Video: Siber Zorbalık Nedir? (Kasım 2024)
Tanınmış güvenlik araştırmacısı Brian Krebs, Orlando'daki Gartner Sempozyumu'nun açılışından önceki bir sunumda, siber suçun şu anki durumu hakkında büyüleyici ama korkutucu bir konuşma yaptı.
Bir grup CIO ve diğer BT yöneticileri ile konuşan Krebs'in Güvenlik web sitesindeki yazarı ve Spam Nation adlı kitap, siber suçluluk algısı ve gerçekliği arasında büyük bir "PR açığı" olduğunu söyledi. “Tünelin sonunda ışık bir çıkış yolu değil” dedi. “Bu yaklaşmakta olan bir tren.”
Özellikle, kötü adamların bilgi paylaşımında CIO'lardan daha iyi bir iş çıkardığını söyledi; Verizon Veri İhlali Araştırmaları Raporu gibi raporların daha eski sürümleri bile, ilgili bilgilerle birlikte sistemlerin nasıl ihlal edildiğini açıklamak için iyi bir iş çıkarmaktadır. Son zamanlardaki saldırıların çoğunda, güvenlik kayıtlarının basit bir şekilde algılanmasının, şirketleri bir sorun yaşadıklarına dair uyardığını söyledi.
Krebs, zamanının çoğunu, çoğunlukla Satış Noktası (POS) sistemlerine yönelik kötü amaçlı yazılımlara odaklanan, kredi kartı bilgilerine yapılan saldırılar hakkında konuşarak geçirdi. Son iki yılda, kötü adamların sadece bu tür sistemlere yönelik saldırılarını iyileştirmekle kalmayıp, aynı zamanda kredi kartı bilgilerini alıp satmak için de yeraltı pazarlarını daha sofistike ve "müşteri dostu" hale getirdiğini söyledi.
Birçok durumda, sokak çeteleri, 10 ila 20 dolarlık bir yatırımı 800 ila 1000 dolar arasında dönüştürmenin hızlı bir yolu olarak kredi kartı sahtekarlığına yönelmektedir. Sadece bu karlı değil, dedi, ancak doğal olarak uyuşturucu satmaktan daha az tehlikeli ve riskli ve hesap sahipleri genellikle masraflardan sorumlu olmadıkları için genellikle “mağdur” bir suç olarak görülüyor.
Krebs, Web tarayıcılarına sahip POS sistemlerinin sayısı ve bunun çok yaygın bir saldırı vektörü olduğu gibi sorunlara dikkat çekti. Kredi kartlarına geçip kredi kartlarına geçişin, sorunu diğer ülkelere göre e-ticaret sahtekarlığı, yeni hesap sahtekarlığı ve hesap devirlerinde bir artışa neden olduğuna işaret ederek sorunu çözmeyeceğini söyledi.
Bunların çoğu kimlik ve mahremiyete dayanıyor ve birçok insanın değişmeyen kişisel bilgilerinin (adresler ve Sosyal Güvenlik numaraları gibi) artık mevcut olduğunu belirtti. Bilgisayar sistemleri söz konusu olduğunda, güvenli, hızlı veya kullanımı kolay olabileceklerini söyledi: iki tane seçin. Pek çok insan güvenliğe odaklanmamayı seçtiğini söyledi. Sonuç olarak, Web’de insanlar hakkında kişisel bilgiler bulmak için çok fazla yer var ve hükümeti diğer birçok ülkede olduğu gibi daha katı gizlilik kurallarını kabul etmeye çağırdı.
Sonunda Krebs, şirketlerin siber suçlarla mücadelede en fazla ilerleme kaydedebileceklerini düşündüğü beş alanı gösterdi. Pek çok şirkette güvenliğin bir şeker çubuğu gibi olduğunu söyleyerek ağ bölümlemesine büyük bir inanan var: "dışta sert ve gevrek, içte yumuşak ve yapışkan."
Bunun yerine, ağınızın en hassas kısımlarını yalnızca belirli bir gereksinimi olan kuruluş içindekilere erişilebilir kılmayı önerdi. Şirketler, özel bir olay müdahale ekibi kurmalı, hangi dersleri öğrenebileceklerini görmek için diğer ihlal haberlerini gözden geçirmeli, ihlal durumunda ne yapılması gerektiğine dair sürekli tatbikatlar yapmalı ve ortaklarını güvenlik planlamasına dahil etmelidir.
Bu iyi bir tavsiye, ancak genellikle gün geçtikçe göz ardı edilen şeyler BT'de yeni projeler yapmaya zorlanıyor. Bu öncelikleri dengelemek konferansta konuştuğum birçok BT yöneticisi için kilit bir konudur.
