Video: IRS Dice Que Empresas No Pueden Deducir Gastos Pagados Con Préstamo PPP (Noviembre 2024)
Con sus gruesos muros, bóvedas masivas y detalles de seguridad internos, un antiguo edificio bancario es la imagen de solidez. Los bancos en línea y las instituciones financieras no comparten este nivel de seguridad física. De hecho, a través de las conexiones con socios de terceros, los límites de una institución de este tipo pueden ser realmente débiles. En la Conferencia RSA en San Francisco, Lookingglass Cyber Solutions lanzó un estudio que revela una sorprendente falta de seguridad entre esos proveedores externos.
Este tipo de problema ha estado en las noticias recientemente. La violación masiva de datos del Black Friday en Target, originalmente pensada como un "trabajo interno", resultó tener un origen de terceros. Específicamente, el ataque se produjo a través del proveedor de servicios de climatización de Target. El propietario de la compañía lo describió como "una operación sofisticada de ataque cibernético", pero los datos de Lookingglass sugieren que la sofisticación no siempre es necesaria.
100 por ciento de riesgo
Para obtener los datos para este estudio, Lookingglass rastreó "procesadores de pagos, auditores y otros servicios financieros dentro de la cadena de suministro de la industria financiera". El estudio tuvo lugar durante un período de 35 días en el cuarto trimestre de 2013, y encontró que el 100 por ciento de las redes de terceros "mostraban signos de compromiso o un mayor riesgo".
Los investigadores de Lookingglass detectaron el tráfico de botnet saliente y el comportamiento malicioso de la red en el 75 por ciento de las redes de terceros. Eso es bastante impactante. Peor aún, el 25 por ciento del total mostró signos de infección por el troyano bancario Zeus. Y algunos de estos terceros confían en otros terceros, lo que aumenta las posibilidades de incumplimiento.
Demasiadas puertas
"Este estudio destaca una debilidad de la que la industria ha dudado mucho en hablar en público: el hecho de que terceros confiables no deberían ni pueden ser verdaderamente confiables", dijo Chris Coleman, CEO de Lookingglass. "Las organizaciones globales… deben mirar más allá de sus propios perímetros defensivos y considerar monitorear su presencia pública en Internet para comprender mejor su superficie de ataque".
Ese buen edificio bancario pasado de moda tiene la menor cantidad de puertas posible, y cada puerta robusta está equipada con un sistema de alarma y cámaras de seguridad. Para una institución financiera en línea, cada conexión con un tercero es una puerta que podría permitir que los ciberdelincuentes entren. Peor aún, puede ser difícil incluso darse cuenta de que dicho portal existe. ¿Quién hubiera pensado que los atacantes de Target podrían ingresar a través del contratista de HVAC? El informe completo entra en más detalles, para aquellos que estén interesados.
La lección es clara. Su institución en línea es tan segura como sus proveedores externos, por lo que querrá examinar a fondo a esos proveedores. Solicite una auditoría o utilice un servicio como Lookingglass que verifique la seguridad de "todo el ecosistema cibernético empresarial de un cliente, incluida la empresa extendida y otras redes más allá de su control". Los sitios web que extienden correctamente la seguridad hasta el borde de su esfera de influencia estarán bien sentados mientras sus competidores sufren una violación tras otra.
