Se um ataque for monetizado com sucesso, espere ataques semelhantes a seguir:Algumas etapas preventivas de segurança

Ted Harrington de avaliadores de segurança independentes
Os adversários estão em constante evolução. O sucesso gera copiadores. E a segurança é multifacetada. Estas são algumas das principais lições que Jeremy Cowan tira ao conversar com Ted Harrington, parceiro executivo da Avaliadores de Segurança Independentes .

IoT agora:onde está a maior ameaça à segurança dos dados corporativos? É a ameaça aos dados em trânsito ou em ativos de dados armazenados?

Ted Harrington: Isso depende do modelo de ameaça de uma determinada empresa. A modelagem de ameaças é um exercício por meio do qual uma organização identifica os ativos que está tentando proteger, os adversários contra os quais está preocupada em se defender e a coleção de superfícies de ataque contra as quais esses adversários irão lançar campanhas. A maior ameaça para uma organização pode não ser a mesma para outra organização; a modelagem de ameaças ajuda a responder a essa pergunta.

IoT agora:em um estudo, eu entendo que o ISE identificou 21 sites de contas de serviços financeiros, saúde, seguros e serviços públicos (70% dos sites testados) que não impedem os navegadores de armazenar conteúdo em cache no disco. Então, depois de visitar esses sites, o conteúdo confidencial não criptografado é deixado para trás nas máquinas dos usuários finais. Isso prova t Que bons procedimentos e treinamento são tão importantes quanto um software atualizado? Como você persuade os provedores de serviços digitais a priorizar o treinamento e o processo?

TH: Basicamente, este estudo prova que empresas de todos os tipos precisam entender de forma eficaz como os invasores violam os sistemas. Somente entendendo o atacante você pode ter esperança de se defender dele. O que este estudo demonstrou é que mesmo os esforços de desenvolvimento bem-intencionados, tentando levar a segurança em consideração, sempre serão insuficientes se esses esforços não levarem em conta como quebrar um sistema. Existem várias estratégias que usamos para tentar persuadir as empresas a buscar abordagens de segurança mais eficazes. Esses incluem:

Educação executiva . Acreditamos que um executivo mais informado tomará melhores decisões de segurança. Portanto, um subproduto de todas as nossas pesquisas de segurança envolve não apenas os resultados técnicos, mas também os traduz de uma forma significativa e acionável para os executivos.

Demonstração de exploração . Existem muitos preconceitos naturais inerentes à natureza humana que fazem as pessoas superestimarem suas próprias capacidades e subestimarem as capacidades adversárias ou a probabilidade de um acordo. Ao realizar pesquisas que tornam o intangível tangível, ajudamos a minar esses preconceitos, o que, por sua vez, espera-se que resulte em ações significativas.

Empatia . Muitas vezes, a comunidade de segurança é considerada em desacordo com aqueles que constroem coisas; um refrão comum entre os desenvolvedores é que a segurança “nos deixa mais lentos” e, entre os profissionais de experiência do usuário, essa segurança “torna as coisas difíceis”. Embora discordemos de posições como essas, não as descartamos completamente; em vez disso, sempre tomamos o cuidado de ouvir e entender o que preocupa nossos clientes. Ao compreender melhor seus negócios e ter empatia com seus problemas, somos capazes de desenvolver atenuações que sejam eficazes no contexto do mundo real em que seus negócios operam.

IoT agora: Foi relatado em janeiro que os hackers montaram seu terceiro ataque ao hotel Romantik Seehotel Jaegerwirt na Áustria, exigindo US $ 1.600 em bitcoins para devolver o controle das fechaduras do hotel à gerência. Infelizmente, com o hotel totalmente reservado, o hoteleiro optou por cumprir e pagar o resgate. Que lições podem ser aprendidas com isso para a indústria de hospitalização e outros setores?

TH: Várias lições podem ser extraídas disso.

Os adversários estão em constante evolução . O próprio ransomware é uma reviravolta relativamente nova em uma ferramenta de ataque antiga, e usá-lo para coagir o pagamento, minando a experiência do hóspede, é uma inovação verdadeiramente notável. Concentrando-se apenas nos paradigmas de defesa de ontem, as empresas nunca serão capazes de se defender contra os invasores modernos, muito menos contra os futuros invasores.

