Video: Der Informationssicherheitsbeauftragte | #Cybersicherheit (November 2024)
Der bekannte Sicherheitsforscher Brian Krebs hielt gestern vor der Eröffnung des Gartner Symposiums in Orlando einen faszinierenden, aber beängstigenden Vortrag über den aktuellen Stand der Internetkriminalität.
Im Gespräch mit einer Gruppe von CIOs und anderen IT-Führungskräften sagte der Autor der Krebs on Security-Website und des Buches Spam Nation, dass es eine große "PR-Lücke" zwischen der Wahrnehmung und der Realität von Cyberkriminalität gibt. "Das Licht am Ende des Tunnels ist kein Ausweg", sagte er. "Es ist ein entgegenkommender Zug."
Insbesondere sagte er, dass die bösen Jungs ihre Informationen besser ausgetauscht hätten als die CIOs. Selbst ältere Versionen von Berichten wie der Verizon Data Breach Investigations Report liefern häufig eine gute Erklärung für Systemverstöße und enthalten weiterhin relevante Informationen. Bei vielen der jüngsten Hacks hätte eine einfache Durchsicht der Sicherheitsprotokolle die Unternehmen darauf aufmerksam gemacht, dass sie ein Problem hatten.
Krebs verbrachte die meiste Zeit damit, über Angriffe auf Kreditkarteninformationen zu sprechen, wobei er sich hauptsächlich auf Malware konzentrierte, die auf POS-Systeme (Point-of-Sale) abzielte. Er sprach darüber, dass die bösen Jungs in den letzten zwei Jahren nicht nur ihre Angriffe auf solche Systeme verbessert haben, sondern auch die unterirdischen Märkte für den Kauf und Verkauf von Kreditkarteninformationen komplexer und "kundenfreundlicher" gemacht haben.
In vielen Fällen wenden sich Straßenbanden dem Kreditkartenbetrug zu, um eine Investition von 10 bis 20 US-Dollar schnell in 800 bis 1.000 US-Dollar zu verwandeln. Dies sei nicht nur gewinnbringend, sondern von Natur aus weniger gefährlich und riskant als der Umgang mit Drogen, und es werde häufig als "opferloses" Verbrechen angesehen, da die Kontoinhaber in der Regel nicht für die Gebühren haften.
Krebs bemerkte Probleme wie die Anzahl der POS-Systeme mit Webbrowsern und wie dies ein sehr häufiger Angriffsvektor ist. Er sagte, der Übergang zu Chip-and-Pin-Kreditkarten werde das Problem nicht lösen. In anderen Ländern habe dieser Übergang zu einer Zunahme von E-Commerce-Betrug, Betrug mit neuen Konten und Kontoübernahmen geführt.
Ein Großteil davon ist auf Identität und Datenschutz zurückzuführen, und er stellte fest, dass viele der sich nicht ändernden persönlichen Daten (wie Adressen und Sozialversicherungsnummern) jetzt verfügbar sind. Er sagte, dass Computersysteme sicher, schnell oder einfach zu bedienen sein können: Wählen Sie zwei. Die meisten Menschen haben beschlossen, sich nicht auf Sicherheit zu konzentrieren, sagte er. Infolgedessen gibt es im Internet viele Stellen, an denen persönliche Informationen über Personen abgerufen werden können, und er forderte die Regierung auf, strengere Datenschutzbestimmungen zu erlassen, wie sie in den meisten anderen Ländern gelten.
Am Ende nannte Krebs fünf Bereiche, in denen Unternehmen seiner Meinung nach die größten Fortschritte bei der Bekämpfung der Internetkriminalität erzielen könnten. Er ist ein großer Anhänger der Netzwerksegmentierung und sagt, die Sicherheit in den meisten Unternehmen sei wie ein Schokoriegel: "Außen hart und knusprig, innen weich und klebrig."
Stattdessen schlug er vor, die sensibelsten Teile Ihres Netzwerks nur für diejenigen innerhalb des Unternehmens zugänglich zu machen, die einen bestimmten Bedarf haben. Unternehmen sollten ein spezielles Team für die Reaktion auf Vorfälle einrichten, die Nachrichten über andere Sicherheitsverletzungen überprüfen, um festzustellen, welche Lehren sie ziehen können, und ihre Partner in die Sicherheitsplanung einbeziehen.
Es ist ein guter Rat, aber Dinge, die bei der täglichen Arbeit an neuen IT-Projekten häufig übersehen werden. Das Abwägen dieser Prioritäten ist ein zentrales Thema für viele der IT-Führungskräfte, mit denen ich auf der Konferenz gesprochen habe.
