关于数据漏洞:谨防专业IT骄傲通往秋天

我们在过去一个月见证了Equifax,证券交易委员会(SEC)和Deloitte的标题抓取数据泄露。许多其他全球公司和政府在过去几年中看到了大规模的安全事件。有无尽的经验教训,但很少谈论这种影响我们所有人的网络盲点。

by / September 30, 2017

更好的团队并不总是赢。

最合格的申请人并不总是得到这项工作。

最强的战士并不总是赢得战斗。

我们最清楚地看到了这一现实。 Upsets一直发生。失败者击败了最爱。

例如,奥克兰袭击者在上周日晚上在兰德弗,MD的兰德斯队进入FedEx领域。期待粉碎(据称较弱)的华盛顿红斯金斯。大多数专家都预测了一个容易的奥克兰胜利,但对大多数人来说’s surprise, 华盛顿占据了比赛— winning 27-10。只是你说的另一个nfl周末?

在历史上追溯到几十年,如山姆内德,更加实质性的体育扰动’S(David Vs. Goliath巨大) 1982年在大学篮球的弗吉尼亚队的胜利 或者 美国奥林匹克曲棍球队’s “Miracle on Ice” 在1980年击败俄罗斯曲棍球。

但为什么?为什么最有才华的专业人士,最好的运动和其他团队,那些了解完成工作所需的人,仍然失败了?

可能是弱者工作更难,是聪明的(特洛伊木马-Style),坚持不懈,更好的研究或有更好的游戏计划。

有时候,最喜欢的团队过于自信或低估了他/她的对手。他们不’t bring their “A-players.” Or the “A-players” don’t bring their “A-game.”

We’听到了数百次: 骄傲来到秋天之前.

我喜欢这部电影的剪辑 爱国者, 其中梅尔吉布森显着地说明了骄傲可能是弱点的点,即使在战争中:

数据违规课程

但这符合数据违规或最近的企业安全事件有什么关系?

传统的智慧说相反是真的。过度自信应该是现在世界上任何网络安全的思想的最后一件事。公司每天被黑客攻击,为什么甚至在同一个句子中提及哈布里斯(或过度骄傲)和网络?

那里 are many great articles showing how 网络安全是遇到麻烦的,因为我们已经出局了 在线的。常见的故事情节是坏人黑客太好了—对?我们正面临国家的专家,他们可以超越任何我们可能停止的东西。

典型的首席信息安全官员(CISO)答案包括需要更多的网络人权奖金, 更多人才, 更多的 网络安全唤醒电话,技术,更好的技术,更多的卓越中心,并加快了家庭中的所有网络特征的公众注意力。

此外,存在未结块数量的列表 Equifax后的经验教训 适用于公司 和个人 这似乎指出了很多其他方向。我真的很喜欢Forrester的博客,概述了传统智慧“B2B BREACH第三件:EQUIFAX,SEC和DELOITTE.”  

是的—我同意这些列表的大多数建议。不—我没有改变我的脑海城的全球态度。许多黑帽黑客和国家演员非常擅长使用零日恶意软件或复杂的技术来解决最佳防御。

但我相信我们也需要看其他 人民和文化问题,因为我不’认为这些列表充分回答了企业的一些基本安全问题。

问题如:为什么 Equifax没有修补众所周知的漏洞 这导致了大规模的违规行为?

或者为什么 Equifax是否使用“管理员”单词进行登录和具有敏感信息的重要数据库的密码?

或者为什么 Deloitte的企业电子邮件管理员没有使用2因素身份验证

这些刚刚选择了几名员工的刚刚不幸的次要犯罪? 

这些情况导致了重大的数据泄露,并且由于这些事件而言,已经有大量媒体嘲笑和在线名称。许多人正在质疑做工作(或其领导)或嘲笑他们的专家的具体人士的资格 没有做他们告诉别人的事.

是的—制造了巨大的错误,但我’不打算挑选特定的个人或他们的简历。我看到了世界各地政府和私营公司所作的类似错误—虽然往往的股份往往更少。

但是回到上面的问题清单,我们真的相信Equifax,或SEC或Deloitte(或者对于那个物质OPM或目标或雅虎或者是其他顶级全球公司和政府)没有(或者可以在这些事件发生之前,没有得到)足够的资源来解决他们的网络问题?

我不’t.

我与Deloitte等顶级咨询公司等公司合作,我知道他们有智能,合格的顾问,他们知道该怎么做,以防止这些和其他类型的数据违规行为。他们每年都在利润数十亿美元,所以我不’相信他们缺乏全球企业资源的电子邮件。

现在,管理层是否需要更多地关注细节,或者部署合适的人,在正确的地方,流程和技术是另一件事—并进入我对下面的IT文化的评论的核心。

虽然资源和以越来越小的公司和政府肯定存在肯定存在,但这些顶级组织应该是最好的,最聪明,卓越标准。他们了解风险,(在组织的其他部分)甚至向他人教授网络最佳实践。那么为什么他们不能阻止导致数据违规的这些直接的问题? 

