İçindekiler:
İşletmeler siber saldırılar tarafından endişe verici bir oranda hedefleniyor. Aralık 2013'te Target'daki büyük ihlaller ve 2014 yılının Ocak ayında Neiman Marcus, birçok perakende satış mağazasının güvenlik altyapısındaki yetersizliklere büyük önem verdi. Sonuç olarak, hem büyük hem de küçük, gittikçe daha fazla şirket, çabalarını artırma ve özel bir güvenlik ekibine sahip olma ihtiyacı hissediyor.
Reuters tarafından Mayıs 2014'te yayınlanan bir rapora göre, Pepsi ve JPMorgan Chase & Co. gibi bir dizi büyük şirket, güvenlik uygulamalarını desteklemek amacıyla yeni baş bilgi güvenliği görevlileri (CISO'lar) peşinde. Bunun yansıttığı şey, güvenlik ve işletmenin yönetici düzeyinde önemi konusunda daha büyük bir farkındalıktır.
CISO'lar ve baş siber güvenlik görevlileri, hem işveren hem de müşteri için teknolojilerinin güvenliğine daldırılır, ancak rolleri ve sorumlulukları sadece güvenlik topluluğu arasında değil, genel halkın gözünde daha belirgin ve zorunlu hale gelmektedir.
“Beş yıl önce, bilgi güvenliği kurulların en büyük 10 endişesini zar zor kırdı. Bir yıl önce, No.2 idi. İlginçtir ki, artık sadece bilgi güvenliği değil, veri güvenliği de değil, ” diyor Heidrick ve işe alım firmasının bölgesel yönetici ortağı David Boehmer. Şirket tarafından üretilen bir YouTube videosunda mücadele ediyor.)
Bir CISO Ne Yapar
Bir CISO'nun rolü oldukça geniş olabilir ve genellikle kendilerini birçok farklı şapka giyerken bulurlar. Bu iş, fikri mülkiyet güvenliğini yönetme gibi iç güvenlikten müşteri güvenliğinden sorumlu olmaya kadar her şeyi içerir.
Sumo Logic'ten bir CISO olan Joan Pepin, "Ürünle ve mühendislik ekibimizle, güvenlik alıcıları için ilginç olabilecek özellikleri uygulamak için de çalışıyorum" diyor.
Geçen yılki Hedef ihlali kesinlikle çok sayıda kişiyi konuştururken, Pepin onun o kadar da sürpriz olmadığını ve güvenlik topluluğunun çoğunun da olmadığını açıkladı. Bu, güvenlik camiasının "herkesin işlerini güçlendirmek için ihtiyaç duyduğu" havza anlarına "sahip olmadığı anlamına gelmez.
Bilgisayar korsanlarının bilgi güvenliği şirketinin sunucularını ihlal ettiği ve hassas hükümet ve kurumsal verilere erişim sağlayan kimlik doğrulama jetonlarını çaldığı 2011'deki RSA ihlali birçok güvenlik uzmanının yanına düştü. Bir güvenlik şirketi bu tür bilgisayar korsanlarına nasıl avlanabilir? Sadece iki yıl sonra, bu endişe daha önce radarın altında kalmış bir hedefe kayacaktı: perakende müşteriler. Target ve Neiman Marcus'da görülen saldırılar, gündelik müşterilerin güvenliğine dikkat çekti.
"Açıkçası binlerce ve binlerce çalışanı olan devasa bir perakende operasyonunuz olduğunda, tüm bu farklı siteler, satış noktası makineleri, bu en kötü sistem türüdür ve bu tür saldırıların gerçekleşmediği gerçeği daha erken bir ölçek benim için sürpriz oldu, "dedi Pepin.
Sorun, güvenliğin, şirketlerin işlerinin sürekli olarak korunan bir yönü olmaktan ziyade kene ve ayrılma için bir onay kutusu olarak görülmesinden kaynaklanıyor. Bu, siber suçluların gevşek olduğu ve sadece içeri girebileceği anlamına gelmez. Aslında, siber suçlular giderek daha yetenekli hale geliyor.
Pepin, "BMC ajanını ve bu tür gizli şeyleri taklit edebilen oldukça sofistike bir ihlaldi. Hedef ağ boyunca yanal hareketlere girmek oldukça zekiydi.
