前向きの考え方 クレブス:ほとんどの企業は単純なサイバーセキュリティ対策を講じていません

クレブス:ほとんどの企業は単純なサイバーセキュリティ対策を講じていません

ビデオ: Koe No Katachi ❤ RISE「AMV」 (十一月 2024)

ビデオ: Koe No Katachi ❤ RISE「AMV」 (十一月 2024)
Anonim

有名なセキュリティ研究者のブライアンクレブスは、オーランドでガートナーシンポジウムが開催される前のプレゼンテーションで、サイバー犯罪の現状について魅力的で恐ろしい話をしました。

Crebs on Securityウェブサイトの著者である Spam Nation の著者は、CIOや他のITエグゼクティブのグループと話をして、サイバー犯罪の認識と現実の間に大きな「PRギャップ」があると述べました。 「トンネルの終わりの光は抜け道ではない」と彼は言った。 「対向車です。」

特に、彼は悪者たちがCIOよりも情報を共有するのに良い仕事をしたと言いました。 Verizon Data Breach Investigations Reportのような古いバージョンのレポートでさえ、多くの場合、システムがどのように侵害されたかを適切な情報で説明できます。 彼は、最近のハッキングの多くで、セキュリティログの単純な閲覧が問題を抱えていることを企業に警告していたと彼は言いました。

クレブスはほとんどの時間をクレジットカード情報への攻撃について話し、主にPOS(Point-of-Sale)システムを狙ったマルウェアに焦点を当てました。 彼は、過去2年間で、悪者がそのようなシステムへの攻撃を改善しただけでなく、クレジットカード情報を売買する地下市場をより洗練された「顧客に優しい」ものにしたことについて話しました。

多くの場合、ストリートギャングは、10ドルから20ドルの投資を800ドルから1, 000ドルにすばやく変換する方法として、クレジットカード詐欺に目を向けています。 彼は、この収益性があるだけでなく、麻薬を扱うよりも本質的に危険性とリスクが低く、アカウント所有者が通常は請求の責任を負わないため、「犠牲者のない」犯罪と見なされることが多いと彼は言いました。

Krebsは、Webブラウザを搭載したPOSシステムの数などの問題と、これが攻撃の非常に一般的なベクトルであることを指摘しました。 彼は、チップアンドピンクレジットカードへの移行は問題を解決することではなく、他の国ではどのようにその移行が電子商取引詐欺、新しいアカウント詐欺、およびアカウント乗っ取りの増加につながったと述べた。

これの多くはアイデンティティとプライバシーに帰着し、彼は多くの人々の不変の個人情報(住所や社会保障番号など)が利用できるようになったことを指摘しました。 彼は、コンピューターシステムに関しては、安全、高速、または使いやすいという2つの選択肢があると述べました。 ほとんどの人はセキュリティに焦点を合わせないことを選んだ、と彼は言った。 その結果、Webには人々の個人情報を見つける場所がたくさんあり、彼は政府に、他のほとんどの国で使用されているような、より厳しいプライバシールールを採用するよう求めました。

最後に、クレブスは、企業がサイバー犯罪との戦いで最も進歩できると考えた5つの分野を挙げました。 彼はネットワークのセグメンテーションを大いに信じており、ほとんどの企業のセキュリティはキャンディーバーのようなものだと言っています。

代わりに、彼は、ネットワークの最も機密性の高い部分に、特定のニーズを持つ組織内の人々だけがアクセスできるようにすることを提案しました。 企業は、専用のインシデント対応チームを設置し、他の違反のニュースを確認して、学習できる教訓を確認し、違反が発生した場合の対処方法について繰り返しドリルを行い、パートナーをセキュリティ計画に含める必要があります。

それは良いアドバイスですが、ITで新しいプロジェクトを行うための日々のプッシュで見落とされることが多いものです。 これらの優先順位のバランスを取ることは、会議で話をした多くのITエグゼクティブにとって重要な問題です。

クレブス:ほとんどの企業は単純なサイバーセキュリティ対策を講じていません