Nul
Video: Equifax lærer os, hvad man ikke skal gøre efter bruddet
Hvorfor gjorde Equifax tage en slå i overskrifterne, men SEC brud var knap en blip?
Equifax er primært en B2B-virksomhed, men de stjålne data, var forbrugeren data. Par, der med en af de værste reaktioner til et brud muligt, herunder: at give inkonsistente svar, bede brugerne til at underskrive op for sine egne produkter; den slutbrugerlicensaftale fiasko, som henledte opmærksomheden fra New York Attorney General Eric Schneiderman; opdagelsen af en forudgående hack af den samme gruppe; og routing af brugere til en falsk hjemmeside sat op af en sikkerhedsekspert.
Også: Equifax ‘ s big fat mislykkes: Hvordan man ikke skal håndtere en data-strid
Equifax at få bankede er ikke så overraskende, eller ufortjent, for den sags skyld.
Den lunkne svar til SEC brud, kan koges ned til to faktorer:
Business data blev stjålet fra SEK. Mens der ikke er en forbrydelse uden ofre, ved enhver strækning, den enkelte forbruger ikke behøver at slås for at placere en fastfrysning af deres kredit rapport på grund af, hvad der skete på SEK. De fleste borgere vil ikke nødt til at ændre deres dagligdag på grund af SEC brud. Ingen sidder på telefonen med tre forskellige kredit-bureauer eller hjemmeside tilmeldinger til kredit overvågning.Skjule din meddelelse i skyggen af et større brud. En af de ikke så hemmelige hemmeligheder i incident response, pr og krisekommunikation verdener er, at nogle gange timing din meddelelse til den falder sammen med en større, mere offentlig, og mere opsigtsvækkende brud kan hjælpe med at minimere den opmærksomhed, den modtager. Nu, der er ingen tilgængelige oplysninger, der angiver, at SEC var selv tænker langs disse linjer, når det annoncerede sin egen brud, men Equifax er fortsat fejltrin bestemt ikke såre SEK.
Hvad gør de hacks signal? Er det en tendens? Hvordan Deloitte pasform?
Det er altid svært at kalde hacking en tendens, efter alt, “hackere skal hacke.” Det betyder dog fortsat bevise, at den ofte anvendte Willie Sutton ordsprog om at røve banker “, fordi det er, hvor pengene er”, er ikke blevet irrelevante i det 21 århundrede. Hackere har tilpasset til den digitale transformation og data økonomien meget som Virksomheder har. Desuden er, det betyder at justere, hvordan og hvad, de er rettet mod Deloitte passer på tre måder:
Deloitte har massive mængder af data. De dage af konsulentfirmaer blot at være et body shop eller kører gennem tjeklister i audit er for længst forbi. Deloitte er en global rådgivningsvirksomhed, der leverer tjenesteydelser på tværs af mange forretningsområder, som omfatter arkitektur, udvikling, implementering og løbende ydelser. Deloitte har skovlede digitale bureauer, at design software, fortsætter med at udføre rådgivning omkring skat og regnskab, og naturligvis hører om informationssikkerhed engagementer.De data, du stjæle fra Deloitte gør alle andre angreb lettere. Ved at sidde inde i Deloitte som en trussel, skuespiller, får du værdifulde informationer om angreb overfladen af hundredvis af globale virksomheder. Disse data omfatter e-mails, vedhæftede filer, design dokumenter, konfiguration oplysninger i et regneark, passwords sendt mellem ingeniører, osv. Dine chancer for succes mod andre mål stige proportionalt med den mængde af oplysninger, du høster fra Deloitte. Konsulentfirmaer og tjenesteudbydere mål, fordi de repræsenterer force multiplikatorer for trussel aktører.
Du kan gøre insider handler med disse data som godt. Det er ikke kun de oplysninger fra SEK, og som har værdi for en trussel aktør, der søger at tjene penge oplysninger via aktiemarkedet handler. Deloitte har en Rådgivende praksis, og det betyder, at beskatning og regnskab revision for organisationer. At information er kilden til de data, der anvendes i de selvsamme SEC, der kan have været benyttet af angribere i SEK brud. Derfor Deloitte – eller nogen beskatning og rådgivende firma – er et godt mål for de samme årsager, som SEC.
Sikker på, men Deloitte sælger sikkerhedstjenester, og SEC er en regulerende organ. Begge skal blive bedre til det, right?
