Nur weil Ihr Unternehmen ist langweilig, bedeutet nicht, dass sie nicht aus, um Sie zu bekommen

Viele Unternehmen denken, das wird mir nicht passieren, weil ich keine interessanten Informationen veröffentliche. Aber sie irren sich. Die Wahrscheinlichkeit, dass ein Cyber-Attack auftritt, liegt bei etwa 10 Prozent pro Jahr für alle Nutzer, es gibt keine Ausnahmen “, sagt Sicherheitsexperte Manel Medina,” In der IT gibt es kein Risiko oder absolute Sicherheit Mercè Molist ist sich schon seit einiger Zeit bewusst.

Identitätsdiebstahl

Spearphishing und wie man es stoppt: Einige Lehren aus AusCERT, Privatsphäre: Man kann es persönliche Daten nennen, aber wer besitzt es eigentlich? “, Zeigt Kaspersky” fast unsichtbaren “Hackangriff auf seine Systeme

Seit dem Beginn des Internetzeitalters ist Medina an der Sicherheit beteiligt. Er ist Gründer von esCERT-UPC, dem spanischen Computer-Emergency-Response-Team und dessen Direktor seit seiner Gründung seit 1994. Er ist auch wissenschaftlicher Koordinator des Europäischen Kapitels der Anti-Phishing-Arbeitsgruppe (APWG.eu) Ein beratendes Mitglied des ISMS Forum Spain (die spanische Vereinigung für die Förderung der Informationssicherheit).

Molist ist ein Journalist, spezialisiert auf Computersicherheit. Sie ist begeistert von Hacker-Kultur, Co-Veranstalter des ersten spanischen Hackmeeting und Autor einer Geschichte der Hacker-U-Bahn auf der Iberischen Halbinsel.

Das Paar hat beschlossen, ihre Kenntnisse zu bündeln und erklärt, warum Sicherheit so fundamental für alle Unternehmen, unabhängig von ihrer Größe, in einem neuen Buch namens Cibercrimen geworden ist.

“Wir wollten es mit realen Beispielen erklären, die in den Nachrichten waren, das Bewusstsein dafür zu schärfen, dass jeder seinen Computer oder Ihr Telefon hacken lassen kann, ohne sich dessen bewusst zu sein”, sagte Medina.

“Viele Unternehmen denken” das wird mir nicht passieren, weil ich nicht interessante Informationen veröffentliche “, aber sie sind falsch.Die Wahrscheinlichkeit eines Cyber-Angriffs auftritt, ist etwa 10 Prozent pro Jahr, für alle Benutzer, keine Ausnahmen Strategischer Wert und Kriminelle sind nicht die einzigen Menschen, die daran interessiert sind.

Der jüngste Diebstahl von personenbezogenen Daten von mindestens vier Millionen derzeitigen und ehemaligen Bundesarbeitskräften in der Obama-Regierung unterstreicht Medina. Nicht einmal ein Team von über 500 Personen, das Daten aus einem Sicherheitsprogramm namens EINSTEIN analysiert, das seit 2008 von US-Regierungsbehörden benutzt wird, um unbefugte Intrusionen und ungewöhnlichen Verkehr zu erkennen, könnte die Sicherheit von Regierungssystemen garantieren.

Was schief gelaufen ist? Warum war es unmöglich, den Verkehr, der durch ein Spyware-Programm, möglicherweise in China entwickelt entwickelt?

Die Autoren des Buches haben unterschiedliche Hypothesen: Die Spyware kann auf den Systemen der Organisation vorhanden sein, aber nicht sammeln Informationen für einige Zeit, so dass es unerkannt bleiben, oder es kann direkt auf einem der Agentur Computer eingeführt werden, so dass die Spyware Um die üblichen Netzwerk-Sicherheitstools zu umgehen, die entworfen wurden, um solche Malware in ihren Spuren zu stoppen.

