קרבס: רוב החברות אינן נוקטות אמצעי ביטחון רשת פשוטים

חוקר האבטחה הידוע בריאן קרבס נשא שיחה מרתקת אך מפחידה על המצב הנוכחי של פשעי הסייבר, במצגת אתמול לפני פתיחת יום הזיכרון גרטנר באורלנדו.

בשיחה עם קבוצה של מנהלי מערכות מידע ומנהלי IT אחרים, מחבר אתר ה- Krebs באתר האבטחה והספר Spam Nation אמר כי קיים "פער יחסי ציבור" גדול בין התפיסה למציאות של פשעי רשת. "האור בקצה המנהרה איננו מוצא, " אמר. "זו רכבת מתקרבת."

בפרט, הוא אמר שהחבר'ה הרעים עשו עבודה טובה יותר בשיתוף מידע בהשוואה למנמ"רים; אפילו גרסאות ישנות יותר של דוחות כמו דוח החקירות על הפרות נתונים של Verizon לעתים קרובות עושים עבודה טובה להסביר כיצד נפרצו מערכות, עם מידע שנשאר רלוונטי. ברבים מההאקרים האחרונים, הוא אמר, עיון פשוט ביומני האבטחה היה מעיר את החברות כי יש להן בעיה.

קרבס בילה את רוב זמנו בשיחות על התקפות על מידע על כרטיסי אשראי, בעיקר כשהוא מתמקד בתוכנות זדוניות שמכוונות למערכות Point-of-Sale (POS). הוא דיבר על כך שבשנתיים האחרונות הרעים לא רק שיפרו את ההתקפות שלהם על מערכות כאלה, אלא הפכו את השווקים התת-קרקעיים לקנייה ומכירה של פרטי כרטיסי אשראי מתוחכמים יותר ו" ידידותיים ללקוח ".

במקרים רבים, כנופיות רחוב פונות להונאת כרטיסי אשראי כדרך מהירה להפוך השקעה בין 10 ל -20 דולר ל- 800 עד 1, 000 דולר. לא זו בלבד שהדבר משתלם, הוא אמר, אלא שהוא מטבעו פחות מסוכן ומסוכן מאשר סחר בסמים, ולעתים קרובות הוא נתפס כפשע "חסר קורבנות" מכיוון שמחזיקי החשבון בדרך כלל אינם אחראים לחיובים.

קרבס ציין בעיות כמו מספר מערכות ה- POS עם דפדפני האינטרנט וכיצד זהו וקטור התקפה נפוץ מאוד. לדבריו, המעבר לכרטיסי אשראי הוא לא לפתור את הבעיה, ומציין כיצד במדינות אחרות, המעבר הזה הביא לגידול בהונאות מסחר אלקטרוני, הונאת חשבונות והשתלטות על חשבונות.

חלק גדול מכך נוגע לזהות ופרטיות, והוא ציין כי הרבה מידע אישי שאינו משתנה של אנשים (כגון כתובות ומספרי ביטוח לאומי) זמין כעת. הוא אמר שכאשר מדובר במערכות מחשב, הן יכולות להיות מאובטחות, מהירות או קלות לשימוש: בחר שתיים. רוב האנשים בחרו שלא להתמקד בביטחון, אמר. כתוצאה מכך יש המון מקומות באינטרנט כדי לגלות מידע אישי על אנשים, והוא קרא לממשלה לאמץ כללי פרטיות מחמירים יותר, כמו בשימוש ברוב המדינות האחרות.

בסופו של דבר ציטט קרבס חמישה תחומים שבהם הוא חשב שחברות יכולות להתקדם ביותר במאבק בפשעי רשת. הוא מאמין גדול בפילוח הרשת, ואומר שהאבטחה ברוב החברות היא כמו בר ממתקים: "קשה ופריך מבחוץ, רך ועגמומי מבפנים."

במקום זאת, הוא הציע להנגיש את החלקים הרגישים ביותר ברשת שלך רק לאנשים בתוך הארגון עם צורך מסוים. על חברות להקים צוות ייעודי לתגובה לאירועים, לסקור את החדשות על הפרות אחרות כדי לבדוק אילו שיעורים הן יכולות ללמוד, לבצע תרגילים חוזרים ונשנים על מה לעשות במקרה של הפרה, ולכלול את השותפים שלהם בתכנון האבטחה.

זו עצה טובה, אבל דברים שלעתים קרובות מתעלמים מהם מהיום יום דוחפים לבצע פרויקטים חדשים בתחום ה- IT. איזון סדרי עדיפויות אלה הנו נושא מרכזי עבור רבים ממנהלי ה- IT שדיברתי איתם בכנס.