Nul
Som de retshåndhævende myndigheder i det forenede KONGERIGE, og ud over, er der nu forventes at bekæmpe pesten af cybersecurity-relateret svindel, svindel, og forbrydelser, der begås for de formål, identitet tyveri og økonomisk gevinst, skal de nu også blevet bekendt med de trusler, begreber, og — i det mindste — det grundlæggende i, hvordan sådanne angreb er foretaget.
Politiet kan ikke altid være i forreste linje, især når det kommer til målrettede angreb og svindel gennemført online. Men i deres pligt over for det offentlige, de har brug for at være i stand til at rådgive ofrene, sende dem i den rigtige retning, og gøre dem bevidste om deres rettigheder.
Som af Marts 2018, svarende til 122,404 fuld tid politifolk, der var ansat i den 43 politiet i England og Wales; og det svarer til lige over 17.000 medlemmer af politiet opererer i Skotland er baseret på tal fra begyndelsen af 2018. Sammen, det forenede KONGERIGE har en anslået befolkning på mere end 66 millioner.
Vi har nogle politibetjente på beat og tal synes at være aftagende, år efter år. Så, de få vi har tilbage er nødt til at forstå nutidens digitale trusler.
Hvis en af mine venner-en for nylig salvede medlem af det BRITISKE kraft — er at blive troet, og de har en sådan viden låst ned og vide så meget, eller måske mere, end din gennemsnitlige cybersecurity journalist.
Denne erklæring måske bede spot og munterhed til vrimlen for en eller begge parter, der er involveret, men spørgsmålet er stadig: hvad gør politiet i det Forenede Kongerige vide, når det kommer til cyberthreats, og hvordan er de givet denne information?
ZDNet har besluttet at finde ud af.
I November 2018, Cisco har annonceret et partnerskab med den BRITISKE politi, der er involveret i lanceringen af et landsdækkende initiativ, der skal give adgang til cybersecurity uddannelse for officerer.
Gennem Cisco Networking Academy, politifolk vil blive tilbudt kurser for at forbedre deres cybersecurity viden.
Andy Roer, fra den Nationale Politichefer Råd, Data Communications Group, sagde kurser og initiativ på store ville “øge kendskabet til og øge deres forståelse for it-kriminalitet og cyberthreats,” og at “det er vigtigt, at alle politifolk til at forstå cybersecurity så fuldstændigt som muligt; ved at gøre så de kan udvikle deres viden i denne mere og mere vigtigt område, forbedre sikkerhed i både deres professionelle og personlige liv.”
TechRepublic: Phishing og spearphishing: Et cheat sheet for erhvervsfolk
For at få et indblik i, hvilken uddannelse de får, jeg påtog sig nogle af de samme kurser, der i dag er BRITISKE officerer vil være i stand til at få adgang til og vil blive undervist i, både online og personligt, i henhold til en Cisco talsmand.
Hvilke fag?
Kurserne er tale om Introduktion til Cybersecurity og Cybersecurity Essentials, som begge kan nu udføres gratis af nogen, som en del af European Cyber Security Awareness Month initiativ.
Enhver kan selv tilmelde dig ved at registrere dig. Det gjorde jeg så, omend hæve et øjenbryn i processen, når jeg indså, at en platform som vært for cybersikkerhed uddannelse ikke insistere på en stærk, kompleks adgangskode-sandsynligvis ikke den bedste start, men vi er her for at lære om en sådan praksis, højre?
Introduktion til Cybersecurity
Det første kursus, der begyndte med et af de elementer, der er vigtige at forstå, hvis du er til at forbinde prikkerne, når det kommer til digital kriminalitet: data.
Morskab over adgangskode element er afsat til at gennemføre kurset gennem perspektivet af en tidligere lærer, de materialer, der er lagt ud i mundrette bidder, klare, med en let-at-følge layout.
Kurset er USA-centreret; for eksempel, når vi diskuterer, hvad, hvordan og struktur af data, og mange af de eksempler, der er givet var OS-fokuseret — som forklarer, hvordan det tyveri af den årlige selvangivelse oplysninger kan blive brugt til at bedrage IRS-men det budskab var klart: data er værdifulde, og i de forkerte hænder, kan blive misbrugt, med henblik på identitetstyveri og meget mere.
CNET: Twitter-beskeder til russisk cybersecurity firma hjalp NSA lækage probe
Materialet er flyttet fra hvilke typer af personoplysninger kan gøre op en virtuel identitet til hvilke oplysninger der er afholdt af virksomheder og finansielle systemer.
