Nul
Video: Equifax leert ons niet wat te doen na een data-inbreuk
Waarom heb Equifax tegen een stootje in de krantenkoppen, maar de SEC schending was nauwelijks een blip?
Equifax is vooral een B2B-bedrijf, maar de gegevens van gestolen data van de consument. Koppel dat met een van de ergste reacties op een inbreuk mogelijk, zoals: het geven van inconsistente antwoorden, vragen van gebruikers te melden voor de eigen producten; de eind gebruiker licentie overeenkomst fiasco dat trok de aandacht van New York de Procureur-Generaal Eric Schneiderman; ontdekking van een eerdere hack van dezelfde groep; en de routing van gebruikers naar een valse website, opgemaakt door een security-onderzoeker.
Ook: Equifax is dikke vette fail: Hoe het niet moet omgaan met een data-inbreuk
Equifax krijgen geteisterd is niet al te verrassend, of onverdiend voor die kwestie.
De lauwe reactie op de SEC-nakoming kunnen worden samengevat in twee factoren:
Zakelijke gegevens werd gestolen uit het SEC. Terwijl dat is niet een misdaad zonder slachtoffers door een stuk, individuele consumenten niet moeten klauteren om een bevriezing van hun credit verslag, want van wat er gebeurd is op de SEC. Het merendeel van de burgers is het niet nodig om een wijziging van hun dagelijks leven als gevolg van de SEC in de nakoming. Geen zittend op de telefoon met drie verschillende kredietbureaus of website inschrijvingen voor credit monitoring.Verberg uw aankondiging in de schaduw van een grotere inbreuk. Een van de niet zo geheime geheimen in het incident response, public relations en communicatie-werelden is dat soms de timing van uw aankondiging te laten samenvallen met een grotere, meer publiek en meer sensationele overtreding kan helpen bij het minimaliseren van de aandacht die het krijgt. Nu, er is geen informatie beschikbaar die aangeeft dat de SEC werd zelfs het denken langs de lijnen toen het aankondigde zijn eigen strijd, maar Equifax het vervolg de misstappen zeker niet schadelijk zijn voor de SEC.
Wat doen de hacks signaal? Is dit een trend? Hoe heeft Deloitte passen?
Het is altijd moeilijk om te noemen hacken van een trend; immers, “hackers gaan hacken.” Echter, het niet doorgaan, om te bewijzen dat het vaak gebruikt Willie Sutton gezegde over het beroven van banken “, want dat is waar het geld is niet irrelevant geworden in de 21e eeuw. Hackers hebben aangepast aan de digitale transformatie en data-economie, zoals veel Ondernemingen hebben. Bovendien, dat betekent het aanpassen van hoe en wat ze richten Deloitte past op drie manieren:
Deloitte heeft enorme hoeveelheden data. De dagen van adviesbureaus gewoon een body shop of uitgevoerd door middel van checklists in de audits is lang voorbij. Deloitte is een wereldwijd adviesbureau dat diensten levert in een aantal business lines, architectuur, ontwikkeling, implementatie en voortdurende diensten. Deloitte heeft opgeschept digitale agentschappen die de software van het ontwerp, blijft de Adviserende diensten op het gebied van belastingen en administratie, en natuurlijk overlegt over information security management.De gegevens die u stelen van Deloitte maakt van iedere andere aanval gemakkelijker. Door het zitten binnen Deloitte als een bedreiging acteur, krijg je waardevolle informatie over de aanvallen van honderden wereldwijde ondernemingen. Deze gegevens inclusief e-mails, e-mailbijlagen, design documenten, configuratie gegevens in spreadsheets, wachtwoorden per e-mail tussen ingenieurs, enz. Uw kansen op succes tegen andere doelen toename in verhouding tot de hoeveelheid informatie die u oogst van Deloitte. Adviesbureaus en dienstverleners zijn doelen omdat ze vertegenwoordigen force multipliers voor dreigingen.
U kunt insider transacties met deze gegevens. Het is niet alleen de informatie van de SEC, die waarde heeft voor een bedreiging van de acteur op zoek om geld te verdienen met informatie via stock market transacties. Deloitte heeft een Adviserende praktijk, en dat betekent dat de belastingen en boekhoudkundige audits voor organisaties. Die informatie is de bron van de gegevens gebruikt in dezelfde SEC-deponeringen, die kan worden benaderd door aanvallers in de SEC in de nakoming. Daarom Deloitte – of eventuele belasting-en adviesbureau is een goed doel voor dezelfde redenen als de SEC.
Zeker, maar Deloitte verkoopt security services, en de SEC is een regelgevende instantie. Beide moeten beter op, toch?
