Video: What causes kidney stones? - Arash Shadman (September 2024)
Den välkända säkerhetsforskaren Brian Krebs höll ett fascinerande men skrämmande samtal om det nuvarande cyberbrottsläget, i en presentation i går före öppningen av Gartner-symposiet i Orlando.
Tala med en grupp CIO: er och andra IT-chefer, författaren till Krebs on Security-webbplatsen och boken Spam Nation sa att det finns ett stort "PR-gap" mellan uppfattningen och verkligheten av cyberbrott. "Ljuset i slutet av tunneln är inte en väg ut, " sade han. "Det är ett mötande tåg."
I synnerhet sa han att skurkarna har gjort ett bättre jobb med att dela information än CIO: er; till och med äldre versioner av rapporter som Verizon Data Breach Investigations Report gör ofta ett bra jobb med att förklara hur system bryts, med information som förblir relevant. I många av de senaste hackarna, sade han, skulle en enkel granskning av säkerhetsloggarna ha varnat företagen att de hade ett problem.
Krebs tillbringade större delen av sin tid på att prata om attacker på kreditkortsinformation, främst med fokus på skadlig programvara riktad mot Point-of-Sale (POS) -system. Han berättade om hur de dåliga killarna under de senaste två åren inte bara har förbättrat sina attacker på sådana system, utan gjort de underjordiska marknaderna för att köpa och sälja kreditkortsinformation mer sofistikerade och "kundvänliga".
I många fall vänder gänggrupper sig mot kreditkortsbedrägerier som ett snabbt sätt att förvandla en investering från $ 10 till $ 20 till $ 800 till $ 1000. Detta är inte bara lönsamt, sade han, utan det är i sig naturligt mindre farligt och riskabelt än att handla med narkotika, och ses ofta som ett "offerfritt" brott eftersom kontoinnehavarna vanligtvis inte är ansvariga för avgifterna.
Krebs noterade problem såsom antalet POS-system med webbläsare och hur detta är en mycket vanlig attackvektor. Han sade att övergången till chip-and-pin-kreditkort inte är att lösa problemet, med hänvisning till hur i andra länder har den övergången lett till en ökning av e-handelsbedrägerier, nytt kontobedrägeri och kontoövertagande.
Mycket av detta handlar om identitet och integritet, och han konstaterade att mycket av människors oföränderliga personliga information (som adresser och personnummer) nu är tillgängliga. Han sa att när det gäller datorsystem kan de vara säkra, snabba eller enkla att använda: välj två. De flesta har valt att inte fokusera på säkerhet, sade han. Som ett resultat finns det många platser på webben för att ta reda på personlig information om människor, och han uppmanade regeringen att anta strängare sekretessregler, som används i de flesta andra länder.
I slutändan citerade Krebs fem områden där han trodde att företag kunde göra mest framsteg när det gäller att bekämpa internetbrott. Han är en stor troende på nätverkssegmentering och säger att säkerheten i de flesta företag är som en godisbar: "hårt och krispigt på utsidan, mjukt och slingrande på insidan."
Istället föreslog han att de mest känsliga delarna av ditt nätverk endast skulle vara tillgängliga för dem inom organisationen med ett särskilt behov. Företag bör inrätta ett särskilt händelsespersonal, granska nyheterna om andra överträdelser för att se vilka lektioner de kan lära sig, göra upprepade övningar om vad de ska göra i händelse av överträdelser och inkludera sina partners i säkerhetsplanering.
Det är bra råd, men saker som ofta förbises i det dagliga arbetet för att göra nya projekt inom IT. Att balansera dessa prioriteringar är en nyckelfråga för många av de IT-chefer som jag pratade med på konferensen.
