Was verursacht Unternehmensdatenverletzungen? Die schreckliche Komplexität und Fragilität unserer IT-Systeme

Bankräuber Willie Sutton, wenn gefragt, warum er Banken beraubt, antwortete: “Das ist, wo das Geld ist.” Es ist das gleiche mit Verletzungen. Große Datenbanken sind die Ziele von Menschen, die Daten wollen. Es ist so einfach.

Erste Schritte: Privacy Engineering, der Staat des Identity Managements im Jahr 2015, warum Cloud-Geographie in einer Nachschnee / NSA-Ära wichtig ist

Wir müssen verstehen, dass es verschiedene Arten von Verstößen und entsprechende Ursachen gibt. Die meisten hochkarätigen Verstöße sind offensichtlich durch Finanzkriminalität getrieben, wo Angreifer in der Regel Kreditkarten-Details zu packen. Verletzungen sind, was die meisten gestohlenen Karten Verbrechen. Organisierte Verbrechen Banden nicht Pilfer-Karte Zahlen ein zu einer Zeit von Menschen Computer oder unsicheren Websites. (Und die Standard-Beratung für die Verbraucher, ihre Passwörter zu ändern jeden Monat und um sicherzustellen, dass sie ein Browser-Vorhängeschloss sehen ist schön, aber glaube nicht, dass es alles tun, um Massenkartenbetrug zu stoppen.)

Security-Forscher sagen, die Schwachstelle betrifft “Millionen” von Maschinen in Rechenzentren auf der ganzen Welt.

Anstatt die Sicherheit des Endbenutzers zu tadeln, müssen wir wirklich die Hitze auf Enterprise IT aufdrehen. Die persönlichen Daten, die von großen Handelsorganisationen (einschließlich sogar banale Operationen wie Parkplatzketten) gehalten werden, sind jetzt wert viele Hunderte von Millionen Dollar. Wenn diese Art von Wert in Form von Bargeld oder Gold war, würden Sie sehen, Fort Knox-Stil Sicherheit um ihn herum. Buchstäblich. Aber wie viel Geld investiert selbst das größte Unternehmen in Sicherheit? Und was bekommen sie für ihr Geld?

Die grimmige Realität ist, dass keine Menge der herkömmlichen IT-Sicherheit heute gegen Angriffe auf Vermögenswerte in Milliardenhöhe schützen kann. Die einfache Ökonomie ist gegen uns. Es ist wirklich mehr eine Frage des Glücks als gute Planung, dass einige große Organisationen noch verletzt werden müssen. (Und das ist nur so weit, wie wir wissen.)

Organisiertes Verbrechen ist wirklich organisiert. Wenn es Karte Details sie wollen, gehen sie nach den großen Datenspeichern, an Zahlungen Prozessoren und großen Einzelhändlern. Die Raffinesse dieser Angriffe ist auch für Sicherheitsprofis erstaunlich. Der Angriff auf Targets Point-of-Sale-Terminals war zum Beispiel in der Kategorie “kann nicht passieren”.

Die anderen Arten der kriminellen Verletzung schließen Unfug ein, als wenn die iCloud Fotos der Berühmtheiten letztes Jahr durchgesickert wurden, hacktivism und politische oder cyber terroristische Angriffe, wie die auf Sony.

Es gibt einige Beweise, dass Identitätsdiebe jetzt auf Gesundheitsdaten anwenden, um komplexere Formen des Verbrechens zu begehen. Anstatt zu stehlen und Wiederholen von Kartennummern können Identitätsdiebe tiefere, breitere Aufzeichnungen wie Patientenakten verwenden, um Betrug entweder gegen Gesundheitssystemzahler zu begehen oder offene Scheinkonten zu machen und sie in komplexe Betrügereien aufzubauen. Der jüngste Bruch der Hymne umfasste umfangreiche persönliche Aufzeichnungen über 80 Millionen Einzelpersonen, wir haben noch zu sehen, wie diese Details in der Identität schwarzen Märkten Oberfläche werden.

Die ständige Verfügbarkeit von gestohlenen personenbezogenen Daten ist ein Faktor, der für die Identität und das Zugangsmanagement (IDAM) innovativ ist, siehe “Der Staat des Identitätsmanagements im Jahr 2015”. IDAM der nächsten Generation wird schließlich gestohlene Daten weniger wertvoll, aber in absehbarer Zeit, alle Unternehmen mit großen Kundendatenbanken werden wir weiterhin vorrangige Ziele für Identitätsdiebe.

Jetzt wollen wir nicht vergessen, einfache Unfälle. Die australische Regierung zum Beispiel hat einige Clangers gehabt, obwohl diese zu jeder großen Organisation geschehen können. Vor ein paar Monaten ein Mitarbeiter eine Datei versehentlich eine E-Mail, Pass-Details der G20-Führer. Vorher sahen wir eine Kalkulationstabelle, die persönliche Details von Tausenden von Asylsuchenden enthält, die versehentlich in eine HTML-HTML-Website der Regierung eingefügt wurden.

