Tartalomjegyzék:
- Mit csinál a CISO?
- A táj a biztonsági szakemberek számára
- Egyéb költségvetés és biztonság a kkv-k számára
A kibertámadások riasztó ütemben célozzák meg a vállalkozásokat. A 2013. decemberi Targetben és a 2014. januárjában Neiman Marcusban elkövetett súlyos jogsértések nagy figyelmet fordítottak a nagykereskedelmi üzletek biztonsági infrastruktúrájának hiányosságaira. Ennek eredményeként egyre több vállalkozás, mind a nagy, mind a kicsi, úgy érzi, hogy fokozni kell erőfeszítéseit, és egy külön biztonsági csapattal kell rendelkeznie.
A Reuters által 2014 májusában kiadott jelentés szerint számos nagyvállalat, mint például a Pepsi és a JPMorgan Chase & Co., új információbiztonsági főtisztviselők (CISO-k) vadászatára törekszik, hogy támogassa a biztonsági gyakorlatokat. Ez tükrözi a biztonság és annak fontosságának nagyobb tudatosságát az üzletvezetők szintjén.
A CISO-k és a legfontosabb kiberbiztonsági tisztviselők bele vannak merülve technológiájuk biztonságába, mind a munkáltatók, mind az ügyfelek számára, de szerepük és felelősségük egyre hangsúlyosabbá és kötelezővé válik a lakosság számára, nem csak a biztonsági közösség körében.
"Öt évvel ezelőtt az információbiztonság alig feltörte a táblák 10 legfontosabb aggodalmát. Egy évvel ezelőtt a 2. számú volt. Érdekes, hogy ma már az adatbiztonság és nem csupán az információbiztonság" - mondja David Boehmer, a Heidrick munkaerő-felvételi cég regionális ügyvezető partnere. Harcol a YouTube által készített videóban.)
Mit csinál a CISO?
A CISO szerepe igen széles lehet, és gyakran sokféle kalapot viselnek. A munka mindent magában foglal, a belső biztonságtól kezdve, mint például a szellemi tulajdon védelme, az ügyfelek biztonságáért való felelősségvállalás.
"A termékcsapatunkkal és a mérnöki csapatunkkal együtt dolgozom annak érdekében, hogy a termékben olyan funkciókat valósítsunk meg, amelyek érdeklődhetnek a biztonsági vásárlók számára" - mondja Joan Pepin, a Sumo Logic CISO-ja.
Noha a tavalyi Target-megsértés sok emberről beszélt, Pepin elmagyarázza, hogy ő nem volt annyira meglepve - és a biztonsági közösség egyikének sem. Ez nem azt jelenti, hogy a biztonsági közösségnek még nem voltak a "vízparti pillanatok", ahol mindenkinek meg kellett erősítenie munkáját, hogy előre mozduljon.
Az RSA 2011-ben történt megsértése, amelyben a hackerek megsértették az információbiztonsági társaság szervereit, és ellopták az érzékeny kormányzati és vállalati adatokhoz hozzáférést lehetővé tevő hitelesítő tokeneket, sok biztonsági szakember jelent meg. Hogyan lehet egy biztonsági társaság ilyen hackerek áldozatává válni? Csak két évvel később ez az aggodalom egy olyan cél felé tolódott el, amelyet korábban a radar alatt repültek: lakossági ügyfelek. Az olyan támadások, mint amilyeneket a Targetnél és Neiman Marcusnál láttak, a mindennapi ügyfelek figyelmét a biztonságra helyezték.
"Nyilvánvaló, hogy ha egy hatalmas kiskereskedelmi művelettel foglalkoztat több ezer és több ezer alkalmazottat, akkor az összes ilyen webhely, értékesítési hely gépe, ez a legszegényebb rendszer, és az a tény, hogy az ilyen típusú támadások nem történt meg ha a skála típusa hamarosan, valójában kissé meglepő ”- mondta Pepin.
A probléma abból fakad, hogy a biztonságot egyszerűen egy jelölőnégyzetnek tekintik, amelyet a vállalatok jelölnek és hagynak el, mint inkább folyamatosan ellenőrzött üzleti szempontból. Ez nem azt jelenti, hogy a számítógépes bűnözők lazaak és csak be tudnak járni. Valójában a számítógépes bűnözők egyre képzettebbé válnak.
"meglehetősen kifinomult szabálysértés volt, amely képes megszemélyesíteni a BMC-ügynököt és az ilyen típusú lopakodó dolgokat. Az oldalirányú mozgásokban való részvétel a Target hálózatban elég okos volt" - mondta Pepin.
