Az éves Black Hat információbiztonsági konferencia mindössze néhány rövid hét alatt elérhető. A biztonsági szakemberek, a vezetők, az eladók és a hackerek összejönnek a Las Vegas-on, hogy megismerjék és megosszák a legújabb sebezhetőségeket, védekezéseket, biztonsági lyukakat és a hackelési technikákat. A konferencia előtt a Black Hat közzétette egy olyan felmérés eredményeit, amelyben a legfontosabb biztonsági szakértők megkérdezték aggodalmaikat és véleményüket. Különböző jelentéseket olvashat az eredményekben, de a saját elvitelem a következő: Te vagy a leggyengébb lánc. (Igen, érted.)
A felmérés válaszadóinak poolját a szakértelem és a valós tapasztalatok alapján választották ki. A 460 biztonsági szakemberek és vezetők közül majdnem kétharmada legalább 1000 alkalmazottal rendelkező cégekből származott. A munkakörök több mint 60 százalékában tartalmazzák a "biztonság" szót, és a csoport teljes negyede szolgál szervezetük biztonsági menedzserének. Ezek az emberek árkokban vannak, fáradhatatlanul dolgoznak a vállalataik biztonsága érdekében.
Aggódik a valóság ellen
A felmérés nagy része a válaszadóknak 15 biztonsági fenyegetést és kihívást jelentett. Felkérték őket, hogy jelöljék meg a három legfontosabb kihívást, amelyek leginkább aggasztják őket, az első három, akik idejét foglalják el, és az első három, amelyek a költségvetés legnagyobb részét kapják. Logikusan azt gondolnád, hogy ezek szorosan nyomon követhetők; a gyakorlatban nem erről van szó.
A legnagyobb gond, 57 százalék, a célzott támadásokkal, a biztonság megsértésének kifinomult kísérleteivel szembeni védelem volt. A válaszadók mindössze 20 százaléka számolt be arról, hogy az ilyen támadásokra való felkészülés és az ilyen támadásokkal való foglalkozás a fogyasztók ideje nagy részében.
A következő leginkább aggasztó kihívás az adathalász és más társadalmi mérnöki támadások volt. 46 százalékos arányban ez jóval az összes többi aggodalomra okot adó kérdés, kivéve a célzott támadásokat. A világ legjobb biztonsági rendszere nem segít abban az esetben, ha egy csaló üzenet ráveszi az alkalmazottait arra, hogy kapcsolják ki, és az ilyen problémák utáni takarítás valódi medve lehet. Valójában, amennyire a biztonsági szakemberek időt töltenek, az első három szempont közül kettő emberi hibával jár. A közösségi hálózatok egyike, de a legelterjedtebb megoldás a házon belüli fejlesztési csapatok által bevezetett biztonsági problémák kezelése.
Más aggodalmak, például a kormányunk általi megfigyelés vagy más, bennfentes támadások és a tárgyak internete (IoT) eszközök elleni digitális támadások, csak nem fogyasztanak ugyanolyan mértékű mentális vagy pénzügyi forrásokat. Valójában ennek a felmérésnek a válaszadóinak a legnagyobb költsége az, hogy a hanyag felhasználók - az emberek - ismét véletlenszerűen szivárognak az adatokból. A néhány költségesebb aggodalom között szerepel még az emberi hibák kezelése is, amelyek miatt a társaság nem felel meg a szabályoknak, és a szociális mérnöki támadások miatt esett munkavállalók által okozott problémák kijavítása.
Okosabbak leszünk?
A válaszadókat arra is felkérték, hogy fogadják el ugyanazt a 15 kihívást, és válasszanak ki háromat, amelyek két év múlva a legnagyobb gond. Érdekes, hogy az emberekkel kapcsolatos aggályok sokkal alacsonyabbak voltak ebben a listában. A házon belüli fejlesztés által bevezetett biztonsági problémák az alján vannak, 7 százalékkal. Következő olyan hibák, amelyek 8 százalékkal meghiúsítják a társaságot a szabályok betartásától. És a rosszindulatú bennfentesek által elkövetett adatlopások 9 százalékkal alakulnak. A szociális mérnöki aggodalmak továbbra is jelentõsek, de a legcsúcsosabb pont közelében.
Két év alatt a szakértők (ezek 36 százaléka) úgy érzik, hogy a tárgyak internete támadása lesz a legnagyobb aggodalom, amelyet célzott támadások követnek (a jelenlegi 57 százalékról 33 százalékra). A hat legfontosabb probléma egyike sem jár emberi tévedéssel. Úgy tűnik, okosabbak leszünk!
Te vagy a leggyengébb láncszem
A kiterjedt felmérés fennmaradó része a biztonsági személyzet felvételét, a bérbeadást és a karrier növekedést vonja maga után, olyan témákban, amelyek kevésbé érdeklődnek azok számára, akik a biztonsági közösségben közvetlenül nem vesznek részt. A teljes jelentést itt olvashatja.
Egy pont határozottan érdemel figyelmet. Arra a kérdésre, hogy mi a jelenlegi informatikai biztonság leggyengébb láncszeme, a válaszadók a weboldalon alapuló fenyegetéseket, az egymással nem beszélő biztonsági eszközöket és a végpont-sérülékenységeket helyezték a lista aljára , mindegyikük a szavazatok mindössze 3% -át kapta. Mi van a tetején? Több mint egyharmada azt mondta: "Végfelhasználók, akik megsértik a biztonsági politikát és könnyen becsapják őket a szociális mérnöki támadásokkal."
A jelentés azt a következtetést vonja le, hogy a legtöbb szervezetnek nincs elegendő biztonsági személyzete, és nem koncentrálják a személyzet idejét és költségvetését a legfontosabb problémákra. Fontolja a biztonsági karriert? A jövőd rózsásnak tűnik! De ki kell kitalálnia, hogyan lehet megakadályozni az alkalmazottakat, hogy véletlenül vagy lazán süllyesszék le erőfeszítéseit.
