Si une attaque est monétisée avec succès, attendez-vous à ce que des attaques similaires suivent :quelques étapes de sécurité préventive

Ted Harrington des évaluateurs de sécurité indépendants

Les adversaires évoluent constamment. Le succès engendre les imitateurs. Et la sécurité est multiple. Voici quelques-unes des principales leçons que Jeremy Cowan tire de ses entretiens avec Ted Harrington, partenaire exécutif, Évaluateurs de sécurité indépendants .

IoT Now :où réside la plus grande menace pour la sécurité des données d'entreprise ? Est-ce la menace pour les données  en transit ou dans des données stockées ?

Ted Harrington : Cela dépend du modèle de menace pour une entreprise donnée. La modélisation des menaces est un exercice par lequel une organisation identifie les actifs qu'elle essaie de protéger, les adversaires contre lesquels elle s'efforce de se défendre et l'ensemble des surfaces d'attaque contre lesquelles ces adversaires lanceront des campagnes. La plus grande menace pour une organisation peut ne pas être la même pour une autre organisation ; la modélisation des menaces permet de répondre à cette question.

IoT Now :dans une étude, je comprends que l'ISE a identifié 21 sites financiers, de soins de santé, d'assurance et de services publics (70 % des sites testés) qui n'interdisent pas aux navigateurs de stocker du contenu mis en cache sur le disque. Ainsi, après avoir visité ces sites, du contenu sensible non crypté est laissé sur les machines des utilisateurs finaux. Est-ce que cela prouve  t quelles procédures et formations sont aussi importantes qu'un logiciel à jour ? Comment persuadez-vous les fournisseurs de services numériques de donner la priorité à la formation et au processus ?

TH : Cette étude prouve principalement que les entreprises de tous types ont besoin de comprendre efficacement comment les attaquants brisent les systèmes. Ce n'est qu'en comprenant l'attaquant que vous pouvez espérer vous défendre contre lui. Ce que cette étude a démontré, c'est que même les efforts de développement bien intentionnés, essayant de prendre en compte la sécurité, échoueront toujours si ces efforts ne tiennent pas compte de la manière de briser un système. Nous utilisons plusieurs stratégies pour essayer de persuader les entreprises d'adopter des approches de sécurité plus efficaces. Ceux-ci incluent :

Formation des cadres . Nous pensons qu'un cadre mieux informé prendra de meilleures décisions en matière de sécurité. Ainsi, un sous-produit de toutes nos recherches sur la sécurité implique non seulement les résultats techniques, mais traduit également ces résultats d'une manière significative et exploitable pour les dirigeants.

Démonstration d'exploit . Il existe de nombreux biais naturels inhérents à la nature humaine qui amènent les gens à surestimer leurs propres capacités et à sous-estimer soit les capacités de confrontation, soit la probabilité d'un compromis. En poursuivant des recherches qui rendent l'immatériel tangible, nous aidons à saper ces préjugés, ce qui, espérons-le, aboutira à une action significative.

Empathie . Trop souvent, la communauté de la sécurité est considérée comme en désaccord avec ceux qui construisent des choses; un refrain courant parmi les développeurs est que la sécurité « nous ralentit », et parmi les professionnels de l'expérience utilisateur que la sécurité « rend les choses difficiles ». Bien que nous ne soyons pas d'accord avec des positions comme celles-ci, nous ne les rejetons pas carrément; au lieu de cela, nous prenons toujours soin d'écouter et de comprendre ce qui trouble nos clients. En comprenant mieux leur entreprise et en faisant preuve d'empathie pour leurs problèmes, nous sommes en mesure de développer des mesures d'atténuation qui sont efficaces dans le contexte réel dans lequel évolue leur entreprise.

IoT Now : Il a été signalé en janvier que des pirates avaient lancé leur troisième attaque contre l'hôtel Romantik Seehotel Jaegerwirt en Autriche, exigeant 1 600 $ en bitcoins pour rendre le contrôle des serrures de l'hôtel à la direction. Malheureusement, l'hôtel étant complet, l'hôtelier a choisi de se conformer et de payer la rançon. Quelles leçons peut-on en tirer pour l'industrie hôtelière et d'autres secteurs ?

TH : Plusieurs enseignements peuvent en être tirés.

Les adversaires évoluent constamment . Le ransomware lui-même est une variante relativement nouvelle d'un ancien outil d'attaque, et son utilisation pour contraindre le paiement en nuisant à l'expérience client est une innovation vraiment remarquable. En se concentrant uniquement sur les paradigmes de défense d'hier, les entreprises ne seront jamais en mesure de se défendre contre les attaquants modernes, et encore moins les futurs attaquants.

