Если атака успешно монетизирована, ожидайте, что последуют аналогичные атаки:Некоторые превентивные меры безопасности

Тед Харрингтон из независимых экспертов по оценке безопасности

Противники постоянно развиваются. Успех порождает подражателей. А безопасность многогранна. Это некоторые из ключевых уроков, которые Джереми Коуэн извлекает из разговора с Тедом Харрингтоном, исполнительным партнером независимых экспертов по оценке безопасности . .

Интернет вещей сейчас:в чем заключается самая большая угроза безопасности корпоративных данных? Это угроза данным? в пути или в сохраненных данных?

Тед Харрингтон: Это зависит от модели угроз для данного предприятия. Моделирование угроз - это упражнение, с помощью которого организация идентифицирует активы, которые она пытается защитить, противников, от которых она должна защищаться, и набор поверхностей атаки, против которых эти противники будут запускать кампании. Самая большая угроза для одной организации может отличаться для другой организации; моделирование угроз помогает ответить на этот вопрос.

IoT Now:я понимаю, что в одном исследовании ISE выявила 21 сайт с учетными записями финансовых, медицинских, страховых и коммунальных служб (70% протестированных сайтов), которые не могут запретить браузерам сохранять кэшированный контент на диск. Таким образом, после посещения этих сайтов незашифрованный конфиденциальный контент остается на машинах конечных пользователей. Доказывает ли это? t Что хорошие процедуры и обучение так же важны, как и новейшее программное обеспечение? Как вы убедите поставщиков цифровых услуг сделать обучение и процесс обучения приоритетными?

TH: В первую очередь это исследование доказывает, что компаниям любого типа необходимо эффективно понимать, как злоумышленники взламывают системы. Только поняв нападающего, вы сможете защититься от него. Это исследование показало, что даже благие намерения разработчиков, пытающихся принять во внимание безопасность, всегда терпят неудачу, если эти усилия не учитывают, как взломать систему. Есть несколько стратегий, которые мы используем, чтобы попытаться убедить компании применять более эффективные подходы к обеспечению безопасности. К ним относятся:

Исполнительное образование . Мы уверены, что более информированный руководитель будет принимать более правильные решения в области безопасности. Таким образом, побочный продукт всех наших исследований в области безопасности влечет за собой не только технические результаты, но и переводит эти результаты таким образом, чтобы они были значимыми и полезными для руководителей.

Демонстрация эксплойтов . Человеческой природе свойственно множество естественных предубеждений, из-за которых люди переоценивают свои собственные возможности и недооценивают либо возможности соперничества, либо вероятность компромисса. Проводя исследования, которые делают нематериальные вещи ощутимыми, мы помогаем преодолеть такие предубеждения, которые, как мы надеемся, приводят к осмысленным действиям.

Сочувствие . Слишком часто считается, что сообщество специалистов по безопасности не в ладах с теми, кто что-то строит; распространенный рефрен среди разработчиков заключается в том, что безопасность «нас тормозит», а среди профессионалов в области пользовательского опыта - что безопасность «усложняет работу». Хотя мы не согласны с такими позициями, мы не отказываемся от них прямо; вместо этого мы всегда стараемся слушать и понимать, что беспокоит наших клиентов. Лучше понимая их бизнес и сопереживая их проблемам, мы можем разработать меры по смягчению последствий, которые будут эффективны в реальных условиях, в которых работает их бизнес.

Интернет вещей сейчас В январе сообщалось, что хакеры осуществили третью атаку на отель Romantik Seehotel Jaegerwirt в Австрии, потребовав 1600 долларов в биткойнах, чтобы вернуть контроль над дверными замками отеля руководству. К сожалению, когда отель был полностью забронирован, владелец отеля решил согласиться и заплатить выкуп. Какие уроки можно извлечь из этого для индустрии гостеприимства и других секторов?

TH: Из этого можно извлечь несколько уроков.

Противники постоянно развиваются . Само по себе программа-вымогатель представляет собой относительно новый вариант старого инструмента атаки, и его использование для принуждения к оплате путем подрыва гостевой системы является поистине замечательным нововведением. Сосредоточив внимание только на вчерашних парадигмах защиты, компании никогда не смогут защитить себя от современных злоумышленников, не говоря уже о будущих злоумышленниках.

