공격이 성공적으로 수익화되면 유사한 공격이 뒤따를 것으로 예상하십시오. 일부 예방 보안 단계

독립 보안 ​​평가자의 Ted Harrington

적들은 끊임없이 진화하고 있습니다. 성공은 모방범을 낳습니다. 그리고 보안은 다면적입니다. 다음은 Jeremy Cowan이 Independent Security Evaluators의 수석 파트너인 Ted Harrington과의 대화에서 얻은 몇 가지 주요 교훈입니다. .

IoT Now:엔터프라이즈 데이터 보안에 대한 가장 큰 위협은 어디에 있습니까? 데이터에 대한 위협입니까 전송 중입니까, 아니면 저장된 데이터 자산에 있습니까?

테드 해링턴: 이는 주어진 기업의 위협 모델에 따라 다릅니다. 위협 모델링은 조직이 보호하려는 자산, 방어에 관심이 있는 적, 공격자가 캠페인을 시작할 공격 표면의 모음을 식별하는 연습입니다. 한 조직에 대한 가장 큰 위협은 다른 조직에 대해 동일하지 않을 수 있습니다. 위협 모델링은 그 질문에 답하는 데 도움이 됩니다.

나우 IoT:한 연구에서 ISE는 브라우저가 디스크에 캐시된 콘텐츠를 저장하는 것을 금지하지 않는 21개의 금융, 의료, 보험 및 유틸리티 계정 사이트(테스트된 사이트의 70%)를 식별한 것으로 알고 있습니다. 따라서 이러한 사이트를 방문한 후 암호화되지 않은 민감한 콘텐츠가 최종 사용자의 컴퓨터에 남게 됩니다. 이것이 증명합니까 ㄴ 좋은 절차와 교육이 최신 소프트웨어만큼 중요합니까? 교육 및 프로세스의 우선 순위를 지정하도록 디지털 서비스 제공업체를 어떻게 설득하나요?

TH: 주로 이 연구는 모든 유형의 기업이 공격자가 시스템을 손상시키는 방법을 효과적으로 이해할 필요가 있음을 증명합니다. 공격자를 이해해야만 공격자를 방어할 수 있습니다. 이 연구에서 입증한 바는 보안을 고려하려는 선의의 개발 노력도 이러한 노력이 시스템을 손상시키는 방법을 고려하지 않는다면 항상 실패할 것이라는 것입니다. 회사가 보다 효과적인 보안 접근 방식을 추구하도록 시도하고 설득하기 위해 사용하는 몇 가지 전략이 있습니다. 여기에는 다음이 포함됩니다.

경영진 교육 . 정보에 입각한 경영진이 더 나은 보안 결정을 내릴 것이라고 믿습니다. 따라서 모든 보안 연구의 부산물에는 기술적인 결과뿐 아니라 이러한 결과를 경영진에게 의미 있고 실행 가능한 방식으로 변환해야 합니다.

익스플로잇 데모 . 인간의 본성에 내재된 많은 선천적인 편견이 있어 사람들이 자신의 능력을 과대평가하고 적대적 능력이나 타협 가능성을 과소평가하게 됩니다. 무형을 유형으로 만드는 연구를 추구함으로써 우리는 그러한 편견을 약화시키고 의미 있는 행동을 하도록 돕습니다.

공감 . 보안 커뮤니티는 물건을 만드는 사람들과 상충하는 것으로 간주되는 경우가 너무 많습니다. 개발자들 사이에서 공통적으로 삼가는 것은 보안이 "속도를 늦추고" 사용자 경험 전문가들 사이에서 보안이 "일을 어렵게 만든다"는 것입니다. 우리는 이러한 입장에 동의하지 않지만 완전히 폐기하지는 않습니다. 대신, 우리는 항상 주의를 기울이고 고객의 문제를 이해합니다. 그들의 사업을 가장 잘 이해하고 그들의 문제에 공감함으로써 우리는 그들의 사업이 운영되는 실제 상황에서 효과적인 완화책을 개발할 수 있습니다.

지금 IoT: 해커는 1월에 오스트리아의 Romantik Seehotel Jaegerwirt 호텔에 세 번째 공격을 가했으며, 호텔 문 잠금 장치를 경영진에게 반환하기 위해 비트코인으로 1,600달러를 요구했습니다. 유감스럽게도 호텔이 만석인 상황에서 호텔리어는 이에 따르고 몸값을 지불하기로 결정했습니다. 이를 통해 접객 산업 및 기타 부문에서 어떤 교훈을 얻을 수 있습니까?

TH: 이로부터 몇 가지 교훈을 얻을 수 있습니다.

적들은 끊임없이 진화합니다 . 랜섬웨어 자체는 오래된 공격 도구를 비교적 새로운 방식으로 변형한 것으로, 이를 사용하여 게스트 경험을 약화시켜 지불을 강요하는 것은 정말 놀라운 혁신입니다. 과거의 방어 패러다임에만 집중함으로써 기업은 미래의 공격자는 고사하고 현대적인 공격자로부터 방어할 수 없게 됩니다.

