บ้าน ส่งต่อความคิด Krebs: บริษัท ส่วนใหญ่ไม่สามารถใช้มาตรการรักษาความปลอดภัยทางไซเบอร์อย่างง่าย

Krebs: บริษัท ส่วนใหญ่ไม่สามารถใช้มาตรการรักษาความปลอดภัยทางไซเบอร์อย่างง่าย

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)
Anonim

นักวิจัยด้านความปลอดภัยที่มีชื่อเสียง Brian Krebs ได้พูดคุยที่น่าสนใจ แต่น่ากลัวเกี่ยวกับสถานะปัจจุบันของอาชญากรรมไซเบอร์ในการนำเสนอเมื่อวานนี้ก่อนที่จะมีการเปิดการประชุม Gartner Symposium ในออร์แลนโด

เมื่อพูดถึงกลุ่ม CIO และผู้บริหารด้านไอทีคนอื่น ๆ ผู้เขียนเว็บไซต์ Krebs on Security และหนังสือ Spam Nation บอกว่ามี "ช่องว่าง PR" ขนาดใหญ่ระหว่างการรับรู้และความเป็นจริงของอาชญากรรมไซเบอร์ “ แสงที่ปลายอุโมงค์ไม่ใช่ทางออก” เขากล่าว "มันเป็นรถไฟที่กำลังจะมาถึง"

โดยเฉพาะอย่างยิ่งเขากล่าวว่าคนร้ายทำงานได้ดีกว่าในการแบ่งปันข้อมูลมากกว่าซีไอโอ แม้แต่รายงานเวอร์ชันเก่ากว่าเช่นรายงานการตรวจสอบการละเมิดข้อมูลของ Verizon มักจะทำงานได้ดีในการอธิบายว่าระบบถูกละเมิดด้วยข้อมูลที่ยังคงเกี่ยวข้องอยู่ ในการแฮ็กจำนวนมากเมื่อเร็ว ๆ นี้เขากล่าวว่าการตรวจสอบบันทึกการรักษาความปลอดภัยอย่างง่ายจะทำให้ บริษัท ที่พวกเขาประสบปัญหา

Krebs ใช้เวลาส่วนใหญ่พูดคุยเกี่ยวกับการโจมตีข้อมูลบัตรเครดิตโดยส่วนใหญ่มุ่งเน้นไปที่มัลแวร์ที่มุ่งเน้นระบบ Point-of-Sale (POS) เขาพูดคุยเกี่ยวกับวิธีการที่ผ่านมาสองปีที่ผ่านมาคนร้ายไม่เพียง แต่ปรับปรุงการโจมตีระบบดังกล่าว แต่ทำตลาดใต้ดินสำหรับการซื้อและขายข้อมูลบัตรเครดิตที่ซับซ้อนมากขึ้นและ "ลูกค้าเป็นมิตร"

ในหลายกรณีแก๊งข้างถนนเปลี่ยนเป็นการฉ้อโกงบัตรเครดิตเป็นวิธีที่รวดเร็วในการเปลี่ยนการลงทุน $ 10 ถึง $ 20 เป็น $ 800 ถึง $ 1, 000 เขาไม่เพียงทำกำไรได้เท่านั้น แต่มันอันตรายน้อยกว่าและมีความเสี่ยงมากกว่าการซื้อขายยาเสพติดและมักถูกมองว่าเป็นอาชญากรรมที่“ ไร้เหยื่อ” เพราะผู้ถือบัญชีมักไม่รับผิดชอบต่อค่าใช้จ่าย

Krebs พบปัญหาเช่นจำนวนของระบบ POS ที่มีเว็บเบราว์เซอร์และวิธีการนี้เป็นเวคเตอร์ทั่วไปของการโจมตี เขากล่าวว่าการเปลี่ยนไปใช้บัตรเครดิตแบบชิปและพินนั้นไม่ได้ช่วยแก้ปัญหาโดยอ้างว่าในประเทศอื่นการเปลี่ยนแปลงนั้นนำไปสู่การฉ้อโกงทางอีคอมเมิร์ชเพิ่มขึ้นการฉ้อโกงบัญชีใหม่และการครอบครองบัญชี

สิ่งเหล่านี้ส่วนใหญ่เกิดขึ้นกับข้อมูลส่วนบุคคลและความเป็นส่วนตัวและเขาตั้งข้อสังเกตว่าขณะนี้มีข้อมูลส่วนบุคคลที่ไม่เปลี่ยนแปลงจำนวนมาก (เช่นที่อยู่และหมายเลขประกันสังคม) เขากล่าวว่าเมื่อพูดถึงระบบคอมพิวเตอร์พวกเขาสามารถปลอดภัยรวดเร็วหรือใช้งานง่าย: เลือกสองอย่าง คนส่วนใหญ่เลือกที่จะไม่ให้ความสำคัญกับความปลอดภัยเขากล่าว เป็นผลให้มีสถานที่มากมายบนเว็บเพื่อค้นหาข้อมูลส่วนบุคคลของผู้คนและเขาเรียกร้องให้รัฐบาลนำกฎความเป็นส่วนตัวที่เข้มงวดเช่นที่ใช้ในประเทศอื่น ๆ มาใช้

ในท้ายที่สุด Krebs อ้างถึงห้าด้านที่เขาคิดว่า บริษัท ต่างๆสามารถสร้างความก้าวหน้ามากที่สุดในการต่อสู้กับอาชญากรรมไซเบอร์ เขาเป็นผู้เชื่อที่ยิ่งใหญ่ในการแบ่งส่วนเครือข่ายกล่าวว่าการรักษาความปลอดภัยใน บริษัท ส่วนใหญ่นั้นเป็นเหมือนแท่งขนม: "แข็งและกรุบกรอบด้านนอกนุ่มนวลและเหนอะหนะอยู่ข้างใน"

เขาแนะนำให้ทำส่วนที่ละเอียดอ่อนที่สุดของเครือข่ายของคุณให้เข้าถึงได้เฉพาะกับที่อยู่ในองค์กรด้วยความต้องการเฉพาะ บริษัท ควรจัดตั้งทีมรับมือเหตุการณ์โดยเฉพาะทบทวนข่าวการละเมิดอื่น ๆ เพื่อดูบทเรียนที่พวกเขาสามารถเรียนรู้ทำแบบฝึกหัดซ้ำ ๆ เกี่ยวกับสิ่งที่ต้องทำในกรณีที่มีการฝ่าฝืนและรวมถึงพันธมิตรในการวางแผนความปลอดภัย

มันเป็นคำแนะนำที่ดี แต่สิ่งที่มักถูกมองข้ามในการผลักดันในแต่ละวันเพื่อทำโครงการใหม่ในด้านไอที การจัดลำดับความสำคัญเหล่านี้เป็นประเด็นสำคัญสำหรับผู้บริหารไอทีหลายคนที่ฉันได้พูดคุยในที่ประชุม

Krebs: บริษัท ส่วนใหญ่ไม่สามารถใช้มาตรการรักษาความปลอดภัยทางไซเบอร์อย่างง่าย