Het lijkt in 2017 hebben we – hopelijk – voorbij de “teer en veren” aanpak wanneer er een overtreding aan het licht komt. Een smidge van public shaming, onvermijdelijk rechtsgedingen, en derde contractuele kwesties voldoende zou moeten zijn in alle, maar de meest flagrante scenario ‘ s. Maar:
De consulting practice van Deloitte niet uitvoeren van Deloitte is de beveiliging van informatie. Met dat in gedachten, zijn bekwaamheid als een information security consultancy geeft niet noodzakelijkerwijs haar vermogen om zich te verdedigen tegen hackers. Hetzelfde geldt voor de SEC. Zij niet dezelfde budgetten, KPI ‘ s, of organisatiestructuur. Echter, is het recht om te vragen of Deloitte bezig met “dogfooding,” of misschien wel als een van de Big 4, de gewenste zin te gebruiken: “het Drinken van haar eigen champagne?”Denk stenen en glazen huizen hier. In Fight Club van Chuck Palahniuk de verteller stelt: “Op een tijd-lijn, de overlevingskans voor iedereen daalt tot nul.” Dat advies lijkt te gelden voor cyber, omdat een fout van een gebruiker voortijdig gesloten evenement door de SOC, of een niet-toepassen van een patch kan resulteren in een ramp weken, maanden, of jaren later. Leren en ontwikkelen afhaalrestaurants als detail naar voren, maar vergeet niet dat er niemand is immuun voor aanvallen.
Wat moet security professionals doen als ze werken met een geschonden service provider?
Als je de klant van een dienstverlener die wordt geschonden, moet u overwegen uw organisatie meer in gevaar. Hier zijn een aantal dingen om over na te denken op basis van de aard van de Deloitte inbreuk:
Hoeveel “Deze e-mail is gecodeerd, de volgende e-mail heeft het wachtwoord” e-mails u hebt verzonden? Kijk, we WETEN allemaal dat dit gebeurt. Maar het is niet veilig om de gecodeerde item, dan stuur je de manier om het te ontsleutelen over hetzelfde kanaal…en ook de vermelding van het wachtwoord is op de weg. Denk over het definiëren van een set van pre-gedeelde wachtwoorden op project-kickoff. Voor versleutelde e-mail-bijlagen -, tekst-wachtwoord of deel dit via de telefoon. Overweeg het gebruik van een openbare en een persoonlijke PGP-sleutel op project kickoff als uw team kan omgaan met de ontcijfering.Is uw oude informatie van plaatsing op een bestandsshare of consultant laptop jaren later? Als u e-mail een consultant heb je gewerkt op een project van twee jaar geleden en vragen voor informatie over het project, ontvangt u een trotse “Gevonden!” reactie? Als dat zo is, zou dat reden voor bezorgdheid. Als u hier niet langer te werken met deze adviseur op een actieve project, waarom is het dan niet de gegevens vernietigd? Heeft uw contract met de firma zijn, vernietiging van gegevens en sanering richtlijnen? Als dat zo is, je ontdekt een schending van het beleid door ten minste één adviseur.Als u bent opgenomen in de strijd, was het enkel en alleen uw gegevens? Een van uw belangrijke partners leed aan een overtreding, wat betekent dat uw gegevens kunnen worden. Echter, uw klant informatie kan worden. S&O-professionals kunnen niet alleen zorgen over het eerste partij enterprise informatie; je moet om uit te vinden of je moet om te beginnen met uw eigen kennisgeving proces. Je hebt een uitgebreid ecosysteem van klanten, partners en leveranciers. U kunt wedden dat de gegevens van elk zwerft vrij door je omgeving, wat betekent dat het zou kunnen zijn manier aan een partner die lijdt aan een overtreding.Hoeveel aanvallers weten over je omgeving nu? Als je het hebt gedaan substantiële werken met een service provider die het slachtoffer van een overtreding, denken dat zij alles te weten over je omgeving. Schema ‘ s, wachtwoorden, instellingen, IP-adres opdrachten, administratieve gebruikersnamen, wachtwoord formaten en meer. Dit is een schat aan gegevens voor de aanvallers te vergroten, hun kans op het verkrijgen van toegang tot uw omgeving of overige verborgen in uw omgeving. Moet u overwegen uw eigen omgeving aangetast en het starten van een bedreiging van de jacht om te bepalen of een aanvaller die aanwezig zijn in uw omgeving, waaronder op zoek naar afwijkingen als deze aanvaller niet kan zijn nodig voor het gebruik van malware om toegang te krijgen tot uw organisatie, gezien de informatie die ze begonnen met gebruikersnamen en wachtwoorden.
0