Le succès engendre des imitateurs . Parce que cet attaquant a réussi à monétiser ses efforts, l'industrie hôtelière peut raisonnablement s'attendre à ce que des attaques similaires suivent. Les attaquants prennent souvent des décisions basées sur les résultats comme tout le monde le fait ; là où ils voient une opportunité démontrée par le succès passé, ils vont poursuivre.

La sécurité a plusieurs facettes . En matière de sécurité, l'industrie hôtelière s'est largement concentrée sur la conformité PCI et la protection des informations personnellement identifiables (PII) sur les clients. Cependant, ce cas a démontré un compromis entre d'autres atouts très précieux - la réputation de la marque, la sécurité des clients et l'expérience des clients. Les considérations PCI et PII seules sont insuffisantes pour protéger également la réputation de la marque, la sécurité des clients et l'expérience des clients.

IoT Now :quel rôle ISE a-t-il joué pour surmonter cette menace ?

TH :Nous sommes très impliqués dans l'industrie hôtelière depuis plusieurs années maintenant. Avec mon homologue des hôtels Hyatt , nous avons lancé et coprésidé le groupe de travail sur la sécurité des serrures de porte pour l'association professionnelle de l'industrie Hospitality Technology Next Generation.

À la suite de cet effort de plus de 2 ans, nous avons créé plusieurs livrables précieux pour l'industrie, y compris un modèle de menace abstrait pour les systèmes de verrouillage de porte et un ensemble de meilleures pratiques de développement pour les systèmes de verrouillage émergents tels que la RFID, les systèmes de verrouillage en ligne et les systèmes de verrouillage mobiles. clé.

Je viens tout juste d'occuper un poste de direction avec Interel , l'un des principaux innovateurs d'appareils connectés pour les hôteliers, pour coprésider le groupe de travail IoT pour la même association professionnelle. Le groupe est actuellement en cours, et nous le guidons pour aider l'industrie à réfléchir à la manière d'adopter les appareils connectés et à garantir qu'ils sont développés et déployés de manière sécurisée.

IoT Now :les prestataires de soins de santé américains accordent-ils suffisamment d'attention à la protection des données des patients ? Ou sont-ils plus axés sur le respect des exigences HIPAA (Health Insurance Portability & Accountability Act (États-Unis, 1997) ?

TH :Ce sont essentiellement les mêmes, car HIPAA oblige les soins de santé à se concentrer sur les données des patients. Le vrai problème de la sécurité des soins de santé est plutôt ce qu'ils ne sont pas  en se concentrant sur :la protection de la santé des patients. Nous avons récemment publié une grande partie de la recherche, produite au cours des années 2 et en partenariat avec 12 hôpitaux et bon nombre de leurs dispositifs médicaux et autres technologies de soutien.

Cette étude a examiné comment les pirates informatiques pouvaient causer des dommages ou la mort aux patients dans un établissement de soins de santé. Nous avons prouvé que non seulement c'était tout à fait possible, mais nous avons prouvé que dans de nombreux cas, il serait facile de le faire. Fondamentalement, les efforts visant à protéger uniquement les données des patients sont insuffisants pour protéger également la santé des patients. Au risque de donner l'impression d'exagérer l'évidence, cela pourrait être le problème de sécurité le plus important à l'heure actuelle.

IoT Now :quelles sont les trois principales actions que les fournisseurs de services IoT devraient entreprendre maintenant pour  s'assurer que les données et les identités de leurs clients sont sécurisées ?

TH  : Intégrez la sécurité. Depuis le moment où vous rassemblez les exigences jusqu'à bien après le déploiement, chaque étape du processus de développement doit considérer la sécurité comme une priorité absolue. Cela conduit évidemment à une sécurité plus efficace, mais plus surprenant, cela conduit également à une sécurité moins coûteuse et moins gourmande en ressources.

• Engager des évaluations de sécurité d'experts tiers . Que vous enquêtiez ou non sur les faiblesses de vos systèmes, votre adversaire le fera.
• Adopter l'état d'esprit accusatoire . Lorsque vous pensez à vos évaluations de sécurité, ne vous contentez pas d'approches de base telles que l'analyse automatisée, les tests de stylo boîte noire ou la conformité en tant que sécurité. Les attaquants vont bien au-delà de ces étapes de base, et vous devriez en faire autant.

Ted Harrington, partenaire exécutif d'Independent Security Evaluators, basé à Baltimore, a été interviewé par le directeur éditorial, Jeremy Cowan.