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter

Der Angriff ist weit von dem ersten derartigen Vorfall, um US-Systeme zu treffen. In ihrem Buch, Medina und Molist Highlight, dass im vergangenen Jahr in den USA gab es 621 große Zwischenfälle, was in der Diebstahl von 77.890.487 Benutzer Datensätze.

Allein der Finanzsektor berichtete von 24 Vorfällen, die fast 1,2 Millionen Kundenrekorde beeinträchtigten und der Handelssektor 215 Vorfälle mit 64 Millionen gestohlenen Rekorden aufwies. In Europa hat die ENISA (die Agentur für Netz- und Informationssicherheit der Europäischen Union), eine Organisation, in der Medina früher stellvertretende Leiterin der Abteilung für technische Kompetenz war, gewarnt, dass der Diebstahl personenbezogener Daten jährlich um 25 Prozent zunimmt.

“[Details von] eine Kreditkarte für € 1 oder € 2 und eine klinische Geschichte für € 8 oder € 10 verkauft werden”, sagte Medina, zuzugeben, dass es besorgniserregend sein kann, darüber nachzudenken, was mit einer so großen Menge an sensiblen getan werden kann Information.

Während “wir immer noch leicht täuschen”, nach Molist, die Zahl der Phishing-Angriffe, um die persönliche Identität der Nutzer und finanzielle Konto Anmeldeinformationen zu stehlen ist immer noch auf der Straße und Kriminelle müssen ihr Verhalten anpassen, um mehr Opfer zu locken.

“Zwischen 2004 und 2010 war Spanien eine globale Macht in Phishing-Attacken und keine spanische Bank wurde verschont … Die Phishing-Kampagnen wurden von nicht-spanischen Eingeborenen gestartet und aus diesem Grund waren die Phishing-Angriffe nicht sehr erfolgreich Die Sprachen, die am häufigsten im Internet verwendet werden, und die Ansprache von Spanisch sprechenden Opfern war ein zentrales Ziel der Verbrecher, aber sie mussten entdecken, dass es signifikante Unterschiede zwischen den Spaniern in jedem Land gesprochen “, sagte Medina.

Sobald sie diese Frage angesprochen hatten, waren die Botschaften auf die Besonderheiten jedes Landes zugeschnitten und sie waren viel erfolgreicher.

Da Benutzer immer häufiger mit gefälschten E-Mails vertraut sind, die aus ihrer Bank zu kommen scheinen, müssen E-Mail-Angriffe entwickelt werden, die das Wachstum von Speer-Phishing veranlassen. Derzeit spear Phishing, wo Angriffe gehont werden, um bestimmte Personen oder Unternehmen anzugreifen, hat eine Erfolgsrate 10 oder 100 mal, dass der Standard-Phishing, nach den Autoren des Buches.

“Für mittlere bis große Unternehmen, die für Kriminelle attraktiv sind, ist es ein großes Sicherheitsproblem. Für kleinere Unternehmen ist das Hauptproblem die Datenentführung, nämlich die Ransomware”, sagte Medina.

Ransomware verschlüsselt die Daten eines Benutzers und verlangt von seinem Besitzer die Übergabe von Bargeld als Gegenleistung für den Schlüssel, um die Informationen zu entschlüsseln. Die Autoren von Cibercrimen sagen, das Phänomen begann mit der Ankunft von Cryptolocker Malware im Jahr 2013 und rufen ransomware “eine globale Geißel”, die “ruinieren kann ein Unternehmen.

“Wenn Sie zahlen, haben Sie eine 90-prozentige Chance, die Informationen abzurufen, aber Kriminelle können auch etwas auf Ihrem Computer zu erpressen Sie wieder in die Zukunft”, sagte Medina.

