Video: Je digipas deblokkeren bij SNS (November 2024)
Met zijn dikke muren, massieve gewelven en eigen beveiligingsdetails is een ouderwets bankgebouw het beeld van degelijkheid. Online banken en financiële instellingen delen dit niveau van fysieke beveiliging niet. Door connecties met externe partners kunnen de randen van een dergelijke instelling zelfs heel dun zijn. Op de RSA-conferentie in San Francisco bracht Lookingglass Cyber Solutions een onderzoek uit dat een schokkend gebrek aan veiligheid aan het licht bracht bij die externe leveranciers.
Dit soort problemen is recent in het nieuws geweest. De enorme datalek op Black Friday bij Target, oorspronkelijk gedacht als een "inside job", bleek van een derde partij te zijn. In het bijzonder kwam de aanval via Target's aanbieder van HVAC-diensten. De eigenaar van het bedrijf omschreef het als "een geavanceerde cyberaanvaloperatie", maar de gegevens van Lookingglass suggereren dat verfijning niet altijd nodig is.
100 procent riskant
Om de gegevens voor dit onderzoek te verkrijgen, volgde Lookingglass "betalingsverwerkers, auditors en andere financiële diensten binnen de supply chain van de financiële sector". Het onderzoek vond plaats gedurende een periode van 35 dagen in het vierde kwartaal van 2013 en ontdekte dat 100 procent van de netwerken van derden 'tekenen van een compromis of een verhoogd risico vertoonde'.
Kijkglasonderzoekers ontdekten uitgaand botnetverkeer en kwaadaardig netwerkgedrag in volledig 75 procent van de netwerken van derden. Dat is behoorlijk schokkend. Erger nog, 25 procent van het totaal vertoonde tekenen van infectie door de Trojan van het bankbedrijf Zeus. En sommige van deze derden vertrouwen zelf op andere derden, waardoor de kans op een inbreuk toeneemt.
Te veel deuren
"Deze studie benadrukt een zwakte waar de industrie erg terughoudend over is geweest om in het openbaar over te praten - het feit dat vertrouwde derde partijen niet echt vertrouwd kunnen en kunnen worden", zei Chris Coleman, CEO van Lookingglass. "Wereldwijde organisaties… moeten verder kijken dan hun eigen defensieve grenzen en overwegen hun openbare aanwezigheid op internet te monitoren om hun aanvalsoppervlak beter te begrijpen."
Dat goede ouderwetse bankgebouw heeft zo min mogelijk deuren en elke stevige deur is uitgerust met een alarmsysteem en beveiligingscamera's. Voor een online financiële instelling is elke externe verbinding een deur die cybercriminelen mogelijk binnen laat glippen. Erger nog, het kan moeilijk zijn om zelfs maar te beseffen dat zo'n portal bestaat. Wie had gedacht dat de aanvallers van Target de HVAC-aannemer konden binnenkomen? Het volledige rapport gaat dieper in op degenen die geïnteresseerd zijn.
De les is duidelijk. Uw online instelling is slechts zo veilig als haar externe providers, dus u zult deze providers grondig willen onderzoeken. Bel voor een audit, of gebruik een service zoals Lookingglass die de beveiliging controleert van "het volledige enterprise cyber ecosysteem van een klant, inclusief de uitgebreide onderneming, en andere netwerken waarover zij geen controle hebben". Websites die de beveiliging correct uitbreiden tot het uiterste van hun invloedssfeer, zullen mooi blijven zitten terwijl hun concurrenten elke keer opnieuw inbreuk maken.
