Vidéo: Solfège : Les mesures simples (Novembre 2024)
Brian Krebs, chercheur renommé dans le domaine de la sécurité, a présenté hier avant l'ouverture du Symposium Gartner à Orlando un discours fascinant mais effrayant sur l'état actuel de la cybercriminalité.
S'adressant à un groupe de responsables des technologies de l'information et à d'autres responsables informatiques, l'auteur du site Web Krebs on Security et du livre Spam Nation ont déclaré qu'il existait un "fossé important" entre la perception et la réalité de la cybercriminalité. "La lumière au bout du tunnel n'est pas une issue", a-t-il déclaré. "C'est un train qui arrive."
Il a notamment déclaré que les méchants partageaient mieux les informations que les DSI; Même les versions les plus anciennes de rapports tels que le rapport d'enquête sur les violations de données de Verizon expliquent souvent comment les systèmes ont été violés, avec des informations toujours pertinentes. Un grand nombre de piratages récents, a-t-il dit, une simple lecture des journaux de sécurité aurait alerté les entreprises de leur problème.
Krebs a passé la majeure partie de son temps à parler d'attaques sur les informations de carte de crédit, principalement sur les logiciels malveillants destinés aux systèmes de point de vente. Il a expliqué qu'au cours des deux dernières années, les malfaiteurs avaient non seulement amélioré leurs attaques contre de tels systèmes, mais avaient rendu les marchés souterrains de l'achat et de la vente d'informations de cartes de crédit plus sophistiqués et plus conviviaux.
Dans de nombreux cas, les gangs de rue se tournent vers la fraude par carte de crédit pour transformer rapidement un investissement de 10 à 20 dollars en un investissement de 800 à 1 000 dollars. Non seulement cela est-il rentable, a-t-il dit, mais il est intrinsèquement moins dangereux et moins risqué que le trafic de drogue et est souvent perçu comme un crime "sans victime", car les titulaires des comptes ne sont généralement pas responsables des accusations.
Krebs a noté des problèmes tels que le nombre de systèmes de point de vente dotés de navigateurs Web et le fait qu'il s'agisse d'un vecteur d'attaque très courant. Il a déclaré que la transition vers les cartes de crédit à puce ne consistait pas à résoudre le problème, citant le fait que dans d'autres pays, cette transition avait entraîné une augmentation de la fraude au commerce électronique, des fraudes relatives aux nouveaux comptes et des prises de contrôle de comptes.
Cela dépend en grande partie de l'identité et de la confidentialité, et il a noté que les informations personnelles immuables de nombreuses personnes (telles que les adresses et les numéros de sécurité sociale) sont désormais disponibles. Il a dit que les systèmes informatiques peuvent être sécurisés, rapides ou faciles à utiliser: choisissez-en deux. La plupart des gens ont choisi de ne pas se concentrer sur la sécurité, a-t-il déclaré. En conséquence, il existe de nombreux endroits sur le Web où trouver des informations personnelles sur des personnes. Il a appelé le gouvernement à adopter des règles plus strictes en matière de protection de la vie privée, comme dans la plupart des autres pays.
En fin de compte, Krebs a cité cinq domaines dans lesquels il pensait que les entreprises pourraient faire le plus de progrès dans la lutte contre la cybercriminalité. Il est un fervent partisan de la segmentation du réseau, affirmant que la sécurité dans la plupart des entreprises est comme une barre de chocolat: "dure et croustillante à l'extérieur, douce et visqueuse à l'intérieur".
Au lieu de cela, il a suggéré de rendre les parties les plus sensibles de votre réseau accessibles uniquement aux membres de l'organisation ayant un besoin particulier. Les entreprises doivent mettre en place une équipe d’intervention en cas d’incident, examiner les informations sur les autres violations pour voir les leçons qu’elles peuvent en tirer, multiplier les exercices sur ce qu’il faut faire en cas d’infraction et inclure leurs partenaires dans la planification de la sécurité.
C'est un bon conseil, mais on oublie souvent des tâches quotidiennes liées à la réalisation de nouveaux projets informatiques. Équilibrer ces priorités est une question clé pour de nombreux responsables informatiques auxquels j'ai parlé lors de la conférence.
