelsene.
Krebs bemerket problemer som antall POS-systemer med nettlesere, og hvordan dette er en veldig vanlig angrepsvektor. Han sa at overgangen til chip-and-pin kredittkort ikke er å gå løs på problemet, og siterer hvordan i andre land, den overgangen har ført til en økning i e-handelssvindel, nye kontosvindel og kontoovertagelser.
Mye av dette kommer ned på identitet og personvern, og han bemerket at mange menneskers uendrede personopplysninger (for eksempel adresser og personnummer) nå er tilgjengelig. Han sa at når det gjelder datasystemer, kan de være sikre, raske eller enkle å bruke: velg to. De fleste har valgt å ikke fokusere på sikkerhet, sa han. Som et resultat er det mange steder på nettet for å finne ut personlig informasjon om mennesker, og han ba myndighetene innføre strengere personvernregler, slik de brukes i de fleste andre land.
Til slutt siterte Krebs fem områder der han trodde selskaper kunne gjøre mest fremgang med å bekjempe nettkriminalitet. Han er en stor tro på nettverkssegmentering, og sier at sikkerheten i de fleste selskaper er som en godteribar: "hardt og knasende på utsiden, mykt og søt på innsiden."
I stedet foreslo han å gjøre de mest følsomme delene av nettverket ditt bare tilgjengelig for dem i organisasjonen med et spesielt behov. Bedrifter bør opprette et dedikert team for hendelsesrespons, se på nyhetene om andre brudd for å se hvilke leksjoner de kan lære, gjøre gjentatte øvelser om hva de skal gjøre i tilfelle brudd og inkludere partnerne deres i sikkerhetsplanlegging.
Det er gode råd, men ting som ofte blir oversett i det daglige presset på å gjøre nye prosjekter innen IT. Å balansere disse prioriteringene er et sentralt tema for mange av IT-lederne jeg snakket med på konferansen.
