Eftersom mobile computing få ett slut på den gamla goda tiden när IT-avdelningar hade absolut kontroll över mjukvara som sätts in i företaget, har det skett en ökning av de anställdas användning av tredje part-en uppgång som utgör säkerhet risker för företagsmiljöer.
Det är en av slutsatserna i en rapport
CloudLock släpptes i förra veckan.
Antalet appar från tredje part som är anslutna till företagets miljöer ökade med 30 gånger under de senaste två åren har företaget redovisat, från 5 500 till 150 000 appar.
CloudLock rankad mer än en fjärdedel av de appar som finns i näringslivet (27 procent) som “hög risk”, vilket innebär att de var mer benägna än andra program att öppna vägar in i en organisation för cyberbrottslingar.
Företag har inte ignoreras, att fara, CloudMark forskarna fann också. Mer än hälften av appar från tredje part förbjöds på många arbetsplatser på grund av säkerhets-relaterade problem.
Farligt Tillstånd
Alla appar från tredje part kan utgöra en risk för företaget, men en specifik delmängd av appar som är särskilt riskabla, enligt Ayse Kaya-Firat, chef för kundinsikt och analytics på CloudLock.
“De appar som berör företagets ryggrad är den mest riskfyllda av alla skugga program,” sade hon till TechNewsWorld.
Problem uppstår från de typer av åtkomst till de appar begäran från användare, Kaya-Firat noteras. “När du vill använda dem, några av dem att be dig att tillåta dem att använda ditt företags inloggningsuppgifter. När du gör det ger du dem apps-och i förlängningen deras leverantörer-tillgång till företagsnätverket.”
Appar som kan utgöra en risk, inte bara när de är som används, men även när de inte är.
“Jag kan göra det möjligt för en app åtkomst och två år senare, kan jag inte ens kom ihåg att jag har appen på min telefon, men appen fortsätter att ha en programmatisk åtkomst till alla mina data”, Kaya-Firat sagt.
På grund av storleken på utmaningen, organisationer behöver utveckla en strategi på hög nivå för att ta itu skuggan app problem.
“De kan inte bara gå över varje ansökan, en efter en, på grund av tillväxt. De behöver särskilda program-använda-politik. De måste bestämma hur de kommer att vitlista eller förbud program,” Kaya-Firat föreslås.
“De behöver för att dela med sig av dessa beslut med sina slutanvändare,” tillade hon. “Det kan inte vara en hemlig sak, eftersom slutanvändarna är att vidta åtgärder på dessa saker på en dag-till-dag-basis.”
Lösa Läppar Handfat Hackare
Det är ingen hemlighet att den information underjorden ofta antar tekniker, processer och modeller från den legitima världen för brottsliga ändamål. Så är fallet med Verksamheter Säkerhet, eller Opsec.
Tanken bakom Opsec är en gammal man: Neka din motståndare information som de kan använda för att skada dig. För hackare, som innebär att förneka myndigheter intelligens som kan leda till upptäckt av deras aktiviteter, nedmontering av deras attack infrastruktur, och för exponering av deras äventyras miljöer.
Cyberbrottslingar motion Opsec i ett antal olika sätt, konstaterade Rick Holland, vice president strategy på
Digitala Skuggor.
Till exempel, de skapar “legender” om sig själva, det är falska identiteter för att hindra tillämpning av lagen, även andra hackers från att spåra dem.
“De som har en gammal Opsec inte kommer att använda något som band dem i deras personliga liv legenden de har skapat,” Holland berättade TechNewsWorld.
De kommer också att försöka dölja identiteten på de arbetsstationer som de använder.
“De kommer att använda specialiserade operativsystem utformat för att bevara anonymitet,” Holland förklaras.
De kommer att försöka att smyga med nätverksanslutningar.
“De kommer att göra deras onda från offentliga hotspots och spolat sina MAC-adressen så att de inte kan spåras från de stockar som “hotspot”,” Holland har sagt.
Som en del av medlen för att upprätthålla Opsec bli mer sårbara för kompromiss — som har hänt med Tor och bitcoin — hackare kommer att behöva anta en annan legitim teknik för att bevara sin säkerhet.
“It-kommer behovet av att anta ett” försvar på djupet “- strategi”, säger Holland. “Det är något de behöver för att göra hela sitt spektrum av människor, processer och teknik.”
