Perché le aziende attaccate dal crimine informatico hanno scarsa sicurezza?

  • La sicurezza è raramente una priorità a livello esecutivo

I dirigenti sono oberati di lavoro e sono costretti a dare la priorità a quali questioni attirano la loro attenzione. Le aziende vivono e muoiono in base alle entrate, e quindi le questioni che valutano direttamente le entrate di solito sono quelle che attirano l’attenzione ai massimi livelli. La sicurezza spesso non attira questo livello di attenzione fino a quando non si verifica un incidente grave. Il che ci porta a:

  • La sicurezza fa parte delle spese generali

Le spese generali sono qualcosa che le aziende vogliono minimizzare. Investire nella sicurezza richiede la conoscenza e la lungimiranza per comprendere il prezzo del rischio, la natura dei rischi affrontati, ciò che è in gioco e la fiducia nei vostri esperti di sicurezza per fornire una buona giustificazione per specifici livelli di finanziamento. Questo non è comune. Molto più comune è l’atteggiamento della gestione di Home Depot prima della loro recente intrusione. Quando avvertito dai loro esperti di sicurezza del rischio che la compagnia ha affrontato e della necessità di maggiori investimenti in sicurezza, la direzione ha presumibilmente risposto: “Vendiamo martelli”.
Il New York Times

  • La sicurezza è un continuum

La sicurezza è un argomento molto complesso, estremamente difficile da inserire in un mazzo di diapositive PowerPoint di alto livello o in una lista di controllo. È molto allettante elencare semplicemente l’attacco informatico come un singolo rischio e poi dire che è mitigato a causa di software antivirus e firewall. È molto più difficile capire che non esiste qualcosa come “completamente sicuro” e che “l’attacco informatico” è in realtà costituito da una moltitudine di minacce diverse che possono richiedere molte azioni diverse per mitigare.

  • La sicurezza interferisce con l’usabilità

Non c’è modo di aggirarlo, sicurezza e usabilità sono in contrasto. Le misure di sicurezza impediscono regolarmente agli utenti di svolgere il proprio lavoro. Ciò degrada la produttività e aggrava il carico sul personale dell’help desk. Questo è sempre un equilibrio e la sicurezza perde spesso perché gli effetti di usabilità sono sempre più visibili del rischio mitigato. (E a chi piace essere impedito di fare il proprio lavoro?)

  • Una buona sicurezza richiede molto lavoro

La sicurezza non viene fornita in una scatola. Una buona sicurezza aziendale richiede molto lavoro e il lavoro è costoso. Stai cercando di compiere un passo molto ragionevole per migliorare la sicurezza segmentando la rete della tua grande azienda in modo che le informazioni personali sulle risorse umane non siano accessibili dal tuo ambiente di sviluppo? (Ti sto guardando, Sony) Preparati per uno sforzo molto lungo e faticoso mentre cerchi di separare tutte le relazioni tra utenti e risorse a cui devono accedere. Vuoi monitorare la tua rete per possibili intrusioni? Buona idea, ma avrai bisogno di persone con le giuste competenze per controllare costantemente i dati generati dalla tua rete per farlo in modo efficace.

  • Le società hanno un controllo limitato sulla propria sicurezza

Un’altra sfortunata verità sulla sicurezza è che ci sono alcune cose che non puoi controllare. Indipendentemente dalla formazione degli utenti, qualcuno farà sempre clic sul collegamento nell’e-mail di phishing che fornisce a un utente malintenzionato un punto d’appoggio sulla rete aziendale. Indipendentemente dalla diligenza con cui si applicano le patch software, ci saranno sempre più vulnerabilità del software che gli aggressori possono sfruttare per minare le proprie difese. (Attaccanti particolarmente sofisticati che hanno le risorse per trovare Zero-days)

  • Gli aggressori stanno superando i difensori

Gli attacchi visti contro Target, Home Depot e Sony sono stati lanciati da sofisticati aggressori. È facile per le persone come me fare il quarterback di lunedì mattina e spiegare come gli attacchi avrebbero potuto essere prevenuti o mitigati se avessero segmentato i loro sistemi di pagamento dalle loro reti aziendali o non avessero concesso agli appaltatori l’accesso ai loro sistemi aziendali. Tuttavia, questo livello di aggressore potrebbe aver semplicemente trovato un modo diverso. Le difese standard – antimalware, firewall, IDS / IPS, controlli di accesso al sistema operativo, ecc. – vengono regolarmente sconfitte negli attacchi moderni e nessuno deve ancora offrire qualcosa di più efficace. La sicurezza è un gioco di gatto e topo e in questo momento il gatto sta vincendo.

Qualsiasi azienda con un componente o una presenza online è sotto attacco. Avere una grande sicurezza non impedisce che si verifichi un attacco, ma mira a mitigare sia un attacco riuscito che i risultati di un attacco riuscito. Gli attacchi non vanno via automagicamente.