Det synes i 2017 har vi – forhåbentlig – har bevæget sig forbi”, tjære og fjer” – tilgang, når en brud kommer til lys. En smidge af offentlige nævnelse, uundgåelig retssager, og tredje part kontraktmæssige spørgsmål bør være tilstrækkelig i alle, men de mest ekstreme scenarier. Men:
Deloitte consulting ‘ s praksis ikke køre Deloitte it-sikkerhed. Med det i tankerne, sin kapacitet som et information security konsulentfirma ikke nødvendigvis udtryk for sin evne til at forsvare sig mod hackere. Det samme er tilfældet for SEC. De deler ikke de samme budgetter, KPI ‘ er, eller en organisatorisk struktur. Det er imidlertid ret til at bede om Deloitte engageret i “dogfooding” eller måske som en af “the Big 4”, det foretrukne udtryk at bruge, er: “at Drikke sin egen champagne?”Tror, sten og glas huse her. I Fight Club af Chuck Palahniuk fortælleren hedder det: “På en lang nok tid linje, overlevelsesraten for alle falder til nul.” Dette råd synes at gælde for cyber så godt, da en fejl af en bruger, en for tidligt lukket arrangement af SOC, eller en undladelse af at anvende et plaster kan resultere i en katastrofe, uger, måneder eller år senere. Lære og udvikle grillbarer som detaljer komme frem, men husk, at ingen er immune over for angreb.
Hvad skal sikkerhed fagfolk gøre, hvis de arbejder med en brudt udbyder?
Hvis du er kunde hos en tjenesteudbyder, der bliver overtrådt, bør du overveje din organisation mere i fare. Her er nogle ting at tænke over, der er baseret på arten af Deloitte brud:
Hvor mange “Denne e-mail er krypteret, den næste e-mail, har password” e-mails, du har sendt? Se, vi alle VED, at dette sker. Men det er ikke sikkert at sende krypteret post, så send den måde at dekryptere det hele samme kanal…og også nævne den adgangskode, der er på vej. Tænke på at definere et sæt af pre-shared adgangskoder på project kickoff. For krypteret e-mail vedhæftede filer, tekst adgangskoden eller dele det ved telefonen. Overvej at bruge et offentligt/privat PGP-nøglepar på project kickoff, hvis dit team kan håndtere dekryptering.Er din gamle oplysninger om en fil, dele eller konsulent, værdiboks til bærbar år senere? Hvis du e-mail til en konsulent, du har arbejdet med på et projekt for to år siden og bede om oplysninger om projektet, kan du modtage en stolt “har Fundet det!” svar? Hvis det er tilfældet, kan der være grund til bekymring. Hvis du ikke længere vil arbejde med som konsulent på et aktivt projekt, hvorfor er det ikke de data, der er ødelagt? Gør din kontrakt med den virksomhed, der omfatter data ødelæggelse og desinficering retningslinjer? Hvis ja, har du afdækket en politisk overtrædelse af mindst én konsulent.Hvis du er medtaget i den strid, var det kun dine oplysninger? En af dine vigtige partnere været udsat for en krænkelse, hvilket betyder, at dine oplysninger kan blive derude. Men oplysninger om din kunde kunne være så godt. S&R fordele kan ikke bare bekymre dig om første part virksomhedsoplysninger, og du skal også til at finde ud af, om du har brug for at begynde din egen anmeldelse proces. Du har et stort økosystem af kunder, partnere og leverandører. Du kan vædde på, at data fra hver enkelt strejfer frit gennem din miljøer, hvilket betyder, at det kan gøre sin vej til en partner, der lider et brud.Hvor meget skal angribere vide om dine omgivelser nu? Hvis du har gjort et betydeligt arbejde for en tjenesteyder, der har lidt et brud, mener, at de ved alt om dit miljø. Diagrammer, passwords, opsætninger, IP-adresse opgaver, administrative brugernavne, password formater, og meget mere. Dette er en guldgrube af data for fjernangribere at øge deres sandsynlighed for at få adgang til dit miljø eller forblive skjult i dit miljø. Du bør overveje dit eget miljø kompromitteret og indlede en trussel på jagt for at afgøre, om en angriber er til stede inde i dit miljø, herunder på udkig efter anomalier som denne angriber kan ikke have behov for at bruge noget malware til at få adgang til din organisation på baggrund af de oplysninger, som de startede med brugernavne og passwords.
0