Video: Dominion (2018) - full documentary [Official] (Oktober 2024)
Den kendte sikkerhedsforsker Brian Krebs holdt en fascinerende, men skræmmende tale om den aktuelle cyberkriminalitet i en præsentation i går før åbningen af Gartner-symposiet i Orlando.
I en samtale med en gruppe af CIO'er og andre it-ledere sagde forfatteren til Krebs on Security-webstedet og bogen Spam Nation, at der er et stort "PR-kløft" mellem opfattelsen og virkeligheden af cyberkriminalitet. ”Lyset ved enden af tunnelen er ikke en vej ud, ” sagde han. "Det er et møtende tog."
Han sagde især, at de onde har gjort et bedre stykke arbejde med at dele information end CIO'er; selv ældre versioner af rapporter som Verizon Data Breach Investigations Report gør ofte et godt stykke arbejde med at forklare, hvordan systemer blev brudt, med oplysninger, der forbliver relevante. I mange af de nylige hacks, sagde han, ville en simpel gennemgang af sikkerhedslogfilerne have advaret virksomhederne om, at de havde et problem.
Krebs brugte det meste af sin tid på at tale om angreb på kreditkortoplysninger, hovedsagelig med fokus på malware rettet mod Point-of-Sale (POS) -systemer. Han talte om, hvordan de dårlige fyre i de sidste to år ikke kun har forbedret deres angreb på sådanne systemer, men gjort de underjordiske markeder for køb og salg af kreditkortoplysninger mere sofistikerede og "kundevenlige."
I mange tilfælde henvender gadebander sig til kreditkortsvindel som en hurtig måde at omdanne en investering fra $ 10 til $ 20 til $ 800 til $ 1.000. Dette er ikke kun rentabelt, sagde han, men det er i sagens natur mindre farligt og risikabelt end at handle med narkotika og ses ofte som en "offerfri" forbrydelse, fordi kontohaverne typisk ikke er ansvarlige for sagsomkostningerne.
Krebs bemærkede problemer såsom antallet af POS-systemer med webbrowsere, og hvordan dette er en meget almindelig angrebsvektor. Han sagde, at overgangen til chip-and-pin-kreditkort ikke er at løse problemet, idet han nævner, hvordan overgangen til andre lande har ført til en stigning i e-handelssvindel, svindel med nye konti og kontoovertagelser.
Meget af dette kommer til identitet og privatliv, og han bemærkede, at mange menneskers uændrede personlige oplysninger (som adresser og personnummer) nu er tilgængelige. Han sagde, at når det kommer til computersystemer, kan de være sikre, hurtige eller lette at bruge: vælg to. De fleste mennesker har valgt ikke at fokusere på sikkerhed, sagde han. Som et resultat er der masser af steder på Internettet for at finde ud af personlige oplysninger om mennesker, og han opfordrede regeringen til at vedtage strengere privatlivsregler, som brugt i de fleste andre lande.
I sidste ende citerede Krebs fem områder, hvor han mente, at virksomheder kunne gøre mest fremskridt med at bekæmpe cyberkriminalitet. Han er en stor tro på netværkssegmentering og siger, at sikkerheden i de fleste virksomheder er som en candybar: "hårdt og crunchy udefra, blødt og sløret på indersiden."
I stedet foreslog han at gøre de mest følsomme dele af dit netværk kun tilgængeligt for dem inden for organisationen med et særligt behov. Virksomheder bør oprette et dedikeret hændelsesteam, gennemgå nyhederne om andre overtrædelser for at se, hvilke lektioner de kan lære, foretage gentagne øvelser om, hvad de skal gøre i tilfælde af et brud, og inkludere deres partnere i sikkerhedsplanlægning.
Det er gode råd, men ting, der ofte overses i det daglige skubber på at udføre nye projekter inden for it. At afbalancere disse prioriteter er et centralt emne for mange af de IT-ledere, jeg talte med på konferencen.
