Casa Securitywatch Rsac: la tua banca potrebbe essere sicura, ma i suoi fornitori di terze parti non lo sono

Rsac: la tua banca potrebbe essere sicura, ma i suoi fornitori di terze parti non lo sono

Video: Le pressioni di Ats agli imprenditori che fanno test sierologici ai dipendenti: "Toni mafiosi" (Novembre 2024)

Video: Le pressioni di Ats agli imprenditori che fanno test sierologici ai dipendenti: "Toni mafiosi" (Novembre 2024)
Anonim

Con le sue spesse mura, le enormi volte e i dettagli di sicurezza interni, un vecchio edificio bancario è il vero esempio di solidità. Le banche online e le istituzioni finanziarie non condividono questo livello di sicurezza fisica. In effetti, attraverso i collegamenti con partner di terze parti, i margini di tale istituzione possono essere davvero tenui. Alla Conferenza RSA di San Francisco, Lookingglass Cyber ​​Solutions ha pubblicato uno studio che rivela una scioccante mancanza di sicurezza tra i fornitori di terze parti.

Questo tipo di problema è stato recentemente nelle notizie. La massiccia violazione dei dati del Black Friday su Target, originariamente pensata come un "lavoro interno", si è rivelata di origine di terze parti. In particolare, l'attacco è avvenuto attraverso il fornitore di servizi HVAC di Target. Il proprietario dell'azienda lo ha descritto come "un'operazione sofisticata di attacco informatico", ma i dati di Lookingglass suggeriscono che la raffinatezza non è sempre necessaria.

100 per cento rischioso

Per ottenere i dati per questo studio, Lookingglass ha rintracciato "processori di pagamento, revisori dei conti e altri servizi finanziari all'interno della catena di approvvigionamento del settore finanziario". Lo studio si è svolto per un periodo di 35 giorni nel quarto trimestre del 2013 e ha rilevato che il 100% delle reti di terze parti "mostrava segni di compromissione o aumento del rischio".

I ricercatori di Lookingglass hanno rilevato il traffico botnet in uscita e il comportamento delle reti dannose in tutto il 75% delle reti di terze parti. È piuttosto scioccante. Peggio ancora, il 25 percento del totale mostrava segni di infezione da parte del Trojan bancario Zeus. E alcune di queste terze parti si affidano ad altre terze parti, aumentando la possibilità di una violazione.

Troppe porte

"Questo studio evidenzia una debolezza di cui l'industria è stata molto riluttante a parlare in pubblico - il fatto che terze parti fidate non dovrebbero e non ci si possa fidare veramente", ha affermato Chris Coleman, CEO di Lookingglass. "Le organizzazioni globali… devono guardare oltre i propri perimetri difensivi e considerare il monitoraggio della loro presenza su Internet pubblica per comprendere meglio la loro superficie di attacco."

Quel buon edificio vecchio stile bancario ha il minor numero di porte possibile e ogni robusta porta è dotata di un sistema di allarme e telecamere di sicurezza. Per un istituto finanziario online, ogni connessione di terze parti è una porta che potrebbe far scivolare dentro i criminali informatici. Peggio ancora, può essere difficile persino capire che esiste un portale del genere. Chi avrebbe mai pensato che gli attaccanti di Target potessero entrare tramite l'appaltatore HVAC? Il rapporto completo è più dettagliato, per coloro che sono interessati.

La lezione è chiara Il tuo istituto online è sicuro tanto quanto i suoi fornitori di terze parti, quindi ti consigliamo di controllare attentamente tali fornitori. Chiama per un controllo o utilizza un servizio come Lookingglass che controlla la sicurezza di "l'intero cyber ecosistema aziendale di un cliente, compresa l'impresa estesa, e altre reti al di fuori del loro controllo". I siti Web che estendono correttamente la sicurezza fino al limite della loro sfera di influenza rimarranno belli mentre i loro concorrenti subiscono violazioni dopo violazioni.

Rsac: la tua banca potrebbe essere sicura, ma i suoi fornitori di terze parti non lo sono