Also, was zu tun? Die wichtigste Verteidigungslinie eines Unternehmens sollte es sein, “nachzudenken, zu überprüfen und zu kontrastieren”, so Molist und Medina. Einfach gesagt, das ist “denken, bevor Sie klicken” und wenn im Zweifel, gehen Sie zurück an die Quelle der E-Mail – Ihre Bank oder Mitarbeiter – über einen anderen Kanal, wie auf dem Handy, und überprüfen Sie, ob sie wirklich versuchen zu kontaktieren Sie. Und natürlich haben wir ein regelmäßig aktualisiertes, aktives und richtig konfiguriertes Antivirenpaket und eine Firewall.

Diese Beratung erstreckt sich auf mobile Geräte sowie PCs und Laptops. Laut Medina fangen Angriffe auf mobile Endgeräte an, diese Ziel-Desktops zu überholen. Mobile Angriffe sind ein besonderes Problem für Online-Banking, da die Leute das gleiche Gerät verwenden, um auf die Website oder App der Bank zuzugreifen und die SMS-Benachrichtigung zu erhalten, die sie für die Zwei-Faktor-Authentifizierung für denselben Dienst verwenden.

“Wir haben uns an eine Politik der Bestrafung gewöhnt, anstatt Ausbildung und verantwortliches Verhalten zu fördern”, sagte Medina.

Soziale Entwicklung

Schutz

Es gibt eine Reihe von neuen sicheren Optionen auf dem Land. Aber wie privat sind sie wirklich?

“Regierungsbehörden bestrafen Organisationen, die ihre Systeme nicht sicher halten können … Nehmen Sie beispielsweise die Datenschutzbehörde, die ihre Geldstrafen nur auf die Auswirkungen einer Verletzung stützt, anstatt die Stärke des Angriffs, die Bereitschaft, zu berücksichtigen Der Opferorganisation oder die Maßnahmen, die die Organisation ergreift, um die Auswirkungen abzuschwächen oder die Bedrohung zu erkennen oder zu verhindern “, sagte Medina.

Er fordert die Einrichtung von lokalen oder regionalen IT-Sicherheitsbeauftragten (CSIRT), die von Organisationen wie CESICAT (Catalan Information Security Centre), INCIBE (CIP-EU ENISA) (Computer Emergency Response Team für EU-Institutionen) koordiniert werden ) Oder EUROPOL und EC3 (European Cybercrime Centre). Während keine der Organisationen über ausreichende Mittel verfügt, um alle KMU direkt zu unterstützen, könnten sie letztlich dazu beitragen, Fachleute auszubilden, die kleine Unternehmen zu einem fairen Preis anbieten könnten.

Mit der Popularität von sozialen Netzwerken und dem frühen Wachstum des Internet der Dinge (IoT), die Daten, die Unternehmen schützen müssen, ist immer größer und immer vielfältiger.

Im Januar 2014 stellte sich heraus, dass Kühlschränke, Fernseher und andere Geräte Weihnachten mit Hunderttausenden von Spam-Nachrichten verbrachten. Die Suchmaschine Shodan.ie warnte vor ein paar Jahren, dass es Millionen von Geräten mit dem Internet verbunden mit einfachen Passwörtern wie 1234. Während Benutzer sind kein Fremder zu schrecklichen Passwort-Sicherheit, Passwörter auf Geräte sind oft durch den Hersteller bestimmt und kann Nicht geändert werden, sagte Molist. Es ist klar, dass das Prinzip der Einführung von “Sicherheit durch Design” in Produkte noch lange nicht abgeschlossen ist.

Für die Medina, die derzeit Professorin an der Polytechnischen Universität Katalonien (UPC) ist, sollten die Europäer von den Cloud-Dienstleistern verlangen, Daten über den europäischen Boden aufzubewahren, um sicherzustellen, dass die Datenschutzrichtlinie gewahrt wird Dass sie aktualisierte und geschützte Server “, sagte er.

Von den kleinsten Unternehmen zu den heutigen Tech-Riesen, Sicherheit muss immer vor dem Geist sein.

Sicherheit

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer