Si un ataque se monetiza con éxito, espere que se produzcan ataques similares:Algunos pasos de seguridad preventivos

Ted Harrington de evaluadores de seguridad independientes

Los adversarios evolucionan constantemente. El éxito engendra imitadores. Y la seguridad es multifacética. Estas son algunas de las lecciones clave que Jeremy Cowan extrae al hablar con Ted Harrington, socio ejecutivo de Evaluadores de seguridad independientes .

IoT Now:¿Dónde reside la mayor amenaza para la seguridad de los datos empresariales? ¿Es una amenaza para los datos? en tránsito o en activos de datos almacenados?

Ted Harrington: Eso depende del modelo de amenaza de una empresa determinada. El modelado de amenazas es un ejercicio a través del cual una organización identifica los activos que está tratando de proteger, los adversarios contra los que se preocupa en defenderse y la colección de superficies de ataque contra las cuales esos adversarios lanzarán campañas. La mayor amenaza para una organización puede no ser la misma para otra organización; el modelado de amenazas ayuda a responder esa pregunta.

IoT Now:en un estudio, entiendo que ISE identificó 21 sitios de cuentas financieras, de salud, de seguros y de servicios públicos (70% de los sitios probados) que no prohíben a los navegadores almacenar contenido en caché en el disco. Por lo tanto, después de visitar estos sitios, el contenido sensible no cifrado se deja en las máquinas de los usuarios finales. ¿Prueba esto t ¿Qué buenos procedimientos y formación son tan importantes como un software actualizado? ¿Cómo puede persuadir a los proveedores de servicios digitales para que den prioridad a la formación y el proceso?

TH: Básicamente, este estudio demuestra que las empresas de todo tipo deben comprender de manera efectiva cómo los atacantes rompen los sistemas. Solo entendiendo al atacante puedes esperar defenderte de él. Lo que este estudio demostró es que incluso los esfuerzos de desarrollo bien intencionados, que intentan tener en cuenta la seguridad, siempre serán insuficientes si esos esfuerzos no tienen en cuenta cómo romper un sistema. Existen varias estrategias que utilizamos para intentar persuadir a las empresas de que sigan enfoques de seguridad más eficaces. Estos incluyen:

Educación ejecutiva . Creemos que un ejecutivo más informado tomará mejores decisiones de seguridad. Por lo tanto, un subproducto de toda nuestra investigación de seguridad implica no solo los resultados técnicos, sino que también traduce esos resultados de una manera significativa y procesable para los ejecutivos.

Demostración de explotación . Hay muchos prejuicios naturales inherentes a la naturaleza humana que hacen que las personas sobreestimen sus propias capacidades y subestimen las capacidades de confrontación o la probabilidad de un compromiso. Al realizar investigaciones que hacen que lo intangible se vuelva tangible, ayudamos a socavar dichos sesgos, que a su vez, con suerte, se traducen en acciones significativas.

Empatía . Con demasiada frecuencia se considera que la comunidad de seguridad está en desacuerdo con quienes construyen cosas; un refrán común entre los desarrolladores es que la seguridad "nos ralentiza", y entre los profesionales de la experiencia del usuario que la seguridad "dificulta las cosas". Si bien no estamos de acuerdo con posiciones como estas, no las descartamos por completo; por el contrario, siempre nos ocupamos de escuchar y comprender qué es lo que preocupa a nuestros clientes. Al comprender mejor su negocio y sentir empatía por sus problemas, podemos desarrollar mitigaciones que sean efectivas en el contexto del mundo real en el que opera su negocio.

IoT ahora: Se informó en enero que los piratas informáticos habían organizado su tercer ataque contra el hotel Romantik Seehotel Jaegerwirt en Austria, exigiendo $ 1,600 en bitcoins para devolver el control de las cerraduras de las puertas del hotel a la gerencia. Desafortunadamente, con el hotel completamente reservado, el hotelero optó por cumplir y pagar el rescate. ¿Qué lecciones se pueden aprender de esto para la industria de la hospitalidad y otros sectores?

TH: Se pueden extraer varias lecciones de esto.

Los adversarios evolucionan constantemente . El ransomware en sí mismo es un giro relativamente nuevo en una vieja herramienta de ataque, y su uso para coaccionar el pago socavando la experiencia del huésped es una innovación verdaderamente notable. Al centrarse únicamente en los paradigmas de defensa de ayer, las empresas nunca podrán defenderse de los atacantes modernos, y mucho menos de los atacantes futuros.