Eine Lehre, die ich hier herausbringen möchte, ist die schreckliche Komplexität und Fragilität unserer IT-Systeme. Es braucht nicht viel für menschliches Versagen, um katastrophale Ergebnisse zu haben. Wer unter uns hat nicht versehentlich “Reply All” getroffen oder die falsche Datei angehängt? Wenn Sie eine ehrliche Threat & Risk Assessment (wie man sollte) auf diese Arten von Office-Systemen, müssten Sie schließen, sie sind nicht sicher zu behandeln, sensible Daten noch von den meisten Menschen betrieben werden. Und doch können wir es uns einfach nicht leisten, die Systeme nicht zu benutzen. Wir haben ein Monster erschaffen.

Wieder kriminelle Elemente wissen das. Der Experte Kryptograph Bruce Schneier sagte einmal etwas wie “Amateurs hack Computer, Experten hack Menschen”. Zutrittskontrolle auf heutigen weitläufigen komplexen Computersystemen ist in der Regel schlecht, so dass der Weg offen für innere Arbeitsplätze. Schauen Sie sich die Chelsea-Manning-Fall, einer der schlimmsten Brüche aller Zeiten, ermöglicht durch die Gewährung zu hohen Zugang Privilegien zu viele Mitarbeiter.

Außerhalb der Regierung, ist die Zutrittskontrolle schlechter, und so ist Zugriffsprotokollierung – so Systemadministratoren oft nicht sagen können, es ist sogar ein Bruch, bis umständliche Beweise entstehen. Ich bin sicher, die Mehrheit der Brüche sind ohne jedermann zu wissen. Es ist unvermeidlich.

Die Zentralbank Überwachung und Überwachung der Eurozone erlitt eine Sicherheitsverletzung, Wikimedia Commons, Blick auf Hotels. Es gibt gelegentliche Berichte von Hotel IT-Brüche, aber sie sind sicher passiert kontinuierlich. Die Gäste-Informationen in den Hotels stattfinden ist atemberaubend – Zahlungskarte Details, Nummernschilder, Reiserouten einschließlich Airline Flug Details, auch Pass-Nummern werden von einigen Orten gehalten. Und in diesen Tagen, mit globalen Hotelketten, sind die Buchungen für eine Gauner Mitarbeiter von jedem Ort der Welt, 24-7.

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter

Bitte, niemand reden mit mir über PCI-DSS! Die Zahlungskartenindustrie Datensicherheitsstandards für den Schutz von Karteninhabendetails haben nicht viel Wirkung gezeigt. Einige der größten Verstöße aller Zeiten haben Top-Tier-Händler und Zahlungen Prozessoren, die PCI-konform zu sein scheinen betroffen. Doch die Rechtsanwälte für die Zahlungsinstitute werden immer argumentieren, dass ein solches und ein solches Unternehmen nicht “wirklich” konform war. Und die PCI-Auditoren gehen immer weg von jeglicher Haftung für das, was zwischen den Audits geschieht. Sie können ihre Position verstehen, sie wollen nicht für falsche Taten oder Fehler begangen werden, die hinter ihrem Rücken begangen werden.

Da große Daten, die IoT und Social Media ihre Flügel ausbreiten, bringen sie neue Herausforderungen für die Informationssicherheit und die Privatsphäre der Nutzer.

Allerdings sind Karteninhaber und Händler in der Mitte gefangen. Wenn ein großes Kaufhaus seine PCI-Audits verabschiedet, können wir sicher erwarten, dass sie recht lange in Ordnung sind? Nein, es stellt sich heraus, dass ein IT-Experte am Tag nach erfolgreichem Audit eine Firewall falsch konfigurieren oder einen Patch vergessen kann, all diese Verteidigungen werden nutzlos und das Audit wird sinnlos.

Das verstärkt meinen Standpunkt über die Fragilität der IT. Es ist unmöglich, dauerhafte Sicherheitsversprechen mehr zu machen.

In jedem Fall ist PCI wirklich nur ein Satz von Datenverarbeitung und Versprechen. Sie verbessern die IT-Sicherheitshygiene und schützen Amateurangriffe. Aber sie sind nutzlos gegen organisiertes Verbrechen oder innerhalb Arbeitsplätze.

Es gibt ein zunehmend gutes Argument, das Datenmanagement auszulagern. Anstatt zu halten, spröde Datenbanken angesichts so viel Risiko, anstatt sich auf große seriöse Cloud-Services, wo die Anbieter haben die Skala, Ressourcen und Liebe zum Detail, um Daten in ihrem Gewahrsam zu schützen. Constellation hat zuvor untersucht, worauf es bei der Auswahl von Cloud-Diensten aus geographischer Sicht ankommt (vgl. “Warum Cloud Geography in einem Nachschnee / NSA-Zeitalter”), in der nächsten Untersuchung werden wir eine breitere Palette vertragsbezogener KPIs untersuchen Mache die richtige Entscheidung.

Wenn Sie mich fragen, was zu tun ist, würde ich sagen, die kurz-bis mittelfristige Lösung ist, mit der Kraft zu bekommen, und suchen Sie nach Managed Security Services von spezialisierten Anbietern. Auf längere Sicht werden wir die Re-Engineering unserer Netzwerke und Plattformen durch die Breitenwurzeln sehen, sie gegen Durchdringung und Identitätsdiebstahl verhärten.

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer

Erfahren Sie mehr