攻撃が正常に収益化された場合は、同様の攻撃が続くことを期待してください。いくつかの予防的なセキュリティ手順

独立したセキュリティ評価者のテッドハリントン

敵は絶えず進化しています。成功はコピー猫を繁殖させます。そして、セキュリティは多面的です。これらは、ジェレミーコーワンが、独立したセキュリティ評価者のエグゼクティブパートナーであるテッドハリントンと話すことから得た重要な教訓の一部です。 。

IoT Now：エンタープライズデータセキュリティに対する最大の脅威はどこにありますか？データへの脅威ですか 転送中ですか、それとも保存されたデータアセット内ですか？

テッドハリントン： これは、特定の企業の脅威モデルによって異なります。脅威モデリングは、組織が保護しようとしている資産、防御に関与している敵対者、およびそれらの敵対者がキャンペーンを開始する攻撃対象領域のコレクションを特定するための演習です。ある組織に対する最大の脅威は、別の組織にとって同じではない場合があります。脅威モデリングは、その質問に答えるのに役立ちます。

IoT Now：ある調査では、ブラウザがキャッシュされたコンテンツをディスクに保存することを禁止していない21の金融、医療、保険、公益事業のアカウントサイト（テストされたサイトの70％）をISEが特定したことを理解しています。したがって、これらのサイトにアクセスした後、暗号化されていない機密コンテンツがエンドユーザーのマシンに残されます。これは証明しますか t 優れた手順とトレーニングは、最新のソフトウェアと同じくらい重要ですか？トレーニングとプロセスに優先順位を付けるようにデジタルサービスプロバイダーをどのように説得しますか？

TH： 主にこの調査は、あらゆるタイプの企業が、攻撃者がシステムを破壊する方法を効果的に理解する必要があることを証明しています。攻撃者を理解することによってのみ、攻撃者に対して防御することを望むことができます。この調査で示されたのは、セキュリティを考慮に入れようとする善意の開発努力でさえ、それらの努力がシステムを破壊する方法を考慮していなければ、常に不十分であるということです。より効果的なセキュリティアプローチを追求するように企業を説得するために使用するいくつかの戦略があります。これらには以下が含まれます：

経営者教育 。私たちは、より多くの情報に通じた幹部がより良いセキュリティ上の決定を下すと信じています。したがって、すべてのセキュリティ調査の副産物には、技術的な成果だけでなく、経営幹部にとって意味のある実用的な方法でそれらの成果を変換することが含まれます。

エクスプロイトのデモンストレーション 。人間の本性に内在する多くの自然な偏見があり、人々は自分の能力を過大評価し、敵対的な能力または妥協の可能性を過小評価します。無形を有形にする研究を追求することで、私たちはそのような偏見を弱体化させ、それが意味のある行動につながることを願っています。

共感 。多くの場合、セキュリティコミュニティは、物を作る人々と対立していると見なされます。開発者の間で一般的に控えられているのは、セキュリティが「私たちを遅くする」ことであり、ユーザーエクスペリエンスの専門家の間では、セキュリティが「物事を困難にする」ことです。このような立場には同意しませんが、完全に破棄することはありません。代わりに、私たちは常に耳を傾け、お客様を悩ませていることを理解するように注意を払っています。彼らのビジネスを最もよく理解し、彼らの問題に共感することによって、私たちは彼らのビジネスが運営されている現実の状況で効果的な緩和策を開発することができます。

IoT Now： 1月に、ハッカーがオーストリアのRomantik Seehotel Jaegerwirtホテルに3回目の攻撃を仕掛け、ホテルのドアロックの制御を経営陣に戻すためにビットコインで1,600ドルを要求したことが報告されました。残念ながら、ホテルが満室であるため、ホテル経営者は身代金を支払うことを選択しました。これから、ホスピタリティ業界やその他のセクターについてどのような教訓を学ぶことができますか？

TH： これからいくつかの教訓を得ることができます。

敵は常に進化しています 。ランサムウェア自体は、古い攻撃ツールの比較的新しいひねりであり、ゲストエクスペリエンスを損なうことによって支払いを強制するためにそれを使用することは、本当に注目に値する革新です。昨日の防御パラダイムのみに焦点を当てることにより、企業は、将来の攻撃者は言うまでもなく、現代の攻撃者から防御することはできなくなります。