Успех порождает подражателей . Поскольку этому злоумышленнику удалось монетизировать свои усилия, в индустрии гостеприимства можно разумно ожидать, что последуют аналогичные атаки. Злоумышленники часто принимают решения, основанные на результатах, как и все остальные; там, где они видят возможности, продемонстрированные прошлым успехом, они будут продолжать.

Безопасность многогранна . Когда дело доходит до безопасности, индустрия гостеприимства в значительной степени сосредоточена на соблюдении требований PCI и защите личной информации (PII) о гостях. Однако этот случай продемонстрировал компромисс других очень ценных активов - репутации бренда, безопасности гостей и их впечатлений. Одних только требований PCI и PII недостаточно для защиты репутации бренда, безопасности и удобства гостей.

Интернет вещей сейчас:какую роль ISE сыграла в преодолении этой угрозы?

TH :Мы активно работаем в сфере гостеприимства уже несколько лет. Вместе с моим коллегой из Hyatt Hotels , мы создали и возглавили рабочую группу по безопасности дверных замков отраслевой торговой ассоциации Hospitality Technology Next Generation.

В результате этих более чем двухлетних усилий мы создали несколько ценных результатов для отрасли, в том числе абстрактную модель угроз для систем запирания дверей и набор передовых методов разработки для новых систем запирания, таких как RFID, онлайн-системы запирания и мобильные устройства. ключ.

Я совсем недавно взял на себя руководящую роль вместе с Интерел , ведущий разработчик подключенных устройств для отельеров, сопредседателем Рабочей группы IoT в той же торговой ассоциации. Группа в настоящее время работает, и мы направляем ее, чтобы помочь отрасли продумать, как внедрить подключенные устройства, и обеспечить их безопасную разработку и развертывание.

Интернет вещей сейчас:уделяют ли поставщики медицинских услуг в США достаточно внимания защите данных о пациентах? Или они больше ориентированы на соблюдение требований HIPAA (Закон о переносимости и подотчетности медицинского страхования (США, 1997)?

TH :По сути, это то же самое, поскольку HIPAA заставляет здравоохранение сосредоточиться на данных о пациентах. Настоящая проблема безопасности здравоохранения заключается в том, чем они не являются уделяя особое внимание:защите здоровья пациентов. Недавно мы опубликовали большое исследование, проведенное в течение двух лет в партнерстве с 12 больницами и многими из поддерживающих их медицинских устройств и других технологий.

В этом исследовании изучалось, как хакеры могут причинить вред пациенту или привести к летальному исходу в медицинских учреждениях. Мы доказали, что это не только очень возможно, мы доказали, что во многих случаях это будет легко сделать. По сути, усилий по защите только данных о пациентах недостаточно для защиты здоровья пациентов. Рискуя преувеличить очевидное, это может быть самой серьезной проблемой безопасности на данный момент.

Интернет вещей сейчас:какие три основных действия следует предпринять поставщикам услуг Интернета вещей? обеспечить безопасность данных и личности своих клиентов?

TH :Обеспечьте безопасность. С момента, когда вы собираете требования, и до значительного периода после развертывания, на каждом этапе процесса разработки безопасность должна рассматриваться как главный приоритет. Это, очевидно, ведет к более эффективной безопасности, но, что более удивительно, это также приводит к менее дорогостоящей и менее ресурсоемкой безопасности.

• Привлечение сторонних экспертов к оценке безопасности . Независимо от того, исследуете ли вы свои системы на предмет слабости, противник это сделает.
• Примите враждебный образ мышления . Когда вы думаете об оценке безопасности, не соглашайтесь на стандартные подходы, такие как автоматическое сканирование, тестирование черным ящиком или соответствие требованиям безопасности. Злоумышленники выходят далеко за рамки этих основных шагов, и вы тоже должны.

Тед Харрингтон, исполнительный партнер организации Independent Security Evaluators из Балтимора, взял интервью у редакционного директора Джереми Коуэна.