"Nem akarom ettől elvonulni, de a cél nehézsége szempontjából, mivel nincs szándék, soha nem hoznék semmilyen kiskereskedelmi láncot a kemény célok listájára. A biztonsági társaságok kemény célok, a kormány kemény célpontok. Néhány kiskereskedelmi lánc, amelynek üzlete zokni eladása, nem gondolnám, hogy szuper biztonságos üzlet lesz. "
A táj a biztonsági szakemberek számára
2014 júniusában a Target felvette első CISO-ját, Brad Maiorino-t, a General Motors volt ügyvezetõjét, aki felügyeli a vállalat biztonsági gyakorlatainak átdolgozását.
A vállalkozásoknak, függetlenül a szakterülettől vagy méretüktől, figyelembe kell venniük és tovább kell fejleszteniük biztonsági játékukat az egyre növekvő veszélyekre reagálva, nagyobb tudatossággal és nagyobb jogosultsággal a lehetséges jogsértések kezelésére.
"Egyértelmű volt … a Target esetében olyan riasztásokat generáltak, amelyekre senki sem válaszolt, és hogy tapasztalataim szerint a kezelt biztonságból származó rendkívül tipikus" - mondta Pepin.
"A világ legjobb betolakodás-felderítő rendszere továbbra is nagyon magas hamis pozitív rátával rendelkezik, és így a biztonsági reagálókat rendszerükben alapvetően kiképzik a rendszer figyelmen kívül hagyására. Van egy technológiai emberi interakciós rés, ahol az első válaszadók zsibbadnak az ezrek figyelmeztet arra, hogy szemetet kapnak. A Target esetében olyan jelek voltak, amelyeket nem követtek nyomon, amelyek sokkal hamarabb minimalizálhatták volna a hatást. "
Mint gyakran fordul elő, a biztonsági szakember nem tud azonnal cselekedni egy kérdésben, mert engedélyükre vagy jóváhagyásra van szükségük a hierarchiában magasabb szintű valaki felett. Ezt meg kell változtatni - mondta Pepin, és elmagyarázza, hogy a vállalat biztonsági csapatának nagyobb önállósággal és felhatalmazással kell rendelkeznie a kezdeményezés meghozatalához.
"Úgy érzem, hogy továbbra is kormányzati kérdés abban az esetben, amikor az információbiztonsági vezetőket nem szabad beszámolni a CIO-knak" - mondja Tom Kellermann, a Trend Micro kiberbiztonsági vezetője. "Jelentést kell tenniük a kockázatért felelős vezetőnek vagy közvetlenül az ügyvezető igazgatónak." Ez kiküszöböli a közvetítőket és biztosítja a gyorsabb reagálási időt a lehetséges vészhelyzetekre.
Pepin egyetért azzal, hogy a biztonsági szakembereknek "a tetejére jelentést kell tenniük" a vállalatukban. "Nagyon szerencsés vagyok, hogy beszámolok a vezérigazgatónknak. Ez nagyon jól működik, és ezt tényleg ajánlom minden olyan szervezet számára, amely komolyan veszi a biztonságát."
Egyéb költségvetés és biztonság a kkv-k számára
A CISO felvétele és a biztonsági csapat bővítése rendben és jó, ha van költségvetése, de mi lenne a kisebb cégekkel? Míg a kis lánc vagy a helyi hardverüzlet támadása nem fogja ugyanolyan előnyöket elérni a hackerek számára, mint a célpont vagy a Neiman Marcus becsapása, még mindig nem bölcs dolog sebezhetővé tenni magát. Tehát mit tehetsz a támadás kockázatának csökkentése érdekében? A Pepin határozottan ajánlja, hogy bérezzenek egy baleset-elhárító vállalkozó vagy tanácsadó szolgáltatásait.
"Abban az esetben, ha támadnak, van valaki, akire felhívhat, ezért nem kell megnyitnia a Google-t, és el kell kezdenie keresni" - mondta.
Ez egy kisebb társaság számára gazdasági szempontból értelmesebb lesz - magyarázza -, mivel az üzleti vállalkozás csak akkor használja a szolgáltatásokat, amikor szükség van rájuk. Ezek a szolgáltatások rendkívül specializálódtak abban, hogy felvegyék azokat a helyeket, ahol a személyzet elhagyta.
"Van fantasztikus csapata a kipróbáláshoz, megértheti, hogy támadás alatt áll, de nem pontosan ugyanaz a készség, mint ahhoz, hogy reagáljon erre a támadásra, hogy kiszorítsa őket a hálózatából, és a bizonyítékokat oly módon gyűjtse, hogy bíróságon kell felhasználni. "
A vállalatoknak sok erőforrása van a számítógépes bűnözés leküzdésére. A közelmúlt története szerint egy újabb nagy támadás van a sarkon.