毫无疑问,它’有时是一个易说的话:“坏人太好了。”我认为真正的答案有时是一个骄傲的文化和许多顶级组织中普遍的个人做法—是的,我指的是华盛顿州的顶级咨询公司,科技公司和三封信的政府机构。 

我不是在谈论追求卓越,技能或工艺或专业的骄傲“为工作做得很好的工作感到自豪”或者在他们的报告卡上为您的孩子带来自豪的感觉。

不,这是一种盲点类型的骄傲,它扮演过度提供和/或缺乏准备和/或不是“bringing your A-game”作为许多相同方面的局面,因为良好的运动队被较小的对手击败。

但在我提供了一个具体方式列表之前,我认为这个问题可以播放以及我们可以做些什么,我想说这个主题绝不是新的。我个人看到这一挑战在我的职业生涯中出现了充足的次数—在供应商合作伙伴和屡获殊荣的政府安全团队中。

回到2010年,我写了一些导致的一些以人为本的问题 安全优点(和团队)失败以及CSO博客中的这个特殊问题的方面,标题为:“不够谦逊的馅饼” and “你是内在威胁吗?”

这个主题也没有限于安全性。几乎任何专业IT角色都可能发生类似的问题,我’已经看到专业的过度自信,导致网络和电子邮件中断,备份差错,编写差的代码和许多其他技术问题和担忧。   

如何影响组织安全并导致数据泄露

以下是执行管理和技术和安全专业人士在骄傲或过度自信的旗帜下失败的一些方法—可能甚至导致疏忽:

  • 没有在合适的任务上将合适的人或合适的团队置于正确的任务。或者最初做正确的事情,但将它们拉下来并带入B-Team或C-Team。或者使用大学实习生在周末或在休假期间省钱以省钱。 注意:顶级技术公司和顾问希望将其顶级玩家放在那里,可以在那里为最高元赚钱。通常,这不是系统管理员,用于修补安全漏洞的电子邮件或内部员工。
  • 不完全植入工具,流程或程序。或者不执行政策—(例如允许企业电子邮件管理员面向2系列身份验证。)不像您的培训。 注意:这一挑战可以从专业的骄傲流出,因为有人认为他们“wrote the book”已经知道这东西,可以打破自己的规则。或者在电影中说 矩阵: “There’在知道路径和走路之间的区别。”

 

  • 低估了对手,同时高估了技术工具’利用初级员工阻止事件的能力。因此,不准备妥善实施新项目。专业疏忽。
  • 合格的工作人员没有带来他们的“A-game”任何个人或专业理由。老人“去过那里,得到了T恤” mentality. Or, “我知道风险,但它’s fine.”真的吗?你确定吗?
  • 执行管理假设一切都是正确的—因为数百万美元正在花在网络安全上。管理层认为:“We’ve得到了这个覆盖。我们是最棒的!它赢了’t happen to us.”或管理不适用于意识或技术培训或新活动,因为他们不’T了解所采取的风险和缓解步骤。
  • 假设外包函数(支持供应商或其团队)正当地照顾事情(在供应商中过度提供服务’s ability) —不理解你可以’T外包责任。
  • 工作人员不想询问需要被要求害怕报复和/或讲述能够让他们纪律处分的管理的问题。 注意:过度自信管理也可以忽略他们在员工之前听到的警告,因为工作人员似乎是“crying wolf.”
  • 不愿意随时改变有关网络图案变更时的安全工具和技术。保持旧谚语:“We’vere始终这样做。”
  • 烧坏的球队,但管理层’看看它。高管相信你’过去的事件响应奇迹,所以你’请以某种方式再做一次。但现在该团队被疲惫不堪,顽固地努力在顶级表现。良好的管理层了解网络肠呆子反应团队只能如此长,就像紧急管理团队对哈维,IRMA和现在的玛丽亚回收时一样。
  • 缺乏了解你真正留下的天赋。是的,你是几年后的最好的,但也许你的顶级网络技术左。一些经理们不’希望高管知道他们遇到了麻烦。高管仍然为奖杯赢得几年后的奖杯,但他们即将令人粗鲁的觉醒。  

最后的想法

我同意有时代,顶级团队带来了他们的游戏,仍然被俄罗斯或中国或其他一些黑客A-Team击败。尽管组织,最好的球员和工具和工具和流程以及整体网络防守肯定会被拖动’s best efforts.   

但这并不是百分比的百分比百分比。

基于已透露的内容,Equifax和Deloitte的数据泄露是可避免的,企业领导力有能力(人,流程和技术)阻止坏人。我不’T了解有关SEC数据违规的足够细节,以使同样的陈述,但是许多其他标题数据泄露可能已停止使用可用的工具和持续的警惕。

向前迈进,高管必须共同看看镜子并认识到我们可以做得更好。随着网络的最佳实践,如:良好的修补,适当的网络饱迹,基本的网络博弈和解决任务,所有员工的更新安全意识培训,以及从NIST和其他人实施的网络帧检查表,可以避免更多的数据泄露。

我对网络安全的信息是这样的:保持谦虚和警惕。你永远不知道下一个角落围绕着什么或谁。    


永远不会错过每日Govtech今天的故事时事通讯。

订阅


E.Republic平台& Programs