Phishing
Apa yang saya anggap menakjubkan tentang semua pelanggaran data masif yang kami dengar adalah bahwa kami tahu sebagian besar tidak dilaporkan. Dengan kata lain, untuk setiap email, catatan pelanggan, atau pencurian keuangan dalam berita, kemungkinan besar ada ratusan yang tetap berada dalam bayang-bayang.
Masalah ini sangat besar dan satu insiden lagi terungkap minggu lalu. Seorang individu Lithuania yang pandai mampu menarik kekalahan sebesar US $ 100 juta dari sekelompok perusahaan Internet yang tidak disebutkan namanya menggunakan kombinasi taktik phishing dan vendor palsu yang tersebar di banyak perusahaan.
Ini tampaknya bukan serangan tingkat kejahatan tingkat negara atau bahkan terorganisir, yang seharusnya membuat Anda bertanya-tanya berapa miliar negara yang bermusuhan dan organisasi kriminal yang sebenarnya mencuri dari Anda setiap hari. Anda dan saya adalah korbannya, karena aktivitas ini menimbulkan biaya yang harus kita bayar.
Kabar baiknya adalah bahwa perusahaan yang tidak lagi ingin menjadi target dapat memanfaatkan tiga teknologi yang digunakan secara luas untuk menghentikan aktivitas ini: blockchain, Inky dan Varonis.
Saya akan menjelaskan dan kemudian menutup produk saya minggu ini: Lenovo X1 Carbon, yang mungkin merupakan laptop bisnis terbaik yang saat ini ada di pasaran.
Efek Penipuan
Serangan Lithuania membawa kembali kenangan akan salah satu momen paling memalukan saya selama menjalankan tugas tim audit. Tak lama setelah kami menyelesaikan audit, ada orang lain yang mengetahui bahwa seorang karyawan di area yang kamiudit telah menculik ribuan orang dari perusahaan tersebut, dan saya merasa bertanggung jawab atas kehilangannya.
Bos saya menunjukkan bahwa tim saya telah menangkap paparan kontrol yang membuat pencurian itu mungkin terjadi, dan itu sama sekali tidak muncul dalam sampel vendor kami. Meski begitu, saya merasa malu secara pribadi dan selalu merasa bisa melakukannya dengan lebih baik.
Saat hal-hal ini terpukul, mereka mempengaruhi semua orang dari mereka. Mereka bisa sangat sulit ditangkap, tapi saya pikir ini layak dilakukan. Berhubungan dengan hal seperti ini bisa mengikuti karir Anda, bahkan jika Anda tidak bisa menangkap atau menghentikannya.
Blockchain ke Rescue
Solusi terbaik untuk memerangi vendor palsu adalah teknologi blockchain, itulah sebabnya IBM begitu sukses dengan institusi keuangan yang menerapkannya secara luas. Dikembangkan seputar bitcoin mata uang digital, ini adalah cara untuk memastikan transaksi tanpa lembaga keuangan. Ini menyediakan proses jaminan transaksi bertingkat yang kuat yang sangat sulit dipecahkan.
Ini tidak berarti sebuah negara atau organisasi kriminal yang sangat kuat tidak dapat melanggarinya – dengan sumber daya yang cukup, apapun mungkin dilakukan. Namun, dari itu, ini mewakili sistem kepercayaan yang paling kuat dan aman saat ini di pasar.
Jika perusahaan korban dalam pelanggaran Lithuania telah menggunakan blockchain, penyerang kemungkinan akan memilih perusahaan lain untuk menyerang.
Everledger saat ini menggunakan blockchain untuk memastikan transaksi berlian dan menghilangkan berlian konflik, yang mendanai beberapa perang paling brutal dan kejahatan paling kejam di dunia. Ini mungkin senjata terkuat yang ada saat ini untuk menghilangkan kejahatan semacam ini.
Penggunaan blockchain berkembang untuk memastikan transaksi bernilai seni dan transaksi bernilai tinggi lainnya, baik di pasar pribadi maupun publik.