El éxito engendra imitadores . Debido a que este atacante logró monetizar sus esfuerzos, la industria hotelera puede esperar razonablemente que se produzcan ataques similares. Los atacantes a menudo toman decisiones basadas en resultados, al igual que todos los demás; donde vean la oportunidad demostrada por el éxito pasado, la perseguirán.

La seguridad es multifacética . Cuando se trata de seguridad, la industria hotelera se ha centrado principalmente en el cumplimiento de PCI y en la protección de la información de identificación personal (PII) de los huéspedes. Sin embargo, este caso demostró un compromiso de otros activos muy valiosos:reputación de marca, seguridad del huésped y experiencia del huésped. Las consideraciones de PCI y PII por sí solas no son suficientes para proteger también la reputación de la marca, la seguridad de los huéspedes y la experiencia de los huéspedes.

IoT Now:¿Qué papel ha jugado ISE para superar esta amenaza?

TH :Hemos estado muy involucrados con la industria hotelera durante varios años. Junto con mi homólogo de Hyatt Hotels , lanzamos y copresidimos el Grupo de trabajo de seguridad de cerraduras de puertas para la asociación comercial de la industria Hospitality Technology Next Generation.

Como resultado de ese esfuerzo de más de 2 años, creamos varios productos valiosos para la industria, incluido un modelo de amenaza abstracto para sistemas de bloqueo de puertas y un conjunto de mejores prácticas de desarrollo para sistemas de bloqueo emergentes como RFID, sistemas de bloqueo en línea y dispositivos móviles. clave.

Recientemente, asumí un papel de liderazgo junto con Interel , líder en innovación de dispositivos conectados para hoteleros, copresidirá el Grupo de Trabajo de IoT para la misma asociación comercial. El grupo está actualmente en marcha y lo estamos guiando para ayudar a la industria a pensar en cómo adoptar dispositivos conectados y garantizar que se desarrollen e implementen de manera segura.

IoT Now:¿los proveedores de atención médica de EE. UU. prestan suficiente atención a la protección de los datos de los pacientes? ¿O están más enfocados en cumplir con los requisitos de HIPAA (Ley de Responsabilidad y Portabilidad de Seguros de Salud (EE. UU., 1997)?

TH :Estos son esencialmente los mismos, ya que HIPAA obliga a la atención médica a centrarse en los datos del paciente. El verdadero problema de la seguridad sanitaria es, en cambio, lo que no son centrándose en:proteger la salud del paciente. Recientemente publicamos una gran investigación, producida en el transcurso de 2 años y en asociación con 12 hospitales y muchos de sus dispositivos médicos de apoyo y otras tecnologías.

Este estudio investigó cómo los piratas informáticos pueden causar daños o la muerte a un paciente en un entorno de atención médica. Demostramos que no solo era muy posible, sino que demostramos que en muchos casos sería fácil hacerlo. Básicamente, los esfuerzos para proteger solo los datos del paciente por sí solos son insuficientes para proteger también la salud del paciente. A riesgo de parecer exagerado en lo obvio, este podría ser el problema de seguridad más importante en este momento.

IoT Now:¿Cuáles son las tres acciones principales que los proveedores de servicios de IoT deberían tomar ahora para ¿Asegurarse de que los datos y las identidades de sus clientes estén seguros?

TH :Incorpore la seguridad. Desde el momento en que reúne los requisitos hasta mucho después de la implementación, cada etapa del proceso de desarrollo debe considerar la seguridad como una prioridad máxima. Esto obviamente conduce a una seguridad más efectiva, pero lo más sorprendente es que también conduce a una seguridad menos costosa y que requiere menos recursos.

• Realice evaluaciones de seguridad de expertos externos . Ya sea que investigues o no tus sistemas en busca de debilidades, tu adversario lo hará.
• Adopte la mentalidad de adversario . Cuando piense en sus evaluaciones de seguridad, no se conforme con enfoques básicos como el escaneo automatizado, las pruebas de lápiz de caja negra o el cumplimiento como seguridad. Los atacantes van mucho más allá de estos pasos básicos, y usted también debe hacerlo.

Ted Harrington, socio ejecutivo de Independent Security Evaluators, con sede en Baltimore, fue entrevistado por el director editorial, Jeremy Cowan.