Diyerek şöyle devam etti: "Bundan uzaklaşmak istemiyorum ama hedefe yönelik zorluk açısından, cezalandırılmayı amaçlamıyorsa, hiçbir zaman zor hedefler listesine herhangi bir perakende zinciri yerleştirmem. Güvenlik şirketleri zor hedefler, hükümet zor bir hedef. İşi çorap satan bazı perakende zincirleri, onların süper güvenli bir dükkan olmasını beklemezdim. "
Güvenlik Profesyonelleri için Manzara
Haziran 2014'te Target, şirketin güvenlik uygulamalarının revizyonunu denetleyecek olan ilk CISO, eski General Motors yöneticisi Brad Maiorino'yu işe aldı.
İşletmelerinin, alanlarına veya boyutlarına bakılmaksızın, daha fazla farkındalık ve potansiyel ihlallere karşı daha fazla yetki ile giderek büyüyen tehditlere yanıt olarak güvenlik oyunlarını not almaları ve geliştirmeleri gerekecektir.
"Açıktı … Hedef olayda, kimsenin cevap vermediği ve yönetilen güvenlikten gelen tecrübelerime göre, son derece tipik uyarılar yapıldığı açıktı."
"Dünyadaki en iyi saldırı tespit sistemi hala çok yüksek yanlış pozitif oranına sahip ve bu nedenle güvenlik müdahalecileri temel olarak sistemlerini görmezden gelmek için kendi sistemleri tarafından eğitiliyor. Orada ilk yanıt verenlerin binlerce kişiye uyuştuğu bir teknolojik insan etkileşimi boşluğu var Çöp olduğuna dair uyarılar var. Target durumunda, izlenmeyen ve etkinin daha kısa sürede azaltılmasına yardımcı olabilecek bazı işaretler vardı. "
Çoğu zaman olduğu gibi, bir güvenlik uzmanı hemen bir konu üzerinde hareket edemez çünkü hiyerarşide daha üst birinden onay veya onay almaları gerekir. Pepin, bunun bir şirketin güvenlik ekibinin inisiyatif alabilmek için daha fazla özerkliğe ve otoriteye sahip olması gerektiğini açıkladığını söylüyor.
Trend Micro'daki siber güvenlik sorumlusu Tom Kellermann, "Bilgi güvenliği görevlilerinin CIO'lara rapor vermemesi gerektiğinde hala bir yönetişim sorunu olduğunu düşünüyorum." Diyerek şöyle devam etti: "Baş risk yetkilisine veya doğrudan CEO'ya rapor vermeleri gerekiyor." Bu, aracıların çoğunu keser ve potansiyel acil durumlara daha hızlı yanıt süresi sağlar.
Pepin, güvenlik profesyonellerinin şirketlerinde "en üste rapor vermeleri" gerektiğini kabul eder. Diyerek şöyle devam etti: "Genel Müdürümüze rapor verdiğim için şanslıyım. Bu çok iyi çalışıyor ve bu, güvenliğini ciddiye alan herhangi bir kuruluş için gerçekten tavsiye edeceğim bir şey."
KOBİ'ler için Diğer Bütçeler ve Güvenlik
CISO'yu işe almak ve güvenlik ekibinizi genişletmek bütçeniz varsa iyi ve iyidir, ama daha küçük şirketler ne olacak? Küçük bir zincire veya yerel donanım mağazanıza yapılan bir saldırı, bilgisayar korsanları için bir Hedefe veya Neiman Marcus'a vurmakla aynı avantajları sağlamayacak olsa da, kendinizi herhangi bir şekilde savunmasız bırakmanız akıllıca değildir. Peki saldırı riskini azaltmak için ne yapabilirsiniz? Pepin, bir olay müdahale yüklenicisinin veya danışmanının hizmetlerini almanızı şiddetle tavsiye eder.
"Saldırıya uğramanız durumunda arayabileceğiniz biri var, bu nedenle Google'ı açıp aramaya başlamak zorunda değilsiniz" dedi.
Bu, daha küçük bir şirket için daha ekonomik bir anlam ifade edeceğini açıklıyor, çünkü işletme hizmetleri yalnızca gerektiğinde kullanacak. Bu hizmetler aynı zamanda personelinizin kaldığı yerden alma konusunda son derece uzmanlaşmıştır.
"Tetiklemek için harika bir ekibiniz olabilir, saldırı altında olduğunuzu anlayabilirsiniz, ancak bu saldırıya yanıt vermek, onları ağınızdan çıkarmak ve kanıtları olabilecek bir şekilde toplamak için gereken aynı beceri seti değildir. bir mahkemede kullanılabilir. "
Şirketlerin siber suçlarla mücadele etmek için birçok kaynağı var. Yakın tarih, başka bir büyük saldırının hemen köşede olduğunu gösteriyor.