Skriva Hacker Handbok
Ransomware inte bara har lockat till sig många utövare i den information underjorden, men har också förändrats länge haft förväntningar om att generera vinst från online-bedrägerier.
“Ransomware har förändrat hela modell för hur dessa kriminella företag tjäna pengar,” sade Ed Cabrera, vice president, strategi för it-säkerhet på Trend Micro.
“Om man tittar på den kriminella handbok om hur man kan tjäna pengar, det första kapitlet är inriktat, i det andra kapitlet är attacken-men det finns flera kapitel som handlar om hur man kan tjäna pengar på de data som är stulen”, sa han till TechNewsWorld.
“Det brukar ta veckor eller månader att tjäna pengar på att data,” Cabrera fortsatte. “Ransomware är som direkt försäljning. De går efter ett offer, och att de kan tjäna pengar på i dagar.” [*Korrigering – Juni 24, 2016]
Brott Dagbok
- 13 juni. T-Mobile bekräftar att en anställd i tjeckien försökt att stjäla och sälja kund marknadsföring data för landet. Nyheter rapporter peg antalet drabbade användare på 1,5 miljoner.
- Den 14 juni. FICO inköp QuadMetrics med ett öga mot att skapa en “enterprise security poäng” som kan användas av företag för att mäta sina risker på internet och hantera risker från utomstående entreprenörer.
- Den 14 juni. Hartford Ångpanna och Inspektion Företaget meddelat att den första it-säkerhet insurance program för konsumenterna. Programmet täckning omfattar skydd mot datorn och hem-system attacker, cyber utpressning, dataintrång förluster och bedrägerier online.
- Den 15 juni. Home Depot filer federal stämningsansökan mot Visa och MasterCard hävdar att de företag som använder säkerhetsåtgärder för sina betalkort som är benägna till bedrägeri och att sätta återförsäljare och kunder information på risk.
- Den 15 juni. IBM och Ponemon Institute rapport genomsnittliga kostnaden för ett dataintrång har ökat med 29 procent sedan 2013 till 4 miljoner usd per överträdelse.
- Den 15 juni. Staden Genève, Schweiz, meddelar att man har gripit en misstänkt som är ansluten till data läcka vid Panamas advokatbyrå Mossack Fonseca, som ledde till avgång av Islands premiärminister och ett antal statliga utredningar av skatteflykt genom “skal företag.”
- 16 juni. En hackare med handtag “Guccifer 2.0” på sig ansvaret för att ha stulit digitala filer från det Demokratiska partiets Nationella Kommitté och publicera dem på nätet. Tidigare i veckan, CrowdStrike tillskrivs dataintrång till ryska hackare.
- 17 juni. GitHub har börjat återställa en hemlig antalet lösenord om konton där de lösenord var en del av dataintrång soptippar från andra webbplatser, Infoworld rapporter.
- 17 juni. Acer lanserar personlig information för en hemlig antalet användare som utfört transaktioner på sin online-butik mellan Maj 12, 2015 och April 28, 2016, är i riskzonen från ett dataintrång.
Kommande Evenemang Säkerhet
- Den 23 juni. Lärande i Säkerhet att: Upptäcka Signal Säljaren Buller. Klockan ET. Webinar av Agari. Gratis vid registrering.
- Den 23 juni. Stoppa Brott med Holistisk Säkerhet Synlighet. 2 p.m. ET. Webinar sponsras av Cyphort. Gratis vid registrering.
- Den 23 juni. Säkra Agile IT: Vanliga Fallgropar, Bästa Praxis och Överraskningar. 3 p.m. ET. Webinar sponsras av 451 Forskning och CloudPassage. Gratis vid registrering.
- 25 juni. B-Sidor Och Aten. Stanley Hotel, 1 Odisseos Str., Karaiskaki Square, Metaxourghio, 10436, Aten, Grekland. Biljetter: gratis, men närvaro är begränsad.
- 25 juni. B-Sidor Och Cleveland. B-Sidan Liquor Lounge & Grogg Butik, 2785 Euklides Höjder Blvd., Cleveland Heights, Ohio. Biljetter: gratis, säljs ut, med T-shirt, $5.
