Noll
Video: Equifax lär oss vad vi inte ska göra efter ett dataintrång
Varför gjorde Equifax ta stryk i rubriker, men SEC brott var knappt en blip?
Equifax är främst ett B2B-företag, men de data som stulen var konsumenternas data. Par som med en av de värsta svar till en överträdelse som möjligt, bland annat: att ge inkonsekventa svar, ber användarna att registrera sig för sina egna produkter; end user license agreement fiasko som drog uppmärksamhet från New York Attorney General Eric Schneiderman; upptäckten av en tidigare hack av samma grupp, och dirigering av användare till en falsk webbplats som sattes upp av en säkerhetsforskare.
Också: Equifax är big fat misslyckas: Hur man inte ska hantera ett dataintrång
Equifax få pummeled är inte alltför överraskande eller omotiverad för den delen.
Det ljumma svar till SEK brott kan kokas ner till två faktorer:
Business data var stulna från SEK. Medan det inte är ett brott utan offer av någon sträcka, enskilda konsumenter inte behöver klättra för att placera en frysning av sin kredit rapport på grund av vad som hände i SEK. De flesta medborgare kommer inte behöva ändra sitt dagliga liv på grund av att SEK brott. Ingen som sitter på telefonen med tre olika kreditbyråer eller hemsida registreringar för kredit övervakning.Dölj ditt meddelande i skuggan av en större strid. En av de inte så hemliga hemligheter i incidenthantering, public relations och kriskommunikation världar är att ibland timing ditt meddelande så att det sammanfaller med en större, mer offentliga, och mer uppseendeväckande brott kan hjälpa till att minimera den uppmärksamhet den får. Nu finns det ingen tillgänglig information som indikerar att SEK var ens tänka i dessa banor när det meddelade sin egen strid, men Equifax är fortsatt felsteg verkligen inte skada SEK.
Vad gör hacka signal? Är detta en trend? Hur fungerar Deloitte passa?
Det är alltid svårt att ringa hacka en trend, trots allt, “hackare kommer att hacka.” Det kan dock fortsätta att bevisa ofta används Willie Sutton ordspråket om att råna banker “, eftersom det är där pengarna finns” har inte blivit irrelevant i det 21: a århundradet. Hackare har anpassat sig till den digitala omvandling och data ekonomi mycket som Företag har. Dessutom innebär det att ställa in hur och vad de riktar in sig på Deloitte passar på tre sätt:
Deloitte har stora mängder data. De dagar konsultföretag för att bara vara en body shop eller kör genom checklistor i revisioner är långt över. Deloitte är ett globalt konsultföretag som erbjuder tjänster inom många olika affärsområden, vilka omfattar arkitektur, utveckling, installation och löpande service. Deloitte har öste upp digitala byråer som design mjukvara, fortsätter att utföra Rådgivning runt om skatter och redovisning, och naturligtvis, samråder om informationssäkerhet engagemang.De uppgifter du stjäla från Deloitte gör alla andra attack lättare. Genom att sitta inne Deloitte som ett hot aktör, kan du få värdefull information om attacken yta av hundratals globala företag. Dessa data inkluderar e-post, e-post bilagor, dokument design, konfiguration information i kalkylblad, lösenord skickas mellan ingenjörer, etc. Dina chanser till framgång mot andra mål öka i proportion till den mängd information som du skörd från Deloitte. Samråd med företag och tjänsteleverantörer som är mål eftersom de representerar en kraft multiplikatorer för hot aktörer.
Du kan göra insider affärer med denna data. Det är inte bara information från SEC och som har ett värde för ett hot skådespelare som försöker tjäna pengar på information via aktiemarknaden trades. Deloitte har en Rådgivande praxis och som innebär att beskattning och redovisning revision för organisationer. Denna information är källan till de uppgifter som används i dessa mycket samma SEK anmälningar som kan utnyttjas av angripare i SEK brott. Därför, Deloitte – eller någon beskattning och rådgivande företag – är ett bra mål för samma skäl som SEC.
Visst, men Deloitte säljer säkerhetstjänster, och SEC är en tillsynsmyndighet. Båda borde bli bättre på detta, eller hur?
Det verkar av 2017 har vi förhoppningsvis flyttat förbi “tjära och fjädrar” – metoden när ett brott kommer till ljus. En lillebror offentliga smutskasta, oundvikliga tvister, och tredje part avtalsrättsliga frågor bör vara tillräckligt att i alla utom de mest flagranta fall. Men:
Deloittes consulting praktiken inte köra Deloitte informationssäkerhet. Med detta i åtanke, sin förmåga som en information security consulting fast inte nödvändigtvis med dess förmåga att försvara sig mot hackare. Det samma är sant för SEK. De delar inte samma budget, NYCKELTAL, eller organisationsstruktur. Men det är rätt att be om Deloitte engagerad i “dogfooding”, eller kanske som en av de Stora 4, önskad fras att använda är: “Dricker sin egen champagne?”Tror stenar och glashus här. I Fight Club av Chuck Palahniuk berättaren konstaterar: “På en tillräckligt lång tid för linje, the survival rate for everyone drops to zero.” Som råd verkar gälla att it också, eftersom ett misstag av en användare, en i förtid stängt händelse av SOC, eller en underlåtenhet att tillämpa en patch kan resultera i katastrof veckor, månader eller år senare. Dra lärdom och utveckla hämtställen som detaljer dyka upp, men kom ihåg att ingen är immuna mot angrepp.
Vad ska säkerhets-och sjukvårdspersonal göra om de arbetet med brutit mot en tjänsteleverantör?
Om du är kund hos någon leverantör som blir åsidosatt, bör du överväga din organisation mer på risk. Här är några saker att tänka på, baserat på den typ av Deloitte brott:
Hur många “Detta e-postmeddelande är krypterad, nästa e-postmeddelande har lösenordet för” e-post har du skickat? Se, vi VET alla att detta händer. Men det är inte säkert att skicka krypterad post, så skicka sätt att dekryptera den över samma kanal…och också nämna lösenord är på väg. Tycker om att definiera en uppsättning i förväg delad lösenord på projektets kickoff. För krypterad e-postbilagor, sms: a lösenordet eller dela den via telefon. Överväg att använda en offentlig/privat PGP-nyckel par på projektet avspark om ditt lag kan hantera dekryptering.Är din gamla information om på en filresurs eller konsult laptop år senare? Om du e-post till en konsult som du arbetade med i ett projekt för två år sedan och be om information om projektet, får du en stolt “Funnit det!” svar? Om så är fallet, som kan vara orsak till oro. Om du inte längre med som konsult på ett aktivt projekt, varför är inte uppgifterna förstöras? Gör ditt avtal med företaget inkluderar data destruktion och sanering riktlinjer? Om så är fallet, du upptäckt en överträdelse av minst en konsult.Om du ingår i strid, var det endast din information? En av dina viktigaste partner drabbats av ett brott, vilket innebär att din information kan vara ute. Dock kundens information kan vara så bra. S&R proffsen kan inte bara oroa sig för första fest enterprise information, du måste också ta reda på om du behöver för att börja din egen anmälan processen. Du har ett brett spektrum av kunder, partners och leverantörer. Du kan räkna med att data från var och en strövar fritt genom din miljöer, vilket innebär att det kan göra sin väg till en partner som drabbas av ett brott.Hur mycket tycker angripare vet om din miljön nu? Om du har gjort ett betydande arbete med en tjänsteleverantör som drabbats av ett brott, anser att de vet allt om din miljö. Diagram, lösenord, konfigurationer, IP-adress uppdrag, administrativa användarnamn, lösenord format, och mer. Detta är en guldgruva av data för angripare att öka sannolikheten för att få tillgång till din omgivning eller återstående dolda i din miljö. Du bör överväga din egen omgivning äventyras och inleda ett hot mot jakt för att avgöra om en angripare som finns inuti din miljö, inklusive letar efter avvikelser som detta kan angriparen inte ha behövt använda någon skadlig kod för att få tillgång till din organisation får den information de började med användarnamn och lösenord.
0