Bare dager før Jul, en sjelden hendelse: rapport fra et vellykket innbrudd inn i usas infrastruktur ved utenlandske hackere.
Selv om arrangementet — penetrasjon av kontroll system av en dam 20 km fra New York City — var mer enn to år gamle, er det bare gjort det i det offentlige lys i forrige måned.
Maskering slike hendelser i hemmelighold er standard operasjonsprosedyre for bransjer som bruker kontroll systemer-systemer som brukes til å styre kraftnettet, fabrikker, rørledninger, broer og dammer.
“Vi har sett cyberincidents som ikke offentliggjort, fordi selskapene er bekymret for den skade de kan gjøre det til sitt merkenavn,” sa Barak Perelman, administrerende DIREKTØR i
Indegy.
Air Gap Myte
Mange selskaper som leverer infrastruktur-tjenester tror de kan holde sine kontroll-systemer trygg fra angrep av “air gapping” dem, eller holde dem atskilt fra det offentlige Internett, fortalte han TechNewsWorld.
“Jeg kan fortelle deg at 50 prosent av fasilitetene som besøker vi si at de er air-gapped, men null prosent er faktisk air-gapped,” Perelman sa.
“Det er alltid noen tilkobling til Internett,” sa han. “Det er alltid at teknikeren som ikke ønsker å kjøre til et anlegg på alle timer på natten for nødhjelp og plugger i et modem, slik at han kan koble fra hjemmet.”
Luft-gap myten skaper en falsk følelse av sikkerhet, og som fører til manglende beskyttelse av kontroll-systemer.
“Hvis en hacker får inn i en av de industrielle nettverk, kan han gjøre hva han ønsker å gjøre i dette nettverket,” Perelman sa.
I New York tilfelle, Iranere hackere ansvarlig for hendelsen gjorde ikke skade kontroll-systemer. “Det faktum at de ikke var et spørsmål om valg og ikke evne,” sa han.
Den Røde Knappen
Det er ikke en grunn til å puste lett, men. Mange ganger nasjonalstater montering av en infrastruktur for angrep vil forlate bak en skjult Julegave.
w
“De etterlater seg en” rød knapp ” evne,” Perelman forklart. “Hvis de trenger som evner i fremtiden, enten for forhandling eller en handling av aggresjon, de kan trykke på knappen og føre til fysisk skade.”
Han la til at industrielle systemer som klamrer seg til eldre maskinvare gjøre en hacker er jobben enklere.
Utenfor verden av industriell software, et selskap som Microsoft vil patch sine produkter hver måned, og rulle ut et nytt operativsystem hver to år. Med Windows-10, det vil patch og oppgradere programvaren enda raskere enn det som gjennom auto-oppdatering.
“Når du går til et industrielt nettverk, du vanligvis vil se den samme industrielle kontrollere som ble installert i ’90-tallet,” Perelman sa.
“De kontrollerne som ble utformet da sikkerhet ikke var i andres sinnstilstand,” la han til.
Administrerende Data Offiser
Administrerende data offiserer har eksistert i mindre enn ti år, men med den økte rollen som data i å bidra til mange corporation nederste linjen, de har vært økende i popularitet. Faktisk,
Gartner er spår at innen 2019, 90 prosent av globale foretak vil ha en CDO.
I tillegg til krangel data, en annen faktor kan være fremskynder dannelsen av CDOs: sikkerhet.
På grunn av spredning av data brudd, bedriftsledere prøver å finne ut hvem som er innenfor deres organisasjoner er best rustet til å løse det problemet. Vanligvis, de slår til CIOs, men CIOs kan ikke gjøre jobben alene. De trenger hjelp.
“Som bidrar er ikke til å komme fra at CSO eller CISO fordi de som ledere er opptatt av informasjon systemer. De er fokusert på brannmurer, antivirus og andre ting for å holde hackere ut,” sa Todd Feinman, administrerende DIREKTØR i
Identity Finder.