En del af kurset, så der er omfattet IoT og Big Data, der i grand ordningen af ting, der egentlig ikke er relevante for en bobby på gaden beskæftiger sig med en ældre person, der netop er blevet snydt ud af deres liv besparelser ved at en kriminel, der har sendt dem en e-mail, der hævder at de vandt det spanske lotteri.
Den Fortrolighed, Integritet og Tilgængelighed (CAD ) triade blev derefter drøftet, hvilken Cisco kalder “retningslinje for informationssikkerhed for en organisation.”
“For at beskytte en organisation fra alle mulige cyberangreb er ikke muligt, for et par grunde. Den nødvendige ekspertise til at opstille og vedligeholde det sikre netværk kan være dyrt. Angribere, der vil altid fortsætte med at finde nye måder at målrette netværk. I sidste ende, en avanceret og målrettet cyberattack vil lykkes. De prioriterede vil så være, hvor hurtigt din sikkerhed team kan reagere på angrebet for at minimere tab af data, nedetid, og indtægter.” – Introduktion til Cybersecurity
– Kontrolsummer — et middel til at validere integriteten af filer — og hashes blev derefter undersøgt, fører til en online-lab test til at sammenligne data med hashes.
På dette tidspunkt blev jeg lidt mismodig med kurset. Mens en god, grundig vejledning til de grundlæggende principper for cybersikkerhed, der var lidt over en udforskning af begrebet data, der kunne anses for at være relevant.
Sidst, men emnet for phishing kom op.
Phishing er brugen af falske meddelelser for at lokke modtageren til at klikke på et link, kan du besøge en ondsindet domæne, udlevere følsomme oplysninger, eller downloade ondsindet dokumenter, der er indlejret med malware nyttelast.
Dette er en meget fælles angreb, og man oplevede ved den brede offentlighed på en daglig basis. Svindlere vil udgive alle fra banker og finansielle tjenester, der opererer i det forenede KONGERIGE — som Lloyds, Barclays, Mastercard, og Visa-til det BRITISKE Student Lån Selskab (SLC) og her Majesty ‘ s Revenue and Customs (HMRC).
Problemet er udbredt nok til, at organisationer, herunder HMRC har været tvunget til at udstede advarsler mod sådanne spam og har udgivet eksempler på, hvad man skal kigge efter.
HMRC
Det er ikke bare sendt phishing-kampagner, at forbrugerne — og den kraft, — skal være opmærksom på. Sms-beskeder, social medie links, og selv kolde opkald, der bruger telefon nummer spoofing og maskerade som legitime services er alle fælles fidus teknikker.
I denne del af kurset, er det materiale, præcist beskrevet, hvordan phishing-angreb forekommer, hvad de kan inddrage — selv om der var nogen omtale af “social engineering” — og har brugt 2015 LastPass data, brud, som bruger data blev kompromitteret på grund af svage passwords som et eksempel.
Social engineering bør ikke blive overset. Mens det er nævnt kort senere i forløbet, at der lægges mere vægt på social engineering bør fremhæves for denne særlige undersøgelse gruppen.
Social engineering er en sammenfattende betegnelse for metoder, som angribere, kriminelle og svindlere vil bruge til psykologisk manipulere et mål.
Dette angreb metode, der kræver menneskelig interaktion. En svindler kan foregive, at de er ansat i en virksomhed eller organisation, en ven, eller en anden pålidelig kilde.
Den Facebook-indlæg, som beder om hjælp til et døende barn; e-mailen fra løn, der er et presserende behov dine bankoplysninger, så du kan være betalt; opkald fra skattekontoret, hvor en person kræver, at man straks betale et gebyr eller at risikere fængsel — alle disse fupnumre har til formål at fremkalde en følelse som sorg eller panik til at skubbe offeret til at udlevere penge eller fortrolige oplysninger.
I det forenede KONGERIGE, nogle af de mest almindelige former for social engineering-assisteret svindel er forsikring og lotteri svindel, falske pensionsordninger og hverve; og copycat bedrageriske hjemmesider — som i det seneste tilfælde af et par, der var fængslet for 35 år efter at £37 millioner fra salg af falske pas og kørekort gennem falske BRITISKE regering portaler.
Efter at have udforsket phishing, et par eksempler blev givet af de seneste brud på sikkerheden, herunder Equifax og Vtech, hvilket førte til et laboratorium klasse om, hvordan til at opsnuse fakta og finde andre nylige hændelser.
Men de eksempler, der er givet i en klodset format, som efter min mening er det ikke let fordøjet af en elev, og antages tekniske viden af vilkår, som ikke var blevet undersøgt. (En ordliste på dette punkt ville have hjulpet.)
Kurset så der er omfattet følgende:
Forskellige former for trusler og hacker-typer, som hvid, grå og sort forklaret
Historien om cyberwarfare, herunder en diskussion af Stuxnet
Sikkerhedshuller, typer, såsom ikke-valideret input fejl, buffer overflow fejl, og “race” – betingelser
Typer af malware, herunder spyware, adware, ransomware og Trojanske heste. Man-in-the-Middle (MITM) angreb, var også inkluderet under malware paraply, hvilket kan være forvirrende.
Wi-Fi-angreb, packet sniffing
Denial of service (DoS) – angreb
SEO forgiftning
OAuth 2.0
Cybersecurity værktøjer & praksis: firewalls, proxy-servere, port scanning, incident response. honeypots, og dræbe kæder.
Interessant, men ikke relevant i mange tilfælde lov håndhævelse-medmindre de er ved at blive uddannet til at specialisere sig som kriminelle efterforskere i cybersecurity rige.
Der var så et kapitel beskriver grundlæggende sikkerhed, rådgivning, to-faktor-autentificering (2FA), de risici, der er offentlige Wi-Fi udgør, og hvordan man skaber en stærk komplekse passwords.
Jeg fandt den næste fase i forløbet noget morsomt: en how-to på kryptering, backup, browser incognito-tilstand, og sletning af data. Da mit hjemland er skaberen af Snooper ‘ s Charter, og det har ført krig på brugen af kryptering, som din gennemsnitlige officer bliver undervist i, hvordan man bruger disse teknologier, der gjorde lynhurtig et smil.
Men det følgende kapitel var vigtige: en guide til online adfærd: hvad anses for risikabelt — som dårlige passwords, oversharing på sociale medier, og brug af offentlige Wi-Fi-og hvordan den enkelte kan forbedre deres generelle cybersecurity holdning.
Det er denne form for materiale, som er afgørende for dagens lov håndhævelse. Digitale services er nu fast viklet ind i vores liv, og der kan være mellem generationer afbryder og uddannelse mangler, i alle aldre, som kan åbne os op til at udnytte af kyndige it-kriminelle.
Min interesse blev også vakt når sætningen “retlige spørgsmål” kom op. Jeg havde håbet at se en kort oversigt eller to på nuværende BRITISKE lovgivning om cyberintrusions, svig, og i tilfælde af finansielle tyveri, hvilke ofre kan kræve pengene tilbage, og hvem de skal snakke med.
Desværre var dette ikke at være.
Kort sagt, de mest relevante BRITISKE lovgivning omkring cybersikkerhed er:
Generel Forordning om databeskyttelse (GDPR): En opgradering på den BRITISKE Data Protection Act 1998, GDPR nu håndhæver et strengt sæt af regler for lagring af data og udveksling inden for den Europæiske Union. BRITISKE virksomheder skal tage passende skridt til at beskytte data, og kun gemme, hvad der er nødvendigt eller står over for en stor bøde. I det mindste for nu.
Sikkerhed-Netværk & Information Systems Regler NIS (Forordninger): der er Fastsat i 2018, NIS Forskrifter kræver, at STORBRITANNIEN operatører i kritiske tjenester-såsom energi, transport, sundhed og — at forbedre deres cybersecurity praksis.
Computer Misbrug Act (CMA): Denne 1990erne loven er i dag STORBRITANNIENS vigtigste måde til at retsforfølge hackere. På CMA ‘kan bruges til at retsforfølge cyberkriminelle for at opnå uautoriseret adgang til Pc’ er og forårsager skader på maskiner. Det er dog kun 47 tilfælde af ulovlig hacking resulteret i, at retsforfølgning i 2017.
Kurset, i stedet givet en kort oversigt over retlige spørgsmål; personlige, virksomhedens og internationalt. Men disse var baseret på adfærd af potentielle hackere og konsekvenserne af ulovligt at bryde ind i systemer, snarere end noget konkret, eller hvad der kan gøres ved lov håndhævelse sig for at opspore gerningsmændene.
Alt i alt, data, phishing, online-risiko adfærd, og en adgangskode, brug af de mest relevante emner til håndhævelse af loven udforsket hele forløbet. Men, historiske cyberwarfare, sikkerhedshuller, OAuth, cybersecurity professionelle værktøjer, og langt flere emner, der ikke var egnet.
Alt i alt, er det selvfølgelig kunne være kondenseret til flere sider for at fastholde relevans for retshåndhævelse.
Cybersecurity-Essentials
Efter en kort introduktion nævne historien om hacking og Sun Tzu ‘ s krigskunsten, og dette kursus har dykket i mere i dybden detaljer om emner, som allerede havde været omfattet af den i indledningen.
Meget af kurset blev genbrugt, sådan som en udforskning af den slags hackere, der findes, data typer og risikofaktorer, Big Data & IoT, og de typer af eksterne og insider-trusler på arbejdspladserne i dag.
Der var en kort diskussion om advanced persistent threats (S), der sandsynligvis ville være af interesse for de studerende samt oplysninger om principper for sikkerhed, data stater og integritet af data, sikkerhedsforanstaltninger, adgangskontroller, og en mere detaljeret explainer på malware-typer og familier.
Nogle afsnit omfatter lab øvelser til praktisk anvende det, du lærer, og disse opgaver er med cement kursets indhold.
“Du behøver ikke engang at være medarbejder til at være genstand for cybersikkerhed love. I dit eget liv, du kan have mulighed for og evner til at hacke en anden persons computer eller et netværk. Der er et gammelt ordsprog, “Bare fordi man kan, betyder ikke, du skal.” Holde dette i tankerne. De fleste hackere vil efterlade spor, om de ved det eller ej, og disse spor kan følges tilbage til hackeren.
Cybersecurity fagfolk, udvikle mange evner, som kan bruges til godt eller ondt. Dem, der bruger deres færdigheder inden for det juridiske system, for at beskytte infrastruktur, netværk og beskyttelse af personlige oplysninger er altid i høj efterspørgsel.” – Cybersecurity Essentials
Dette kursus er meget gearet til at blive sikkerhed forskere, snarere end fagfolk inden for andre områder, der har brug for en cybersecurity grundlag for at formidle oplysninger til offentligheden og til at beskæftige sig med straffesager.
Må ikke få mig forkert: det er en fremragende vejledning og vil give eleverne en stabil fundament for at sætte gang i en potentiel karriere i internetsikkerhed. Materialet undersøges også, cybersecurity specielle områder, rammer, faglige organisationer og industrien certificeringer, som kun kan være nyttigt at aspiranter.
Men dybdegående dækning af Telnet, SSH, pakke opsporing, kryptografi, og steganografi er ikke påkrævet for generel lov håndhævelse.
Dommen
De kurser, der selv er-for det meste — let fordøjelig, klart og godt skrevet explainers om de grundlæggende foundation og af cybersecurity risici, forskning og karriere muligheder i dag. Men som pædagogiske redskaber for dagens lov håndhævelse, kun et par afsnit, der er relevant eller relevant, og der er en masse arbejde der skal gøres, hvis håndhævelse af loven kommer til at få mest muligt ud af deres studier.
I henhold til Cisco, at programmet er stadig i de tidlige stadier, og mange detaljer stadig mangler at blive fastlagt. Jeg håber at se mere vægt på en fælles svindel, det forenede kongeriges lovgivning, og hvilke oplysninger der skal formidles til offentligheden, til at uddanne dem om risikable online adfærd-samt hvem de skal henvende sig til i tilfælde af svig og vellykkede angreb.
Dog, hvis du er interesseret i at tage et par indledende kurser til verden for sikkerheden på internettet, vil jeg anbefale at tilmelde dig.
“Mens der vil være et stærkt fokus på it-sikkerhed og netværk, men områder som Internet af ting, programmering og styresystemer kan også være dækket,” talsmand sagde. “Jeg kan forestille mig, at der er en vis fleksibilitet med hensyn til, hvilke aspekter af de kurser, som medarbejdere kan tage.”
Tidligere og relaterede dækning
Iranske hackere er mistænkt i den globale DNS-hijacking campaignOXO Internationale videregiver data, brud, kunde data over to år påvirket Zerodium nu vil betale $2 millioner til Apple iOS-fjernbetjening jailbreaks
Relaterede Emner:
Det Forenede Kongerige
Sikkerhed-TV
Data Management
CXO
Datacentre
0