Le ragioni per cui una società ha una sicurezza debole sono varie quanto i tipi di società che si trovano là fuori. Alcuni di questi possono essere i seguenti (anche se questo non è un elenco tutto compreso, e sono sicuro che ce ne sono più di quelli che ho menzionato)

  1. Il rischio percepito costa meno del costo della mitigazione del rischio.
  1. Gli analisti del rischio potrebbero aver determinato che il costo per le azioni legali e le multe sarebbe inferiore a quello dovuto a una violazione, rispetto al dispiegamento delle attrezzature e del personale per mitigare o prevenire una violazione. Molte organizzazioni stanno scoprendo che questo non è più il caso, poiché le società di carte di credito e gli emittenti stanno ora tenendo i piedi sul fuoco e facendo pagare loro per qualsiasi perdita finanziaria a seguito di una violazione. Questa perdita può essere sotto forma di transazioni fraudolente, al costo di riemettere nuove carte di credito a tutti i clienti interessati.
  • I proprietari dei dati potrebbero non aver compreso appieno il valore monetario dei dati che possedevano.
    1. Potrebbe essere stato qualcosa di astratto che dovevano avere per gestire i loro affari, ma al di là di quella notte non ci si pensò più. A volte è difficile per le persone oneste pensare alle cose brutte che possono accadere.
  • La società era nel mezzo di un aggiornamento pianificato.
    1. La modifica dell’infrastruttura di rete di una società non avviene durante la notte. Devono studiare in che modo può influire sugli utenti della rete e pianificare la formazione in caso di modifica dei processi aziendali. Le nuove risorse di rete devono essere acquisite e la distribuzione deve essere pianificata ed eseguita.
    2. A parte questo, potrebbe esserci un sistema che è parte integrante del loro processo aziendale, ma non può essere aggiornato perché ne comprometterebbe la funzionalità. La tecnologia e i controlli attenuanti potrebbero essere stati in fase di implementazione quando si è verificata la violazione.

    Ancora una volta, questo non intendeva essere tutto compreso, né intendeva attribuire la colpa, ma fornire alcune ragioni plausibili sul perché un’azienda potrebbe avere una sicurezza debole.

    Gran parte di esso è la mancanza di conoscenza da parte della direzione per quanto riguarda la tecnologia. I manager possono sapere come gestire un’azienda ma spesso non hanno un background tecnico, quindi prendono decisioni senza avere piena conoscenza dell’impatto di tali decisioni e non sanno abbastanza per porre le domande giuste agli esperti in materia.

    C’è anche il problema dell’ego. Le persone in genere non vogliono mostrare la loro ignoranza, quindi preferiscono parlare in grande piuttosto che ammettere di non sapere come fare qualcosa (dai un’occhiata ai post su Curious Perversions in Information Technology).

    Per non parlare del fatto che molte aziende sono concentrate sull’ottenere il lavoro svolto, piuttosto che svolgere il lavoro nel modo giusto. Ad esempio, lavoravo in un ospedale e il CIO faceva sempre in modo che il reparto tecnico si piegasse all’indietro per garantire la “cura del paziente”, piuttosto che dedicare un secondo a considerare l’impatto a lungo termine di ciò che ci veniva chiesto di fare, e soprattutto se la richiesta era veramente correlata alla cura del paziente o se i richiedenti usavano semplicemente il termine per assicurarsi di ottenere ciò che desideravano.

    Alla fine, la maggior parte delle persone vuole fare la cosa giusta ma è spesso ostacolata da altre persone che pensano di conoscere meglio ma non sono disposte a porre domande, almeno nella mia esperienza.

    Invece di pensare alla sicurezza, consiglierei di pensare a Quora (come esempio). Guarda questa domanda ed è una risposta meravigliosa:
    Cosa manca a Quora?

    Pensi che il team di sviluppo di Quora o chiunque avrebbe potuto pensare a queste risposte in anticipo? Io non la penso così. Ecco i problemi correlati:

    • Le persone pensano di testare come requisiti di validazione o no (binario sì / no)
    • quando i clienti trovano difetti (come la domanda che ho pubblicato), le persone forniscono varie giustificazioni, ad esempio, questo è un caso speciale o abbiamo cose più importanti
    • Nessun CEO o CIO al mondo ha una comprensione dei test sul modo in cui lo spiegherò (e lo sviluppo del software? Non sono sicuro dello sviluppo). Tuttavia, nessuno sarà in grado di ammettere di non capire la qualità. Lo stesso vale per la maggior parte degli sviluppatori.

    In realtà, trovare i difetti in anticipo è estremamente difficile. È un processo non lineare, senza inizio e senza fine. Gli sviluppatori potrebbero usare la loro creatività per risolvere questi problemi. Tuttavia, la maggior parte delle persone è troppo coinvolta nei requisiti e nell’automazione dei test. La maggior parte dei manager riesce anche a cercare numeri che sono per lo più insignificanti.

    Inoltre, ci sono almeno due problemi con la sicurezza:
    – È tecnicamente impegnativo
    – L’avversario è motivato a irrompere quanto la vittima non è a conoscenza. Il punto è che un hacker pensa sempre in modo non lineare. Farà tutto il necessario per trovare una vulnerabilità. Non ci sono regole. Non ci sono requisiti

    Come esercizio per chiunque voglia risolvere la sicurezza, li sfiderei a provare a trovare anche il 10% della risposta alla domanda che ho postato sopra. Poiché la domanda non è tecnica, suppongo che qualsiasi manager possa provare.

    Il problema è che le persone che si occupano della sicurezza non prendono le decisioni: sono i vertici che non comprendono le implicazioni della sicurezza o non ne sono consapevoli. I dirigenti hanno i soldi e controllano i budget, i ragazzi della sicurezza fanno solo quello che gli viene detto.

    Quindi il motivo per cui la sicurezza è negativa – è perché è costoso fare correttamente.