Zero
Video: Equifax, ci insegna cosa non fare dopo una violazione dei dati
Perché Equifax prendere una battitura nei titoli, ma la SEC violazione era appena un blip?
Equifax è principalmente una società B2B, ma il furto di dati è stato dei dati del consumatore. Coppia che, con una delle peggiori risposte a una violazione possibili, tra cui: dare risposte incoerenti; chiede agli utenti di registrare i propri prodotti; il contratto di licenza utente finale fiasco che ha richiamato l’attenzione dal Procuratore Generale di New York Eric Schneiderman; individuazione di una prima hack dallo stesso gruppo; e il routing di utenti di un sito web falso, messo su da un ricercatore di sicurezza.
Anche: Equifax big fat fail: Come non gestire una violazione dei dati
Equifax sempre preso a pugni non è troppo sorprendente, o immeritata per quella materia.
La tiepida risposta alla SEC violazione possono essere ridotte a due fattori:
Dati aziendali è stato rubato dal SEC. Mentre questo non è un crimine senza vittime da qualsiasi tratto, i singoli consumatori non devono arrampicarsi a posto un blocco sul loro rapporto di credito a causa di ciò che è accaduto al SEC. La maggior parte dei cittadini non dovranno alterare la loro vita quotidiana a causa del SEC violazione. No seduto al telefono con tre diverse agenzie di credito o sito web le iscrizioni per il monitoraggio del credito.Nascondi il tuo annuncio nella penombra di un più grande violazione. Uno dei non così segreto segreti in risposta ad un incidente, le pubbliche relazioni e la comunicazione in situazioni di crisi mondi è che a volte il tempismo tuo annuncio coincide con una più grande, più pubblico, più sensazionale violazione può aiutare a minimizzare l’attenzione che riceve. Ora, non c’è nessuna informazione disponibile che indica che la SEC è stato anche il pensiero lungo queste linee, quando ha annunciato il suo inadempimento, ma Equifax e continuo di passi falsi di certo non ha fatto male il SEC.
Cosa fare l’hack del segnale? È questa una tendenza? Come si fa a Deloitte in forma?
E ‘ sempre difficile chiamare hacking di un trend; dopo tutto, “gli hacker gonna hack.” Tuttavia, continua a dimostrare la spesso utilizzato Willie Sutton adagio rapinare banche “perché dove sono i soldi” non è diventato irrilevante nel 21 ° secolo. Gli hacker si sono adattati per la trasformazione digitale e l’economia dei dati molto simili Imprese. Inoltre, che significa regolare come e cosa hanno di destinazione Deloitte si adatta in tre modi:
Deloitte ha enormi quantità di dati. I giorni di aziende di consulenza semplicemente di essere un body shop o in esecuzione attraverso liste di controllo degli audit è lunga oltre. Deloitte è una azienda di consulenza globale che fornisce servizi attraverso numerose linee di business, che comprende architettura, sviluppo, distribuzione e servizi in corso. Deloitte ha scavato su agenzie digitali che software di progettazione, continua a svolgere servizi di Consulenza circa le tasse e contabilità, e, naturalmente, la consulta sulla sicurezza delle informazioni, impegni.I dati rubare da Deloitte rende ogni altro attacco più facile. Da seduto all’interno della Deloitte come una minaccia attore, ottenere preziose informazioni circa la superficie di attacco di centinaia di global enterprise aziende. Questo dato comprende e-mail, allegati e-mail, documenti di progetto, i dettagli di configurazione in fogli di calcolo, le password inviate tra ingegneri, etc. Le vostre probabilità di successo contro altri obiettivi di aumentare in modo proporzionale alla quantità di informazioni che avete raccolto da Deloitte. Società di consulenza e fornitori di servizi sono obiettivi, perché essi rappresentano la forza dei moltiplicatori per la minaccia attori.
Si può fare insider mestieri con tali dati. Non è solo l’informazione dalla SEC, che ha un valore per una minaccia attore in cerca di monetizzare le informazioni via mercato azionario commerci. Deloitte è una pratica Consultivo, e che quindi attraverso l’imposizione fiscale e contabile per le aziende. Che l’informazione è la fonte dei dati utilizzati in quelle depositati presso la SEC che sia stato visitato da attaccanti SEC violazione. Pertanto, Deloitte – o qualsiasi imposizione fiscale e consulenza – è un buon obiettivo per le stesse ragioni SEC.
Certo, ma Deloitte vende servizi di sicurezza, e la SEC è un organismo di regolamentazione. Entrambi dovrebbero essere meglio a questo, giusto?