성공은 모방범을 낳습니다 . 이 공격자가 자신의 노력으로 수익을 창출하는 데 성공했기 때문에 호텔 업계에서는 유사한 공격이 뒤따를 것이라고 합리적으로 예상할 수 있습니다. 공격자들은 다른 사람들과 마찬가지로 결과에 기반한 결정을 내리는 경우가 많습니다. 과거의 성공으로 입증된 기회가 있는 곳에서 추구할 것입니다.

보안은 다면적입니다. . 보안과 관련하여 환대 산업은 PCI 규정 준수와 게스트에 대한 PII(개인 식별 정보) 보호에 크게 중점을 두었습니다. 그러나 이 사례는 브랜드 평판, 게스트 안전 및 게스트 경험과 같은 다른 매우 귀중한 자산에 대한 타협을 보여주었습니다. PCI 및 PII만을 고려하는 것만으로는 브랜드 평판, 게스트 안전 및 게스트 경험을 보호하기에 충분하지 않습니다.

IoT Now:ISE는 이 위협을 극복하는 데 어떤 역할을 했습니까?

TH :우리는 몇 년 동안 환대 산업에 깊이 관여해 왔습니다. Hyatt Hotels의 상대방과 함께 , 우리는 산업 무역 협회 Hospitality Technology Next Generation의 도어 잠금 보안 작업 그룹을 시작하고 공동 의장을 맡고 있습니다.

그 2년 이상의 노력의 결과, 우리는 도어 잠금 시스템에 대한 추상화된 위협 모델과 RFID, 온라인 잠금 시스템 및 모바일과 같은 새로운 잠금 시스템에 대한 개발 모범 사례 세트를 포함하여 업계를 위한 몇 가지 가치 있는 결과물을 만들었습니다. 키.

저는 최근에 Interel과 함께 리더십 역할을 맡았습니다. , 호텔리어를 위한 커넥티드 디바이스의 선도적인 혁신가가 동일한 무역 협회의 IoT 워킹 그룹의 공동 의장이 되었습니다. 이 그룹은 현재 진행 중이며 업계에서 연결된 장치를 채택하고 안전한 방식으로 개발 및 배포하는 방법을 생각할 수 있도록 안내하고 있습니다.

IoT Now:미국 의료 제공자가 환자 데이터 보호에 충분한 관심을 기울이고 있습니까? 아니면 HIPAA(Health Insurance Portability &Accountability Act(미국, 1997)) 요건을 충족하는 데 더 집중하고 있습니까?

TH :HIPAA가 의료 기관이 환자 데이터에 집중하도록 하기 때문에 이는 본질적으로 동일합니다. 의료 보안의 진정한 문제는 오히려 그것이 아닌 것입니다 초점:환자 건강 보호. 우리는 최근 2년 동안 12개 병원 및 지원 의료 기기 및 기타 기술과 협력하여 제작한 대규모 연구를 발표했습니다.

이 연구에서는 해커가 의료 환경에서 어떻게 환자에게 해를 입히거나 사망에 이르게 할 수 있는지 조사했습니다. 우리는 그것이 매우 가능할 뿐만 아니라 많은 경우에 그렇게 하기 쉽다는 것을 증명했습니다. 기본적으로 환자 데이터만 보호하려는 노력만으로는 환자의 건강도 보호하기에는 부족합니다. 명백한 사실을 과장하는 것처럼 보일 수 있지만 현재로서는 가장 중요한 보안 문제일 수 있습니다.

IoT Now:IoT 서비스 제공업체가 지금 취해야 할 가장 중요한 세 가지 조치는 무엇입니까? 고객의 데이터와 신원이 안전한지 확인하시겠습니까?

TH :보안을 구축합니다. 요구사항을 수집하는 순간부터 배포 이후에 이르기까지 개발 프로세스의 각 단계에서 보안을 최우선 순위로 고려해야 합니다. 이는 분명히 더 효과적인 보안으로 이어지지만 더 놀랍게도 더 저렴하고 리소스 집약적인 보안으로 이어집니다.

• 타사 전문가의 보안 평가 참여 . 시스템의 약점을 조사하든 하지 않든 적군은 그렇게 할 것입니다.
• 적대적 사고방식 채택 . 보안 평가에 대해 생각할 때 자동 스캔, 블랙박스 펜 테스트 또는 보안으로서의 규정 준수와 같은 일반적인 접근 방식에 안주하지 마십시오. 공격자는 이러한 기본 단계를 훨씬 능가하며 여러분도 그래야 합니다.

볼티모어에 소재한 Independent Security Evaluators의 수석 파트너인 Ted Harrington은 편집 이사인 Jeremy Cowan과 인터뷰했습니다.