Vídeo: Cycle de Krebs [[ Biochimie métabolique ]] (Setembre 2024)
El conegut investigador de seguretat Brian Krebs va pronunciar una fascinant però espantosa conversa sobre l’estat actual de la ciberdelinqüència, en una presentació ahir abans de l’obertura del Simposi Gartner a Orlando.
Parlant amb un grup de CIOs i altres executius informàtics, l’autor del lloc web Krebs on Security i del llibre Spam Nation va dir que hi ha un gran "buit de relacions públiques" entre la percepció i la realitat del cibercriminalitat. "La llum al final del túnel no és una sortida", va dir. "És un tren proper."
En particular, va dir que els dolents han fet un millor treball per compartir informació que els CIO; versions anteriors, fins i tot, d’informes com l’informe d’investigació de dades de Verizon, sovint fan un bon treball per explicar com es van incomplir els sistemes, amb informació que encara és rellevant. En molts dels recents hacks, va dir, una simple percepció dels registres de seguretat hauria alertat les empreses que tenien un problema.
Krebs va passar la major part del temps parlant d’atacs a la informació de la targeta de crèdit, principalment centrada en programari maliciós dirigit als sistemes POS (Point-of-Sale). Va parlar de com durant els últims dos anys, els dolents no només han millorat els seus atacs a aquests sistemes, sinó que han fet que els mercats subterranis comprin i venguin informació de targetes de crèdit més sofisticats i "fàcils de fer amb el client".
En molts casos, les colles de carrer s’estan convertint en un frau a la targeta de crèdit com una manera ràpida de convertir una inversió de 10 a 20 dòlars a 800 dòlars a 1.000 dòlars. Va dir que no només és rendible, sinó que és inherentment menys perillós i arriscat que el consum de drogues i, sovint, és considerat com un delicte "sense víctimes", ja que els titulars del compte normalment no són responsables dels càrrecs.
Krebs va assenyalar problemes com el nombre de sistemes de venda de sistemes electrònics amb navegadors web i com és un vector d'atac molt comú. Va dir que la transició a les targetes de crèdit xip i pin no consistirà en resoldre el problema, i va citar com en altres països, aquesta transició ha comportat un augment del frau de comerç electrònic, fraus de nous comptes i adquisicions de comptes.
Bona part d’això es refereix a la identitat i la privacitat i va assenyalar que ara hi ha molta informació personal que no es pot modificar (com ara adreces i números de Seguretat Social). Va dir que quan es tracta de sistemes informàtics, poden ser segurs, ràpids o fàcils d’utilitzar: escollir-ne dos. Va dir que la majoria de la gent ha decidit no centrar-se en la seguretat. Com a resultat, hi ha molts llocs al web per conèixer informació personal sobre les persones i va demanar al govern que adopti normes de privacitat més estrictes, com les que s’utilitzen a la majoria d’altres països.
Al final, Krebs va citar cinc àrees on pensava que les empreses podrien avançar al màxim en la lluita contra el ciberdelinqüència. Ell és un gran creient en la segmentació de la xarxa, dient que la seguretat a la majoria de les empreses és com una barra de caramels: "dura i cruixent per fora, suau i descabellat per dins".
En canvi, va suggerir que les parts més sensibles de la vostra xarxa només siguin accessibles a les persones que tinguessin una necessitat particular. Les empreses haurien de crear un equip dedicat de resposta a incidents, revisar les novetats d’altres incompliments per veure quines lliçons poden aprendre, fer exercicis repetits sobre què fer en cas d’incompliment i incloure els seus socis en la planificació de la seguretat.
És un bon consell, però les coses que sovint es passen per alt en el dia a dia empenyen a fer nous projectes en informàtica. Equilibrar aquestes prioritats és un tema clau per a molts dels executius informàtics amb els quals vaig parlar a la conferència.