“Data er et annerledes lag,” fortalte han TechNewsWorld. “Det handler ikke om å hindre at hackere å bryte seg inn.”
CIOs blir trakk seg til det faktum at deres systemer, vil bli penetrert. Hvis det er tilfelle, er det reiser spørsmålet, “Hvordan kan jeg redusere skader når det skjer?”
CDO kan svare på dette spørsmålet ved å identifisere måter å beskytte data.
Data Cop
For eksempel, CDO kan overvåke hvem som har tilgang til data og hvem som skal ha tilgang til data. Mens generelle tilgang til kontrollene vanligvis håndteres av personer med “sikkerhet” i sin tittel, CDOs er i en bedre posisjon til å avgjøre kornet tilgang til dataene fordi de forstår data og som virkelig trenger tilgang til det.
Det samme er sant for foreldede data. “Hvis jeg har en fil som ingen har brukt de siste fem årene, hvorfor er jeg holde det rundt?” Feinman bedt om. “Ved å holde den rundt, det blir en belastning. Det er noe som sitter og venter på å bli stjålet.”
CDO-er også i en bedre posisjon til å pålegge en data regime som kan redusere risikoen for høy verdi opplysninger blir kompromittert.
For eksempel, i løpet av Sony Pictures Entertainment data brudd i 2014, hackere stjal tusenvis av personnummer i hundrevis av filer.
“En sjef data offiser kanskje har sett på den og sa:” Våre fotavtrykk for mengden av SSNs som vi lagrer på flere steder er å skape en meget høy sannsynlighet for at hvis vi noen gang får brutt seg inn, kommer de til å få stjålet,’” Feinman sa.
“Alle SSNs bør være på ett sted,” fortsatte han. “Så er det kanskje en 1 prosent sjanse for at hvis vi får brutt seg inn, noen vil finne personnummer.”
iOS 9.2 Sikkerhet
Hvis du er en iPhone-bruker, har du oppgradert til iOS 9.2 ennå? Hvis ikke — og du er bekymret for sikkerheten — du bør ikke utsette lenger.
Den nye versjonen av iOS har mer enn 50 sikkerhetsoppdateringer. Selv om sikkerhetshull patcher adresse variere i alvorlighetsgrad, må du installere alle av dem på en gang.
“IOS-plattformen er unikt når du sammenligner til det andre store leverandører av programvare, for eksempel Microsoft i at du ikke kan plukke og velge hvilke sikkerhetsoppdateringer til å søke,” bemerket Travis Smith, en senior security research engineer på
Tripwire.
“Du enten må gjelde for alle eller ingen, noe som betyr at til sluttbruker, det er ingen enkelt-sikkerhet løsning som er mer viktig enn de andre,” sa han TechNewsWorld.
Det er ikke en dårlig ting, når man tenker på hvor utfordrende det har vært å utnytte iOS i det siste og svart lue atferd når en batch av patcher sluppet.
“Gitt det faktum at iOS-enheter er notorisk vanskelig å lykkes med å utnytte, er det klokt å vurdere en kjent sårbarhet som viktig,” Smith sa.
“Med lanseringen av disse sikkerhetsproblemene, slemme gutta er i stand til å fokusere sin innsats på områder av enheten som er sårbare,” la han til.
Brudd Dagbok
- Dec. 27. Quincy market, financial Credit Union henger ATM og debetkort tilgang til banksystemet etter å oppdage en MINIBANK for skimming-svindel som påvirkes minst 670 kunder.
- Dec. 28. Security forskere oppdager en database som inneholder informasjon på 191 millioner velgere og offentlig tilgjengelig gratis på Internett. Å gjøre slik informasjon offentlig, kan medføre brudd på lovene i noen stater.
