Als er met een aanval inkomsten worden gegenereerd, kunt u verwachten dat soortgelijke aanvallen zullen volgen:Enkele preventieve beveiligingsstappen

Tegenstanders evolueren voortdurend. Succes kweekt copy-cats. En beveiliging is veelzijdig. Dit zijn enkele van de belangrijkste lessen die Jeremy Cowan leert uit het gesprek met Ted Harrington, executive partner, Independent Security Evaluators .

IoT Now:waar ligt de grootste bedreiging voor de beveiliging van bedrijfsgegevens? Is het de bedreiging voor gegevens  in transit of in opgeslagen data-assets?

Ted Harrington: Dat hangt af van het dreigingsmodel voor een bepaalde onderneming. Dreigingsmodellering is een oefening waarmee een organisatie de activa identificeert die het probeert te beschermen, de tegenstanders waartegen het zich moet verdedigen en de verzameling aanvalsoppervlakken waartegen die tegenstanders campagnes zullen lanceren. De grootste bedreiging voor de ene organisatie is misschien niet dezelfde voor een andere organisatie; dreigingsmodellering helpt bij het beantwoorden van die vraag.

IoT Now:in één onderzoek heb ik begrepen dat ISE 21 sites met financiële, gezondheidszorg-, verzekerings- en nutsbedrijven heeft geïdentificeerd (70% van de geteste sites) die browsers niet verbieden inhoud in het cachegeheugen op schijf op te slaan. Dus na het bezoeken van deze sites wordt niet-versleutelde gevoelige inhoud achtergelaten op de machines van de eindgebruikers. Bewijst dit  t wat zijn goede procedures en training net zo belangrijk als up-to-date software? Hoe overtuig je digitale dienstverleners om prioriteit te geven aan training &proces?

TH: In de eerste plaats bewijst dit onderzoek dat alle soorten bedrijven effectief moeten begrijpen hoe aanvallers systemen kunnen doorbreken. Alleen door de aanvaller te begrijpen, kun je hopen je tegen hem te verdedigen. Wat deze studie aantoonde, is dat zelfs goedbedoelde ontwikkelingsinspanningen, waarbij wordt geprobeerd rekening te houden met beveiliging, altijd zullen falen als die inspanningen geen rekening houden met het doorbreken van een systeem. Er zijn verschillende strategieën die we gebruiken om bedrijven te overtuigen om effectievere beveiligingsbenaderingen na te streven. Deze omvatten:

Directieonderwijs . Wij zijn van mening dat een beter geïnformeerde leidinggevende betere beveiligingsbeslissingen zal nemen. Een bijproduct van al ons beveiligingsonderzoek omvat dus niet alleen de technische resultaten, maar vertaalt die resultaten ook op een manier die zinvol en bruikbaar is voor leidinggevenden.

Exploitatiedemonstratie . Er zijn veel natuurlijke vooroordelen die inherent zijn aan de menselijke natuur die ervoor zorgen dat mensen hun eigen capaciteiten overschatten en ofwel vijandige capaciteiten ofwel de waarschijnlijkheid van een compromis onderschatten. Door onderzoek te doen waardoor het ontastbare tastbaar wordt, helpen we dergelijke vooroordelen te ondermijnen, wat op zijn beurt hopelijk resulteert in zinvolle actie.

Empathie . Te vaak wordt aangenomen dat de veiligheidsgemeenschap op gespannen voet staat met degenen die dingen bouwen; een veelgehoord refrein onder ontwikkelaars is dat beveiliging "ons vertraagt", en onder professionals op het gebied van gebruikerservaring dat beveiliging "de dingen moeilijk maakt". Hoewel we het niet eens zijn met standpunten als deze, verwerpen we ze niet regelrecht; in plaats daarvan luisteren we altijd en begrijpen we wat onze klanten dwarszit. Door hun bedrijf het beste te begrijpen en ons in te leven in hun problemen, zijn we in staat om oplossingen te ontwikkelen die effectief zijn in de reële context waarin hun bedrijf opereert.

IoT nu: In januari werd gemeld dat hackers hun derde aanval hadden uitgevoerd op het Romantik Seehotel Jaegerwirt hotel in Oostenrijk, waarbij ze $ 1.600 in bitcoins eisten om de controle over de deursloten van het hotel terug te geven aan het management. Helaas, toen het hotel volgeboekt was, koos de hotelier ervoor om hieraan te voldoen en het losgeld te betalen. Welke lessen kunnen hieruit worden getrokken voor de horeca en andere sectoren?

TH: Hieruit kunnen verschillende lessen worden getrokken.

Tegenstanders evolueren voortdurend . Ransomware zelf is een relatief nieuwe variant op een oude aanvalstool, en het gebruik ervan om betaling af te dwingen door de gastervaring te ondermijnen, is echt een opmerkelijke innovatie. Door alleen te focussen op de verdedigingsparadigma's van gisteren, zullen bedrijven nooit in staat zijn zich te verdedigen tegen moderne aanvallers, laat staan ​​toekomstige aanvallers.

Succes kweekt copy-cats . Omdat deze aanvaller erin slaagde zijn inspanningen te gelde te maken, kan de horeca redelijkerwijs verwachten dat soortgelijke aanvallen zullen volgen. Aanvallers nemen vaak op resultaten gebaseerde beslissingen, net als iedereen; waar ze kansen zien die worden aangetoond door succes uit het verleden, zullen ze nastreven.

Beveiliging is een veelzijdigheid . Als het gaat om beveiliging, is de horeca grotendeels gericht op PCI-compliance en het beschermen van persoonlijk identificeerbare informatie (PII) over gasten. Deze zaak toonde echter een compromis aan van andere zeer waardevolle activa:merkreputatie, gastveiligheid en gastervaring. Overwegingen van PCI en PII alleen zijn onvoldoende om ook de merkreputatie, de veiligheid van gasten en de gastervaring te beschermen.

IoT Now:welke rol heeft ISE gespeeld bij het overwinnen van deze dreiging?

TH :Wij zijn al een aantal jaren zeer betrokken bij de horeca. Samen met mijn tegenhanger bij Hyatt Hotels , hebben we de Door Lock Security Working Group voor de brancheorganisatie Hospitality Technology Next Generation gelanceerd en medevoorzitter van de werkgroep.

Als resultaat van die inspanning van meer dan twee jaar hebben we verschillende waardevolle resultaten voor de industrie gecreëerd, waaronder een geabstraheerd dreigingsmodel voor deurvergrendelingssystemen en een reeks best practices voor ontwikkeling voor opkomende sluitsystemen zoals RFID, online sluitsystemen en mobiele sleutel.

Ik heb onlangs een leiderschapsrol vervuld samen met Interel , een toonaangevende innovator van verbonden apparaten voor hoteliers, om medevoorzitter te zijn van de IoT-werkgroep voor dezelfde brancheorganisatie. De groep is momenteel aan de gang en we begeleiden deze om de industrie te helpen nadenken over het gebruik van verbonden apparaten en ervoor te zorgen dat ze op een veilige manier worden ontwikkeld en ingezet.

IoT Now:Besteden zorgaanbieders in de VS voldoende aandacht aan de bescherming van patiëntgegevens? Of zijn ze meer gericht op het voldoen aan de HIPAA-vereisten (Health Insurance Portability &Accountability Act (VS, 1997)?

TH :Deze zijn in wezen hetzelfde, aangezien HIPAA de gezondheidszorg dwingt zich te concentreren op patiëntgegevens. Het echte probleem bij de beveiliging van de gezondheidszorg is wat ze niet zijn  gericht op:het beschermen van de gezondheid van de patiënt. We hebben onlangs een groot stuk onderzoek gepubliceerd, geproduceerd in de loop van 2 jaar en in samenwerking met 12 ziekenhuizen en veel van hun ondersteunende medische apparaten en andere technologieën.

In dit onderzoek is onderzocht hoe hackers letsel of overlijden van patiënten kunnen veroorzaken in een zorgomgeving. We hebben bewezen dat het niet alleen heel goed mogelijk is, we bewezen dat het in veel gevallen gemakkelijk zou zijn. In wezen zijn inspanningen om alleen patiëntgegevens te beschermen onvoldoende om ook de gezondheid van patiënten te beschermen. Met het risico dat het lijkt alsof het voor de hand liggend is, zou dit op dit moment het belangrijkste beveiligingsprobleem kunnen zijn.

IoT Now:wat zijn de drie belangrijkste acties die IoT-serviceproviders nu moeten ondernemen om  ervoor zorgen dat de gegevens en identiteiten van hun klanten veilig zijn?

TH : Bouw beveiliging in. Vanaf het moment dat u de vereisten verzamelt, tot ver na de implementatie, moet beveiliging in elke fase van het ontwikkelingsproces als een topprioriteit worden beschouwd. Dit leidt uiteraard tot een effectievere beveiliging, maar verrassend genoeg leidt het ook tot minder dure en minder resource-intensieve beveiliging.

• Bedrijf beveiligingsbeoordelingen van externe experts . Of u uw systemen nu wel of niet onderzoekt op zwakte, uw tegenstander zal dat doen.
• Adopteer de vijandige denkwijze . Als u nadenkt over uw beveiligingsbeoordelingen, neem dan geen genoegen met standaardbenaderingen zoals geautomatiseerd scannen, blackbox-pentesten of compliance-als-beveiliging. De aanvallers gaan veel verder dan deze basisstappen, en jij ook.

Ted Harrington, executive partner van de in Baltimore gevestigde Independent Security Evaluators, werd geïnterviewd door hoofdredacteur Jeremy Cowan.