成功はコピー猫を繁殖させる 。この攻撃者はその努力を収益化することに成功したため、ホスピタリティ業界は同様の攻撃が続くことを合理的に期待できます。攻撃者は、他の人と同じように、結果に基づいて決定を下すことがよくあります。過去の成功によって実証された機会を見ると、彼らは追求します。

セキュリティは多面的です 。セキュリティに関しては、ホスピタリティ業界は主にPCIコンプライアンスと、ゲストに関する個人情報（PII）の保護に重点を置いてきました。ただし、このケースでは、ブランドの評判、ゲストの安全性、ゲストのエクスペリエンスなど、他の非常に価値のある資産の妥協が示さ​​れました。 PCIとPIIだけを考慮するだけでは、ブランドの評判、ゲストの安全性、ゲストの体験を保護するには不十分です。

IoT Now：この脅威を克服する上でISEはどのような役割を果たしましたか？

TH ：私たちはここ数年、ホスピタリティ業界に深く関わってきました。 ハイアットホテルのカウンターパートと一緒に 、業界団体ホスピタリティテクノロジー次世代のドアロックセキュリティワーキンググループを立ち上げ、共同議長を務めました。

その2年以上の努力の結果、ドアロックシステムの抽象化された脅威モデルや、RFID、オンラインロックシステム、モバイルなどの新しいロックシステムの一連の開発ベストプラクティスなど、業界向けのいくつかの価値ある成果物を作成しました。キー。

私は最近、 Interel とともにリーダーシップの役割を果たしました。 、ホテル経営者向けの接続デバイスの主要なイノベーターであり、同じ業界団体のIoTワーキンググループの共同議長を務めています。このグループは現在進行中であり、業界が接続されたデバイスを採用する方法を検討し、それらが安全な方法で開発および展開されるようにするために、このグループを指導しています。

IoT Now：米国の医療提供者は患者データの保護に十分な注意を払っていますか？それとも、HIPAA（医療保険の相互運用性と説明責任に関する法律（米国、1997年）の要件を満たすことに重点を置いていますか？

TH ：HIPAAは医療に患者データに焦点を当てるように強制するため、これらは基本的に同じです。ヘルスケアのセキュリティにおける本当の問題は、代わりに彼らがそうではないことです 焦点：患者の健康の保護。私たちは最近、2年間にわたって作成され、12の病院とその支援医療機器やその他の技術の多くと協力して作成された、大規模な研究を発表しました。

この研究では、ハッカーが医療現場で患者に危害を加えたり死亡させたりする可能性があることを調査しました。私たちは、それが非常に可能であるだけでなく、多くの場合、そうするのが簡単であることを証明しました。基本的に、患者データだけを保護する取り組みは、患者の健康を保護するには不十分です。明らかなことを誇張しているように見えるリスクがありますが、これは現時点で最も重大なセキュリティ問題である可能性があります。

IoT Now：IoTサービスプロバイダーが今取るべき上位3つのアクションは何ですか 顧客のデータとIDが安全であることを確認しますか？

TH ：セキュリティを組み込みます。要件を収集した瞬間から導入後まで、開発プロセスの各段階でセキュリティを最優先事項と見なす必要があります。これは明らかにより効果的なセキュリティにつながりますが、さらに驚くべきことに、より安価でリソース集約型のセキュリティにもつながります。

• サードパーティの専門家によるセキュリティ評価を実施する 。システムの弱点を調査するかどうかに関係なく、敵はそうします。
• 敵対的な考え方を採用する 。セキュリティ評価について考えるときは、自動スキャン、ブラックボックスペンテスト、セキュリティとしてのコンプライアンスなどのコモディティアプローチに甘んじてはいけません。攻撃者はこれらの基本的な手順をはるかに超えているので、あなたもそうすべきです。

ボルチモアを拠点とするIndependentSecurityEvaluatorsのエグゼクティブパートナーであるTedHarringtonが、編集ディレクターのJeremyCowanからインタビューを受けました。