Rumah Berpikir ke depan Krebs: sebagian besar perusahaan gagal mengambil langkah-langkah keamanan siber sederhana

Krebs: sebagian besar perusahaan gagal mengambil langkah-langkah keamanan siber sederhana

Video: President Donald Trump fires cybersecurity chief Chris Krebs (Desember 2024)

Video: President Donald Trump fires cybersecurity chief Chris Krebs (Desember 2024)
Anonim

Peneliti keamanan terkenal Brian Krebs memberikan pidato yang menarik tetapi menakutkan tentang keadaan cybercrime saat ini, dalam presentasi kemarin sebelum pembukaan Simposium Gartner di Orlando.

Berbicara dengan sekelompok CIO dan eksekutif TI lainnya, penulis situs web Krebs on Security dan buku Spam Nation mengatakan ada "kesenjangan PR" yang besar antara persepsi dan kenyataan kejahatan dunia maya. "Cahaya di ujung terowongan bukanlah jalan keluar, " katanya. "Itu kereta yang melaju."

Secara khusus, dia mengatakan bahwa orang jahat telah melakukan pekerjaan yang lebih baik dalam berbagi informasi daripada CIO; bahkan versi laporan yang lebih lama seperti Verizon Data Breach Investigations Report sering melakukan pekerjaan yang baik untuk menjelaskan bagaimana sistem dilanggar, dengan informasi yang tetap relevan. Dalam banyak peretasan baru-baru ini, katanya, pembacaan sederhana atas log keamanan akan memberi tahu perusahaan bahwa mereka memiliki masalah.

Krebs menghabiskan sebagian besar waktunya berbicara tentang serangan pada informasi kartu kredit, sebagian besar berfokus pada malware yang ditujukan untuk sistem Point-of-Sale (POS). Dia berbicara tentang bagaimana selama dua tahun terakhir, orang-orang jahat tidak hanya meningkatkan serangan mereka pada sistem seperti itu, tetapi membuat pasar bawah tanah untuk membeli dan menjual informasi kartu kredit lebih canggih dan "ramah pelanggan."

Dalam banyak kasus, geng jalanan beralih ke penipuan kartu kredit sebagai cara cepat mengubah investasi $ 10 menjadi $ 20 menjadi $ 800 hingga $ 1.000. Tidak hanya menguntungkan, katanya, tetapi secara inheren kurang berbahaya dan berisiko daripada berurusan narkoba, dan sering dianggap sebagai kejahatan "tanpa korban" karena pemegang rekening biasanya tidak bertanggung jawab atas tuduhan tersebut.

Krebs mencatat masalah seperti jumlah sistem POS dengan browser Web, dan bagaimana ini merupakan vektor serangan yang sangat umum. Dia mengatakan transisi ke kartu kredit chip-and-pin tidak akan menyelesaikan masalah, mengutip bagaimana di negara lain, transisi itu telah menyebabkan peningkatan penipuan e-commerce, penipuan akun baru, dan pengambilalihan akun.

Banyak dari ini berkaitan dengan identitas dan privasi, dan ia mencatat bahwa banyak informasi pribadi orang yang tidak berubah (seperti alamat dan nomor Jaminan Sosial) sekarang tersedia. Dia mengatakan bahwa ketika datang ke sistem komputer, mereka dapat aman, cepat, atau mudah digunakan: pilih dua. Kebanyakan orang memilih untuk tidak fokus pada keamanan, katanya. Akibatnya, ada banyak tempat di Web untuk mencari tahu informasi pribadi tentang orang, dan dia meminta pemerintah untuk mengadopsi aturan privasi yang lebih ketat, seperti yang digunakan di sebagian besar negara lain.

Pada akhirnya, Krebs mengutip lima bidang di mana dia pikir perusahaan dapat membuat kemajuan paling besar dalam memerangi kejahatan dunia maya. Dia sangat percaya pada segmentasi jaringan, mengatakan keamanan di sebagian besar perusahaan seperti permen: "keras dan renyah di luar, lembut dan lengket di dalam."

Sebagai gantinya, ia menyarankan agar bagian paling sensitif dari jaringan Anda hanya dapat diakses oleh orang-orang dalam organisasi dengan kebutuhan tertentu. Perusahaan harus membentuk tim respons insiden khusus, meninjau berita tentang pelanggaran lain untuk melihat pelajaran apa yang dapat mereka pelajari, melakukan latihan berulang tentang apa yang harus dilakukan jika terjadi pelanggaran, dan memasukkan mitra mereka dalam perencanaan keamanan.

Ini saran yang bagus, tetapi hal-hal yang sering diabaikan dalam dorongan sehari-hari untuk melakukan proyek baru di bidang TI. Menyeimbangkan prioritas-prioritas ini adalah masalah utama bagi banyak eksekutif TI yang saya ajak bicara di konferensi.

Krebs: sebagian besar perusahaan gagal mengambil langkah-langkah keamanan siber sederhana