Casa Lungimiranza Krebs: la maggior parte delle aziende non riesce a prendere semplici misure di sicurezza informatica

Krebs: la maggior parte delle aziende non riesce a prendere semplici misure di sicurezza informatica

Video: Parrot OS e sicurezza informatica | Intervista a Palinuro (Novembre 2024)

Video: Parrot OS e sicurezza informatica | Intervista a Palinuro (Novembre 2024)
Anonim

Il noto ricercatore per la sicurezza Brian Krebs ha tenuto un discorso affascinante ma spaventoso sull'attuale stato del crimine informatico, in una presentazione ieri prima dell'apertura del Gartner Symposium a Orlando.

Parlando con un gruppo di CIO e altri dirigenti IT, l'autore del sito Web Krebs on Security e il libro Spam Nation hanno affermato che esiste un grande "divario PR" tra la percezione e la realtà del crimine informatico. "La luce alla fine del tunnel non è una via d'uscita", ha detto. "È un treno in arrivo."

In particolare, ha affermato che i cattivi hanno svolto un lavoro migliore nel condividere le informazioni rispetto ai CIO; anche le versioni precedenti di report come Verizon Data Breach Investigations Report spesso fanno un buon lavoro nel spiegare come i sistemi sono stati violati, con informazioni che rimangono rilevanti. In molti dei recenti hack, ha detto, un semplice esame dei registri di sicurezza avrebbe avvisato le aziende che avevano un problema.

Krebs ha trascorso la maggior parte del tempo a parlare di attacchi alle informazioni sulle carte di credito, concentrandosi principalmente sul malware rivolto ai sistemi Point-of-Sale (POS). Ha parlato di come negli ultimi due anni i cattivi non solo abbiano migliorato i loro attacchi a tali sistemi, ma reso i mercati sotterranei per l'acquisto e la vendita di informazioni sulle carte di credito più sofisticati e "amichevoli per i clienti".

In molti casi, le bande di strada si stanno trasformando in frodi con carta di credito come un modo rapido per trasformare un investimento da $ 10 a $ 20 in $ 800 a $ 1.000. Non solo è redditizio, ha detto, ma è intrinsecamente meno pericoloso e rischioso rispetto allo spaccio di droga, ed è spesso visto come un crimine "senza vittime" perché i titolari dei conti in genere non sono responsabili per le accuse.

Krebs ha notato problemi come il numero di sistemi POS con browser Web e come questo sia un vettore di attacco molto comune. Ha affermato che la transizione alle carte di credito chip-and-pin non risolverà il problema, citando come in altri paesi, tale transizione abbia portato ad un aumento delle frodi nel commercio elettronico, nuove frodi sui conti e acquisizioni di conti.

Gran parte di questo si riduce all'identità e alla privacy, e ha notato che molte informazioni personali immutabili (come indirizzi e numeri di previdenza sociale) sono ora disponibili. Ha detto che quando si tratta di sistemi informatici, possono essere sicuri, veloci o facili da usare: scegline due. Molte persone hanno scelto di non concentrarsi sulla sicurezza, ha affermato. Di conseguenza, ci sono molti posti sul Web per scoprire informazioni personali sulle persone e ha invitato il governo ad adottare regole sulla privacy più rigorose, come quelle utilizzate nella maggior parte degli altri paesi.

Alla fine, Krebs ha citato cinque aree in cui pensava che le aziende potessero fare il massimo progresso nella lotta alla criminalità informatica. È un grande sostenitore della segmentazione della rete, dicendo che la sicurezza nella maggior parte delle aziende è come un candy bar: "duro e croccante fuori, morbido e appiccicoso dentro".

Invece, ha suggerito di rendere le parti più sensibili della tua rete accessibili solo a quelle all'interno dell'organizzazione con un bisogno particolare. Le aziende dovrebbero creare un team dedicato per la risposta agli incidenti, rivedere le notizie di altre violazioni per vedere quali lezioni possono imparare, fare ripetute esercitazioni su cosa fare in caso di violazione e includere i loro partner nella pianificazione della sicurezza.

È un buon consiglio, ma le cose che spesso vengono trascurate nella spinta quotidiana a fare nuovi progetti nell'IT. Il bilanciamento di queste priorità è una questione chiave per molti dirigenti IT con cui ho parlato alla conferenza.

Krebs: la maggior parte delle aziende non riesce a prendere semplici misure di sicurezza informatica