Trang Chủ Suy nghĩ tiến tới Krebs: hầu hết các công ty không thực hiện các biện pháp an ninh mạng đơn giản

Krebs: hầu hết các công ty không thực hiện các biện pháp an ninh mạng đơn giản

Video: ♫ Buồn Làm Chi Em Ơi, Hoa Nở Không Màu, Đánh Mất Em ♫ Nhạc Buồn Tâm Trạng Hay Nhất 2020 #14 (Tháng mười một 2024)

Video: ♫ Buồn Làm Chi Em Ơi, Hoa Nở Không Màu, Đánh Mất Em ♫ Nhạc Buồn Tâm Trạng Hay Nhất 2020 #14 (Tháng mười một 2024)
Anonim

Nhà nghiên cứu bảo mật nổi tiếng Brian Krebs đã có một bài nói chuyện hấp dẫn nhưng đáng sợ về tình trạng tội phạm mạng hiện nay, trong một bài thuyết trình hôm qua trước khi khai mạc Hội nghị chuyên đề Gartner ở Orlando.

Trao đổi với một nhóm CIO và các giám đốc điều hành CNTT khác, tác giả của trang web Krebs on Security và cuốn sách Spam Nation cho biết có một "khoảng cách PR" lớn giữa nhận thức và thực tế của tội phạm mạng. "Ánh sáng ở cuối đường hầm không phải là lối thoát", ông nói. "Đó là một chuyến tàu sắp tới."

Cụ thể, ông nói rằng những kẻ xấu đã thực hiện công việc chia sẻ thông tin tốt hơn CIO; ngay cả các phiên bản cũ hơn của các báo cáo như Báo cáo Điều tra Vi phạm Dữ liệu của Verizon thường làm tốt công việc giải thích cách các hệ thống bị vi phạm, với thông tin vẫn còn liên quan. Trong nhiều vụ hack gần đây, ông nói, một sự đơn giản về nhật ký bảo mật sẽ cảnh báo cho các công ty rằng họ có vấn đề.

Krebs dành phần lớn thời gian của mình để nói về các cuộc tấn công vào thông tin thẻ tín dụng, chủ yếu tập trung vào phần mềm độc hại nhắm vào các hệ thống Điểm bán hàng (POS). Ông nói về việc trong hai năm qua, những kẻ xấu không chỉ cải thiện các cuộc tấn công của chúng vào các hệ thống như vậy, mà còn khiến các thị trường ngầm mua và bán thông tin thẻ tín dụng trở nên tinh vi và "thân thiện với khách hàng".

Trong nhiều trường hợp, các băng đảng đường phố đang chuyển sang gian lận thẻ tín dụng như một cách nhanh chóng để biến khoản đầu tư 10 đô la thành 20 đô la thành 800 đô la đến 1.000 đô la. Ông nói, điều này không chỉ mang lại lợi nhuận mà còn ít nguy hiểm và rủi ro hơn so với việc buôn bán ma túy và thường được coi là tội phạm "không có nạn nhân" vì chủ tài khoản thường không chịu trách nhiệm về các khoản phí.

Krebs lưu ý các vấn đề như số lượng hệ thống POS có trình duyệt Web và đây là một vectơ tấn công rất phổ biến. Ông nói rằng việc chuyển đổi sang thẻ tín dụng chip-pin không phải là để giải quyết vấn đề, với lý do tại các quốc gia khác, quá trình chuyển đổi đó đã dẫn đến sự gia tăng gian lận thương mại điện tử, gian lận tài khoản mới và tiếp quản tài khoản.

Phần lớn trong số này thuộc về danh tính và quyền riêng tư, và ông lưu ý rằng rất nhiều thông tin cá nhân không thay đổi của mọi người (như địa chỉ và số An sinh Xã hội) hiện đã có sẵn. Ông nói rằng khi nói đến hệ thống máy tính, chúng có thể an toàn, nhanh chóng hoặc dễ sử dụng: chọn hai. Hầu hết mọi người đã chọn không tập trung vào an ninh, ông nói. Do đó, có rất nhiều nơi trên Web để tìm hiểu thông tin cá nhân về mọi người, và ông kêu gọi chính phủ áp dụng các quy tắc bảo mật chặt chẽ hơn, như được sử dụng ở hầu hết các quốc gia khác.

Cuối cùng, Krebs đã trích dẫn năm lĩnh vực mà ông nghĩ rằng các công ty có thể đạt được tiến bộ nhất trong việc chống lại tội phạm mạng. Ông là một người tin tưởng lớn vào phân khúc mạng, nói rằng an ninh ở hầu hết các công ty giống như một thanh kẹo: "cứng và giòn ở bên ngoài, mềm và bên trong."

Thay vào đó, ông đề nghị làm cho những phần nhạy cảm nhất trong mạng của bạn chỉ có thể truy cập được đối với những người trong tổ chức có nhu cầu cụ thể. Các công ty nên thành lập một nhóm ứng phó sự cố chuyên dụng, xem xét tin tức về các vi phạm khác để xem họ có thể học được bài học gì, thực hiện các cuộc tập trận lặp lại về những việc cần làm trong trường hợp vi phạm và bao gồm các đối tác của họ trong kế hoạch bảo mật.

Đó là lời khuyên tốt, nhưng những điều thường bị bỏ qua trong nỗ lực hàng ngày để thực hiện các dự án mới trong CNTT. Cân bằng các ưu tiên này là một vấn đề quan trọng đối với nhiều giám đốc điều hành CNTT mà tôi đã nói chuyện tại hội nghị.

Krebs: hầu hết các công ty không thực hiện các biện pháp an ninh mạng đơn giản