- Juni 27-29. Fjärde årliga It-Säkerhet för Olja & Gas. DoubleTree by Hilton, 6 Greenway Plaza East Houston. Registrering: viktigaste konferens, $2,295, konferens och workshops, $3,895, enda verkstad, $549.
- 27 Juni-1 Juli. Appsec Eu. Rome Marriott Park Hotel, Colonnello Tommaso Masala, 54 Rom, Italien. Anmälan: medlemmar, 599 euro. ickemedlem, 610 euro; student, 91.50 euro.
- 27 Juni-1 Juli. Hack i Paris. Maison de la Chimie, 28 Rue Saint-Dominique, 75007 Paris. Biljetter: innan den 5 April, 288 euro, studerande eller arbetslös, 72 euro. Innan den 9 juni, 384 euro, studerande eller arbetslös, 108 euro. Efter den 8 juni 460.80 euro.
- 28 juni. AuthentiThings: Fallgropar och Löften om Autentisering i sakernas internet. 10 på morgonen och 1 p.m. ET. Webinar av Iovation. Gratis vid registrering.
- 29 juni. STORBRITANNIEN Cyber Visa Toppmötet 2016 — SS7 & Oseriösa Tornet Kommunikation Attack: Inverkan på den Nationella Säkerheten. The Shard, 32 London Bridge St, London. Registrering: privat sektor, Pounds 320; offentlig sektor, Pounds 280, frivillig sektor, 160 Pounds.
- Den 30 juni. DC/Metro Cyber Security Summit. The Ritz-Carlton Tysons Corner, 1700 Tysons Blvd., McLean, Virginia. Registrering: $250.
- Den 16 juli. B-Sidor Och Detroit. McGregor Memorial Conference Center, Wayne State University, Detroit. Gratis med förväg biljett.
- Juli 23. B-Sidor Asheville. Mojo Coworking, 60 N. Market St, Asheville, North Carolina. Kostnad: $10.
- 30 Juli-Aug. 4. Black Hat USA. Mandalay Bay, Las Vegas, Nevada. Anmälan: före den 23 juli, $2295, innan Aug. 5, $2,595.
- Aug. 25. Chicago Cyber Security Summit. Hyatt Regency Chicago, 151 E. Wacker Drive I Chicago. Registrering: $250.
- Okt. 11-14. OWASP AppSec USA. Renaissance Marriott, 999 9 St NW, Washington, D.C. Registrering: Ickemedlem, $750; student, $80.
- Okt. 17-19. CSX Nordamerika. Den Kosmopolitiska, 3708 Las Vegas Blvd. South, Las Vegas. Anmälan: innan Aug. 11, ISACA medlem, $1,550; ickemedlem, $1,750. Innan Okt. 13, ledamot, $1,750; ickemedlem, sek 1,950. Onsite, ledamot, sek 1,950; ickemedlem, $2,150.
*ECT News Network editor ‘ s note – juni 24, 2016: följande text har tagits bort från vårt ursprungliga utgivna versionen av denna berättelse: “Även om ransomware brottslingar vanligtvis att använda den digitala valutan bitcoin för deras utpressning system, it-brottslighet i fråga om anonymitet har vänt sig till WebMoney, [Trend Micro’ s Ed] Cabrera noteras. “Även om brottsbekämpning under åren har kunnat ta ner andra anonymt betalningssystem, WebMoney är en svårare proposition, eftersom det finns i Ryssland.’”
I själva verket, WebMoney har en multi-level system för autentisering, talesperson Tania Milacheva berättade TechNewsWorld. “Enligt reglerna för WebMoney Transfer, varje system deltagare bör ha en WM-Pass. Användaren fullt ut kan använda systemet tjänster, först efter att hans/hennes personuppgifter kontrolleras, verifieras och han/hon har fått en högre nivå av WebMoney Pass.”
Ytterligare, huvudkontoret är beläget i Cambridge, STORBRITANNIEN. “KONKURRENSVERKET (Financial Conduct Authority) licens som beviljats till WebMoney Europe Ltd. har säkrat bolagets status som e-pengar skall emittenten i alla länder inom Europeiska Ekonomiska Samarbetsområdet,” Milacheva sagt.
Trend Micro senare erkände Cabrera är fel i ett uttalande att TechNewsWorld av talesperson Jerrod Resweber.