Sembra che entro il 2017 ci sono – si spera – superato il “catrame e di piume” approccio quando la violazione viene alla luce. Un filo di pubblica umiliazione, inevitabile contenzioso e di terzi, le questioni contrattuali dovrebbe essere sufficiente, ma in tutti i più eclatanti scenari. Ma:
Deloitte consulting pratica non viene eseguito Deloitte per la sicurezza delle informazioni. Con questo in mente, la sua capacità come la sicurezza delle informazioni la società di consulenza di non riflettono necessariamente la sua capacità di difendersi contro gli hacker. Lo stesso vale per il SEC. Essi non condividono lo stesso budget, KPI, o la struttura organizzativa. Tuttavia, è giusto chiedersi se Deloitte impegnati nel “dogfooding,” o forse come uno dei “Big 4”, la frase preferita da utilizzare è: “a proposito proprio di champagne?”Pensare di pietre e vetro, case qui. In Fight Club di Chuck Palahniuk, il narratore afferma: “In un arco di tempo abbastanza lungo, il tasso di sopravvivenza di un individuo scende a zero.” Che consigli mi sembra di applicare per i cyber pure, dal momento che un errore da parte di un utente, uno chiuso prematuramente all’evento da parte della SOC, o di una mancata applicazione di una patch è in grado di provocare il disastro settimane, mesi o anni dopo. Imparare e sviluppare rosticcerie come dettaglio emergere, ma ricordate che nessuno è immune agli attacchi.
Che cosa dovrebbe professionisti della sicurezza, in particolare quando si opera con una violato il fornitore di servizi?
Se sei cliente di un fornitore di servizi che viene violato, si dovrebbe prendere in considerazione la vostra organizzazione più a rischio. Qui ci sono alcune cose a cui pensare in base alla natura della Deloitte violazione:
Quante “Questa e-mail è crittografato, la prossima e-mail la password” email che hai inviato? Guarda, tutti SAPPIAMO che questo accade. Ma non è sicuro di inviare il cifrati voce, quindi inviare il modo di decodificare attraverso lo stesso canale…e anche ricordare la password è sulla strada. Pensare la definizione di un set di pre-condivisa password iniziale di progetto. Per crittografato allegati di e-mail, sms con la password o condividerli tramite telefono. Considerare l’utilizzo di un pubblico/privato per la chiave PGP coppia iniziale di progetto se la tua squadra in grado di gestire la decodifica.È il vecchio informazioni posa su una condivisione di file o un consulente del computer portatile di anni dopo? Se vi e-mail un consulente avete lavorato su un progetto di due anni fa e chiedere informazioni sul progetto, non si riceve un orgoglioso “Trovato!” risposta? Se è così, che potrebbe essere causa di preoccupazione. Se non lavori più con quella di consulente in un progetto attivo, perché non è che i dati eliminati? Fa il suo contratto con la ditta includono la distruzione dei dati e sanificazione linee guida? Se è così, si è scoperto un caso di violazione dei criteri da almeno un consulente.Se vi sono inclusi nella violazione, è solo il tuo scopo? Una delle critiche partner subito una violazione, il che significa che le informazioni potrebbero essere là fuori. Tuttavia, i dati dei clienti potrebbe essere così. S&R pro non basta preoccuparsi prima parte delle informazioni aziendali; è anche bisogno di sapere se avete bisogno per iniziare il proprio processo di notifica. Si dispone di un vasto ecosistema di clienti, partner e fornitori. Si può scommettere che i dati da ciascuno vaga liberamente attraverso i vostri ambienti, il che significa che potrebbe fare la sua strada per un partner che soffre di una violazione.Quanto attaccanti conoscere il tuo ambiente? Se hai fatto un notevole lavoro con un fornitore di servizi che ha subito una violazione, ritengono di sapere tutto sul vostro ambiente. Diagrammi, password, configurazioni, assegnazioni di indirizzi IP, amministrativa, nomi utente, password formati, e di più. Questo è un tesoro di dati per gli hacker per aumentare le loro probabilità di ottenere l’accesso al vostro ambiente o rimanendo nascosto nel vostro ambiente. Si dovrebbe considerare il proprio ambiente di compromesso e di avviare minaccia di caccia per determinare se un utente malintenzionato è presente all’interno del proprio ambiente, compresi cercando anomalie come l’aggressore non può avere bisogno di utilizzare qualsiasi tipo di malware per ottenere l’accesso all’organizzazione dato le informazioni di cui hanno iniziato con username e password.
0