Email Security Guard
Bila ada eksposur yang unik, perusahaan yang unik sering melangkah untuk mengatasinya. Phishing, terutama spearphishing, adalah inti dari banyak pelanggaran data.
Salah satu yang terbesar yang saya alami secara langsung adalah kasus sebuah organisasi kriminal yang mampu menangkap informasi identitas penting dari masing-masing eksekutif perusahaan yang ditargetkan selama setahun. Kemudian data tersebut digunakan untuk meyakinkan semua karyawan perusahaan untuk mengirimkan kredensial ID finansial mereka sendiri agar dapat melakukan pencurian identitas dalam skala besar.
Saya sering melihat kasus seperti ini – kisah sedih orang-orang yang percaya bahwa mereka mendapat permintaan dari atasan, CFO, atau bahkan CEO mereka untuk mendapatkan informasi rahasia. Individu tertipu memasoknya, dan kemudian menemukan bahwa itu adalah catatan palsu dan sekarang dia berada di jantung kasus pencurian IP sebagai orang yang melanggar kebijakan. Karir sering tidak bertahan dalam kesalahan seperti ini.
Inky adalah layanan email yang relatif baru yang berfokus pada validasi identitas. Setiap karyawan memiliki kunci unik, dan jika email tersebut tidak memiliki kunci itu bukan dari karyawan itu. Anda segera bisa melihat bahwa email yang sepertinya berasal dari CEO itu tidak. Alih-alih menjadi bagian penting dari masalah dan mungkin mengakhiri karir Anda, Anda dapat menandai email ke keamanan dan menjadi bagian dari solusi.
Pada beberapa titik, saya berharap setiap sistem email akan memiliki semacam validasi identitas yang dibangun di dalamnya, tapi bukan hanya satu-satunya yang saya tahu adalah Inky.
Siapa Akses Minding?
Dari pelanggaran email DNC sampai yang terbaru ini, masalahnya sebagian adalah karena tidak ada pemantauan sistem atau akses yang mendalam. Bila ada pelanggaran, ada kejadian yang tidak biasa terjadi – tetapi jika Anda tidak memiliki cara invasif untuk memantau aktivitas dan secara agresif membatasi akses, Anda tidak memiliki kemampuan untuk menangkap pelanggaran saat hal itu terjadi.
Pada titik tertentu selama pelanggaran terakhir ini, vendor baru ditambahkan pada tingkat yang tidak biasa. Sistem seharusnya menandai bahwa sebagai anomali, meskipun agen pembelian yang berbeda kemungkinan menambahkannya. Bendera semacam itu bisa mengakibatkan identifikasi pelanggaran yang sedang berlangsung, sebelum jutaan orang hilang. Itulah sebabnya alat seperti Varonis , yang dapat memantau administrator sistem pengaman dan kewaspadaan bawaan merupakan bagian penting dari tool kit yang digunakan OMS sukses untuk memastikan perusahaan mereka tidak dilanggar.
Membungkus
Ada alat untuk mencegah jenis pelanggaran finansial dan intelektual yang telah merusak perusahaan dan pemilihan. Pada beberapa titik, dewan perlu mulai bertanya apakah alat ini ada untuk memastikan perusahaan yang mereka awasi tidak lalai berkenaan dengan informasi dan keamanan finansial.
Sebagai pelanggan, kami mungkin ingin mulai memeriksa untuk melihat apakah perusahaan yang kami percaya untuk mengelola keuangan kami sendiri terjamin dengan baik, karena pencurian identitas adalah masalah yang sangat buruk untuk diperbaiki – seperti mendapatkan kembali uang yang ditarik dari rekening bank kami secara tidak sah .
Sampai saat itu, ketahuilah ada alat yang bisa membuat kedua perusahaan kita dan diri kita jauh lebih aman. Lebih dari kita mungkin ingin menunjukkan ini agar kita tidak termasuk dalam rangkaian korban berikutnya.
