Vídeo: El cançoner del Mic: Iupi-ià (Setembre 2024)
Amb les seves gruixudes parets, voltes massives i detalls de seguretat a l’interior, un edifici de banc d’antiga forma és la imatge de solidesa. Els bancs i institucions financeres en línia no comparteixen aquest nivell de seguretat física. De fet, mitjançant connexions amb socis de tercers, els límits d'una institució així poden ser tènues. A la Conferència RSA de San Francisco, Lookingglass Cyber Solutions va publicar un estudi que revela una impactant manca de seguretat entre els venedors de tercers.
Aquest tipus de problemes han aparegut recentment. L'incompliment massiu de dades del Black Friday a Target, inicialment pensat com un "treball interior", va resultar tenir un origen de tercers. Concretament, l'atac es va produir a través del proveïdor de serveis d'HVAC de Target. El propietari de la companyia ho va descriure com "una operació sofisticada d'atac cibernètic", però les dades de Lookingglass suggereixen que la sofisticació no sempre és necessària.
100 per cent de risc
Per obtenir les dades d’aquest estudi, Lookingglass va fer un seguiment dels "processadors de pagaments, auditors i altres serveis financers de la cadena de subministrament de la indústria financera". L'estudi es va dur a terme durant un període de 35 dies el quart trimestre del 2013 i va trobar que el 100 per cent de les xarxes de tercers "mostraven signes de compromís o augment del risc".
Els investigadors de mirada de caça van detectar el trànsit botnet i el comportament maliciós de la xarxa en un 75% de les xarxes de tercers. Això és bastant impactant. Pitjor, el 25 per cent del total presentava signes d'infecció per part del troià bancari Zeus. I alguns d’aquests tercers confien en altres tercers, augmentant la possibilitat d’incompliment.
Massa portes
"Aquest estudi posa de manifest una debilitat de la que la indústria ha tingut molta vacil·lació en parlar en públic; el fet que tercers de confiança no han de ser i no es poden confiar veritablement", va dir Chris Coleman, director general de Lookingglass. "Les organitzacions globals… han de mirar més enllà dels seus propis perímetres defensius i considerar la supervisió de la seva presència pública a Internet per entendre millor la seva superfície d'atac".
L'edifici de la banca antiga té molt poques portes i totes les portes robustes disposen d'un sistema d'alarma i càmeres de seguretat. Per a una institució financera en línia, cada connexió de tercers és una porta que pot deixar que els ciberdelinqüents caiguessin. Peor, pot ser difícil fins i tot adonar-se que existeix aquest portal. Qui hauria pensat que els atacants de Target podrien entrar a través del contractista de l’HVAC? L’informe complet aprofundeix en més detall per a aquells que estiguin interessats.
La lliçó és clara. La vostra institució en línia només és tan segura com els seus proveïdors de tercers, de manera que voldreu atendre aquests proveïdors a fons. Truqueu per a una auditoria o utilitzeu un servei com Lookglass que verifiqui la seguretat de "tot l’ecosistema cibernètic empresarial d’un client, inclosa l’empresa estesa i altres xarxes fora del seu control". Els llocs web que estenguin correctament la seguretat fins al límit mateix de la seva esfera d’influència es quedaran asseguts mentre els seus competidors pateixin incompliments després d’incomplir-los.
