Lar Visão de futuro Krebs: a maioria das empresas falha em tomar medidas simples de segurança cibernética

Krebs: a maioria das empresas falha em tomar medidas simples de segurança cibernética

Vídeo: Por que é Difícil Tomar Decisões? (2 Medidas Para Resolver) (Novembro 2024)

Vídeo: Por que é Difícil Tomar Decisões? (2 Medidas Para Resolver) (Novembro 2024)
Anonim

O conhecido pesquisador de segurança Brian Krebs fez uma palestra fascinante, mas assustadora, sobre o atual estado do cibercrime, em uma apresentação ontem antes da abertura do Simpósio da Gartner em Orlando.

Conversando com um grupo de CIOs e outros executivos de TI, o autor do site Krebs on Security e o livro Spam Nation disseram que existe uma grande "lacuna de relações públicas" entre a percepção e a realidade do crime cibernético. "A luz no fim do túnel não é uma saída", disse ele. "É um trem que se aproxima."

Em particular, ele disse que os bandidos fizeram um trabalho melhor em compartilhar informações do que os CIOs; mesmo versões mais antigas de relatórios, como o Relatório de investigações de violação de dados da Verizon, costumam explicar bem como os sistemas foram violados, com informações que permanecem relevantes. Em muitos dos hacks recentes, ele disse, uma simples leitura dos logs de segurança teria alertado as empresas de que eles tinham um problema.

Krebs passava a maior parte do tempo conversando sobre ataques a informações de cartão de crédito, concentrando-se principalmente em malwares direcionados a sistemas de ponto de venda (POS). Ele falou sobre como, nos últimos dois anos, os bandidos não apenas melhoraram seus ataques a esses sistemas, como também tornaram os mercados subterrâneos de compra e venda de informações de cartão de crédito mais sofisticados e "amigáveis ​​ao cliente".

Em muitos casos, as gangues de rua estão recorrendo à fraude com cartão de crédito como uma maneira rápida de transformar um investimento de US $ 10 a US $ 20 em US $ 800 a US $ 1.000. Isso não é apenas lucrativo, ele disse, mas é inerentemente menos perigoso e arriscado do que o tráfico de drogas, e muitas vezes é visto como um crime "sem vítimas", porque os correntistas normalmente não são responsáveis ​​pelas acusações.

Krebs notou problemas como o número de sistemas POS com navegadores da Web e como esse é um vetor de ataque muito comum. Ele disse que a transição para os cartões de crédito com chip e pin não vai resolver o problema, citando como em outros países essa transição levou a um aumento na fraude no comércio eletrônico, nas novas contas e nas aquisições de contas.

Muito disso se resume à identidade e à privacidade, e ele observou que muitas informações pessoais imutáveis ​​das pessoas (como endereços e números do Seguro Social) estão agora disponíveis. Ele disse que, quando se trata de sistemas de computadores, eles podem ser seguros, rápidos ou fáceis de usar: escolha dois. A maioria das pessoas optou por não se concentrar na segurança, disse ele. Como resultado, existem muitos lugares na Web para descobrir informações pessoais sobre as pessoas, e ele pediu ao governo que adote regras mais rígidas de privacidade, como as usadas na maioria dos outros países.

No final, Krebs citou cinco áreas em que ele achava que as empresas poderiam fazer o maior progresso no combate ao crime cibernético. Ele acredita muito na segmentação de redes, dizendo que a segurança na maioria das empresas é como uma barra de chocolate: "duro e crocante por fora, macio e pegajoso por dentro".

Em vez disso, ele sugeriu tornar as partes mais sensíveis da sua rede acessíveis apenas àqueles dentro da organização com uma necessidade específica. As empresas devem criar uma equipe dedicada de resposta a incidentes, revisar as notícias de outras violações para ver quais lições podem aprender, fazer exercícios repetidos sobre o que fazer em caso de violação e incluir seus parceiros no planejamento de segurança.

É um bom conselho, mas coisas que muitas vezes são negligenciadas no esforço diário para realizar novos projetos em TI. Equilibrar essas prioridades é uma questão importante para muitos executivos de TI com quem conversei na conferência.

Krebs: a maioria das empresas falha em tomar medidas simples de segurança cibernética