- Dec. 29. British Columbia når en kontant oppgjør for et ukjent beløp i en urettmessig oppsigelse søksmål to helse forskere arkivert. De var blant åtte sparken etter en data brudd på helse -, forsknings-byrå.
- Dec. 30. Microsoft avslører det har også vedtatt å melde sin e-post til kunder når det mistenkte deres kontoer som er under angrep fra en nasjon-stat.
- Dec. 30. Lier, en barne-byrå, varsler nesten 1000 kunder og ansatte at deres personlige informasjon er i fare etter at det ble oppdaget at en tidligere ansatt på fem anledninger sendt ukrypterte filer som inneholder informasjon til e-post-adresser som ikke tilknyttede med Åssidene.
- Dec. 31. Keller Rohrback filer a class action søksmål mot VTech Elektronikk Nord-Amerika over et brudd som utsettes data av mer enn 10 millioner foreldre, foresatte og mindreårige barn.
- Dec. 31. BBC nettsteder var utilgjengelig i flere timer i det som ser ut til å være et distribuert denial-of-service angrep. En gruppe som kaller seg Ny Verden Hacking senere tatt på seg ansvaret for angrepet.
- Dec. 31. CCH Konsernet rapporterer IRS fritar fra beskatning identitet forebygging beskyttelse tjenester gitt ansatte eller andre før en data brudd oppstår.
- Dec. 31. Utenriksdepartementet utgivelser mindre enn 65 prosent av 4,800 meldinger fra Hillary Clintons egen e-post server tidligere bestilt utgitt av en føderal dommer. I e-post utgitt, 8.6 prosent ble bearbeidet i sin helhet eller i deler.
- Jan. 1. Network security-selskapet Cyberoam bekrefter en data brudd på sine systemer. En sikkerhet forsker rapportert 100 millioner plater fra Cyberoam ble tilbudt for salg på det mørke Nettet for 100 bitcoins (US$43,000).
Kommende Sikkerhetshendelser
- Jan. 14. PrivacyCon. Grunnloven Sentrum, 400 7th St. SW, Washington, D.C. Sponset av Federal Trade Commission. Gratis.
- Jan. 16. B-Sider New York City. John Jay College of Criminal Justice, 524 Vest 59th St., New York. Gratis.
- Jan. 18. B-Sider Columbus. Leger Sykehus Vest, 5100 W Bred St., Columbus, Ohio. Registrering: $25.
- Jan. 21. Fra Skadelig å Utilsiktede — Bekjempe Insider Trusler. 1:30 pm ET. Webinar sponset av MeriTalk , DLT, og Symantec. Gratis registrering.
- Jan. 22. B-Sider Lagos. Sheraton Hotell, 30 Mobolaji Bank Anthony Måte, Airport Road, Ikeja, Lagos, Nigeria. Gratis.
- Jan. 26. Cyber Security: The Business View. 11 am CET. Mørk Lesing webinar. Gratis registrering.
- Jan. 28. State of the Phish-En 360-Graders Utsikt. 1 pm ET. Webinar sponset sponset av Wombat sikkerhetsteknologier. Gratis registrering.
- Feb. 5-6. B-Sider Huntsville. Dynetics, 1004 Explorer Blvd., I Huntsville, Alabama. Gratis.
- Feb. 16. Architecting den Hellige Gral av Network Security. 1 pm ET. Webinar sponset av Toppene Sikkerhet. Gratis registrering.
- 18. mars. Gartner Identity and Access Management Summit. London, STORBRITANNIA. Registrering: før Jan 23, 2,225 euro pluss MOMS, og etter Jan. 22, 2,550 euro pluss MOMS; offentlig sektor. $1,950, – pluss MVA.
- Juni 13-16. Gartner Sikkerhet Og Risikostyring Toppmøtet. Gaylord National Resort & Convention Center, 201 Waterfront St., National Harbor, Maryland. Registrering: før April 16, $2,950; etter April 15, $3,150; offentlig sektor, $2,595.
