Uw leverancier kan uw vijand: stratsec

Bedrijven moeten zorgvuldig overwegen wie ze vertrouwen om hun software of hardware uit te krijgen, maar op hetzelfde moment, moeten zich tot alleen de grote merken niet te beperken, volgens stratsec chief technology officer Nick Ellsmore.

(Afbeelding Distributiecentrum door; Nick Saltmarsh, CC2.0)

Sprekend bij Informa’s inaugurele Cybercrime symposium in Sydney, Ellsmore zei dat de veiligheid folk vaak uitsluitend gekeken naar software en hardware veiligheidsvraagstukken zodra het product binnen het bedrijf was.

“We hebben nog steeds over het algemeen nemen nogal een systeem-centric benadering van beveiliging – proberen om het systeem te beschermen, of dat nu een eindpunt, of het nu een server, of het nu een website,” zei hij.

Maar volgens Ellsmore, dit niveau van controle gaat niet ver genoeg terug te gaan. Hij is van mening dat bedrijven zelf moeten vragen hoeveel ze kunnen vertrouwen op hun distributeurs en andere bedrijven verderop in de supply chain.

“De kwestie rond supply chain risk management is in wezen dat al deze verschillende organisaties en in feite zelfs individuen binnen deze organisaties, indien gecompromitteerd, kon eigenlijk van invloed zijn op de beveiliging van uw organisatie,” zei hij.

Zo zou een krimp- harde schijf nog steeds bevatten malware ingebracht vanaf toen het werd getest bij de fabrikant of bij het heimelijk geopend geknoeid en opnieuw gesloten in het magazijn. Of de informatie die aan de banken van de onderneming zou kunnen worden gelezen door een bedrijf tussenpersoon accountant of telecommunicatie-aanbieder.

Om het nog erger te maken, Ellsmore wees erop dat zelfs als bedrijven waren niet het belangrijkste doelwit van een inbreuk op zichzelf, een aanval op een van zijn toeleveranciers kan negatieve gevolgen hebben.

Hij wees naar het voorbeeld van de Epsilon inbreuk, die zag de gegevens van haar klanten bloot – een dergelijke high-profile klanten die Dell-Australië.

Apple; geweldige deal: Best Buy is de verkoop van originele Apple horloge voor slechts $ 189, Apple, Deze iPhones en iPads zal al achterhaald op 13 september, Mobility, T-Mobile gratis iPhone 7 aanbieding geldt upfront kosten en veel geduld, mobiliteit; $ 400 Chinese smartphones? Apple en Samsung afschuiven goedkope rivalen, de prijzen te verhogen in ieder geval

“Als je te veel mensen in Australië over wie eigenlijk weet wie Epsilon is praten, zou heel weinig mensen weten dat. Als je keek naar een groot deel van de media [rapporten] dat kwam, was het zeer veel over Dell klantgegevens zijn gestolen in datalekken, “zei hij.

[De headline] was niet ‘Epsilon aangetast, hun cliënt gegevens gestolen’, was het zeer veel over Dell. Mensen weten wie Dell is. Een schending van een leverancier is niet per se naar de leverancier bezoedelen, maar de schending van een leverancier kan heel goed te straffen uw organisatie.

Om leverancier problemen te voorkomen, Ellsmore pleitte steeds meer informatie-centric dan systeem-centric.

Wat dat eigenlijk betekent is dat je niet proberen om uw organisatie te beschermen niet meer, je probeert om uw gegevens te beschermen waar dat ook is. Of je het nu te houden, of je advocaten houden, of de consultants houden, of de investering bank houdt het, of je outsourcer houdt het. Omdat vanuit het perspectief van de misdadiger, ze niet echt schelen waar ze het krijgen van, ze willen gewoon de informatie.

Ellsmore zei dat de enige echte programma’s beschikbaar aan bedrijven voor het waarborgen van de integriteit van de producten waren systemen zoals de Common Criteria, of Defence Signals directoraat (DSD) evalueerde Producten Lijst.

Een voorbeeld hiervan is mobiele besturingssysteem van Apple, IOS, die DSD in de evaluatie van meer dan een jaar was. De Australische regering Information Management Office eerste adjunct-secretaris, John Sheridan, de hoogte van een Senaat ramingen commissie in februari 2011 dat het werkte met Apple om te certificeren iOS. In juli van dat jaar, DSD alleen vrijgegeven een gids voor iOS 4.3.3, en Sheridan heeft in een tweet dat de officiële evaluatie werd in september worden afgerond.

In oktober, na de streefdatum was verstreken en volgens de website van Australië ‘s queries op het moment van de release van iOS 5, werd onthuld dat DSD plannen om eerdere versies van iOS te evalueren had gesloopt en verhuisde naar iOS 5 alleen te evalueren. Deze evaluatie is nog niet beschikbaar, ondanks het feit dat Apple iOS bijgewerkt naar versie 5.1 afgelopen donderdag.

Ellsmore zei dat deze programma’s dat de producten gecontroleerd integriteit waren niet voldoende voor de meeste organisaties ‘behoeften.

“Er zijn een paar honderd producten wereldwijd die zijn geëvalueerd en ze geëvalueerd op specifieke versies, en het kost heel wat te gaan door middel van dat proces en neemt een lange tijd,” zei hij.

Wat het daadwerkelijk betekent is dat als je echt beperkt tot het kopen van de producten, je eigenlijk beginnen om niet de mogelijkheid om een ​​gevarieerde technologische omgeving omdat je gebonden bent aan de grote leveranciers en de grote producten die daadwerkelijk de mogelijkheid te hebben krijgen geaccrediteerd.

Geweldige deal: Best Buy is de verkoop van originele Apple horloge voor slechts $ 189

Deze iPhones en iPads zal al achterhaald op 13 september

T-Mobile gratis iPhone 7 aanbieding geldt upfront kosten en veel geduld

$ 400 Chinese smartphones? Apple en Samsung afschuiven goedkope rivalen, de prijzen te verhogen in ieder geval