O sucesso gera copiadores . Como esse invasor teve sucesso em monetizar seus esforços, o setor de hospitalidade pode esperar razoavelmente que ataques semelhantes se seguirão. Os invasores costumam tomar decisões baseadas em resultados, assim como todo mundo faz; onde eles virem oportunidades demonstradas por sucessos anteriores, eles irão persegui-la.

A segurança é multifacetada . Quando se trata de segurança, o setor de hospitalidade tem se concentrado amplamente na conformidade com o PCI e na proteção de informações de identificação pessoal (PII) sobre os hóspedes. No entanto, este caso demonstrou o comprometimento de outros ativos muito valiosos - reputação da marca, segurança do hóspede e experiência do hóspede. As considerações de PCI e PII por si só são insuficientes para proteger também a reputação da marca, a segurança do hóspede e a experiência do hóspede.

IoT Agora:Qual o papel do ISE na superação dessa ameaça?

TH :Estamos muito envolvidos com a indústria da hospitalidade há vários anos. Junto com meu homólogo na Hyatt Hotels , lançamos e co-presidimos o Grupo de Trabalho de Segurança de Fechaduras de Porta para a associação comercial do setor Hospitality Technology Next Generation.

Como resultado desse esforço de mais de 2 anos, criamos vários produtos valiosos para a indústria, incluindo um modelo de ameaça abstrato para sistemas de travamento de porta e um conjunto de práticas recomendadas de desenvolvimento para sistemas de travamento emergentes, como RFID, sistemas de travamento online e móveis chave.

Recentemente, assumi uma função de liderança junto com Interel , um inovador líder em dispositivos conectados para hoteleiros, para co-presidir o Grupo de Trabalho IoT da mesma associação comercial. O grupo está em andamento e estamos orientando-o para ajudar a indústria a pensar em como adotar dispositivos conectados e garantir que sejam desenvolvidos e implantados de maneira segura.

IoT agora:os provedores de saúde dos EUA estão prestando atenção suficiente para proteger os dados dos pacientes? Ou eles estão mais focados em cumprir os requisitos da HIPAA (Health Insurance Portability &Accountability Act (EUA, 1997)?

TH :Estes são essencialmente os mesmos, já que o HIPAA força os cuidados de saúde a se concentrarem nos dados do paciente. O verdadeiro problema na segurança da saúde é o que eles não são com foco em:proteger a saúde do paciente. Publicamos recentemente uma grande pesquisa, produzida ao longo de 2 anos e em parceria com 12 hospitais e muitos de seus dispositivos médicos de suporte e outras tecnologias.

Este estudo investigou como os hackers podem causar danos ao paciente ou fatalidade em um ambiente de saúde. Provamos que não apenas era possível, mas também que, em muitos casos, seria fácil fazê-lo. Fundamentalmente, os esforços para proteger apenas os dados do paciente por si só são insuficientes para proteger também a saúde do paciente. Correndo o risco de parecer estar exagerando o óbvio, este pode ser o problema de segurança mais significativo no momento.

IoT agora:quais são as três principais ações que os provedores de serviços de IoT devem realizar agora garantir que os dados e identidades de seus clientes estão seguros?

TH :Crie segurança. Desde o momento em que você reúne os requisitos, até bem depois da implantação, cada estágio do processo de desenvolvimento deve considerar a segurança como uma prioridade. Obviamente, isso leva a uma segurança mais eficaz, mas, o que é mais surpreendente, também leva a uma segurança menos dispendiosa e com uso intensivo de recursos.

• Envolva as avaliações de segurança de especialistas terceirizados . Independentemente de você investigar ou não seus sistemas em busca de fraquezas, seu adversário o fará.
• Adote a mentalidade adversária . Quando você pensa sobre suas avaliações de segurança, não se conforme com abordagens de commodities, como digitalização automatizada, teste de caneta de caixa preta ou conformidade como segurança. Os invasores vão muito além dessas etapas básicas, e você também deve.

Ted Harrington, parceiro executivo da Independent Security Evaluators, com sede em Baltimore, foi entrevistado pelo diretor editorial, Jeremy Cowan.