02 Mart CISO Raporu: Pandemi Sırasında Hackerlar Hakkında Ne Öğrendiniz?
Bloglarda, Videolarda
PNC Bank CISO Susan Koski, güvenlik harcamalarınızı risk iştahınıza göre uyarlayın diyor
– david kahverengi
Melbourne, Avustralya – 2 Mart 2023
CISO Raporunun sponsorluğunu BilBe4.
“İyi finanse edilen” siber suçlular, pandemiyi sektör bilgilerini ve uzaktan saldırı tekniklerini metodik olarak bilemek için harcadılar ve ilk on bankanın CISO’su, giderek daha fazla iş benzeri siber suç çeteleri ABD kuruluşlarını hedef aldıkça, şirket yöneticilerinin güvenlik yatırımlarına ihtiyaç duydukları yerde odaklanarak yanıt vermeleri gerektiği konusunda uyardı. en büyük etkiyi sağlayacaktır.
Pittsburgh merkezli PNC’nin CISO’su Susan Koski, Cybercrime Magazine’e verdiği demeçte, siber suçlular “bankacılık sistemini inanılmaz derecede iyi öğrendiler, ancak COVID sırasında zanaatlarını da mükemmelleştirdiler” dedi.
“Gittikçe daha fazla şeyi insanları görmeden yapmak zorunda kaldığımız için, onlar gerçekten [improve] ticari zanaatları ve bunu yürütün.
“Suçlular bunu iyi niyetli bir iş olarak yürütüyorlar,” diye ekledi, “ve kazançları için sistemdeki herhangi bir boşluktan yararlanmak istiyorlar.”
ABD’nin en büyük bankalarından birinin CISO’su olan Koski, Synovus, Aetna ve BNY Mellon’ın emektarlarından biri ve PNC’nin güvenlik ve kurumsal müdahale, operasyonlar ve dolandırıcılık operasyonlarını beş yıl yönettikten sonra geçen Ekim ayında CISO rolünü devraldı. bölümsel bir CISO olarak – siber saldırılardan payına düşeni aldı.
Artan siber suç ortamında, finansal hizmetler şirketleri, finansal düşünen siber suçlular için başlıca hedefler haline geldi: Verizon’s Veri İhlali Araştırmaları Raporu (DBIR) 2022birincisi, yalnızca 2022 boyunca bankacılık hedeflerine karşı 2.527 siber olay kaydetti – günde yaklaşık yedi – ve 690 doğrulanmış veri ifşası vakası.
Ellerinde bulundurdukları verilerin son derece hassas doğası göz önüne alındığında, bankalar suçluların işleyiş tarzları değiştikçe siber savunmalarını sürdürmek ve geliştirmek için çok çalışıyorlar ve FDIC, son raporunda paylaştığı gibi, sektörle aktif bir şekilde ilgileniyor. 2022 Siber Güvenlik ve Direnç Raporu – ancak etkili güvenlik, dedi Koski, soruna para harcamaktan daha fazlasını gerektirir.
“Güvenlik harcamalarınız risk iştahınıza gerçekten ayak uydurmalıdır,” diye açıkladı, “ve gerçekten şirketinizin karşı karşıya olduğu risklere ve tehditlere bağlı. Ama aynı zamanda şirketinizin yaptıkları, üst düzey yöneticilerinizin ve yönetim kurulunuzun talepleri bağlamında da harcama yapmanız gerekiyor.”
Bu, örneğin, yönetişim araçlarının yanı sıra kömür-yüzlü güvenlik sistemleri için bütçeye öncelik vermek anlamına gelebilir – ancak her durumda, güvenlik yöneticileri, güvenlik noktası çözümlerine büyük harcama yapmak için zamana göre test edilmiş modeli takip etme konusunda aşırı taahhütte bulunmamaya dikkat etmelidir. .
Koski, “Bu sadece aletlere yapılan harcamalarla ilgili değil,” diye açıkladı. “Biz güvenlik profesyonelleri, türünün en iyisi çözümlere yönelme eğilimindeyiz, ancak bir araç satın alır ve onu çalıştıramazsanız, o zaman raf yazılımı haline gelir.”
Tespit edilen hataların hızla öğretim anlarına dönüştürülebilmesi için entegre güvenlik farkındalığı eğitimi yetenekleri de içeren bir e-posta savunma platformu gibi entegre çözümler arayın.
Bu aynı zamanda otomasyon yeteneklerini entegre eden platformları tercih etmek anlamına da geliyor.
Koski, “İnsanlar ve güvenlik alanında yaptığımız işte nasıl gerçekten yenilikçi ve verimli olabileceğimiz konusunda tutkuluyum,” diye açıklıyor Koski, “böylece çalışanlarımız yapmak istedikleri daha ilginç ve ilginç işleri yapabilirler.”
“Daha ilginç ve ilginç işleri yapmak için zihinlerini açabilmeleri için sıradan işleri otomatikleştirmeye gerçekten yardımcı olmaya çalışıyoruz.”
Doğru insanları bulmak
Yine de doğru araçları bulmanın çözümün yalnızca bir parçası olduğunu söyledi Koski. İnatçı siber güvenlik becerileri açığının “zor” bir sorun olmaya devam ettiği bir pazarda – Cybersecurity Ventures’a göre yaklaşık 3,5 milyon siber güvenlik pozisyonunun 2025 yılına kadar doldurulmayacağı tahmin ediliyor – işverenlerin de pazar beklentilerini ve işe alım yaklaşımlarını yeniden tanımlaması gerekiyor.
Örneğin bulut becerileri, “aradığımız diğer bazı beceri setlerinden daha zor ve daha kazançlı” diye açıkladı. “Liderler olarak daha yaratıcı ve daha yenilikçi olmalıyız.”
Bu, örneğin, iş başvurusunda bulunanların dört yıllık üniversite derecelerine sahip olma beklentilerini yeniden gözden geçirmek veya siber güvenlikle ilgili becerilerde (örnek eşleştirme gibi) yetenek göstermiş ancak siber rollerde yıllara dayanan deneyime sahip olmayabilecek kişileri işe almak anlamına gelir.
Koski, birçok şirketin “giriş seviyesi” olduğunu iddia eden ancak yıllarca deneyim gerektiren birçok pozisyonla, iş tanımlarında yanlış kelime seçimleri nedeniyle kendi ayaklarına kurşun sıkmaya devam ettiğine dikkat çekti.
“Bu mesajı nasıl ilettiğimiz konusunda gerçekten dikkatli olmalıyız,” diye açıkladı, “çünkü bunu söylüyorsanız, bu gerçekten giriş seviyesi değil. [candidates] bu kadar deneyime ihtiyaç var.”
Benzer bir şekilde, siber güvenlik adaylarıyla ilgili beklentileri sıfırlamak aynı zamanda adaylarla daha okul yılları gibi erken bir tarihte ilişki kurmak anlamına gelir;
“Yaratıcı ve yenilikçi olmalıyız,” dedi Koski, “ve geleneksel olmayan yollara bakmak için tüm bu kaldıraçları kullanmalıyız. [of recruiting]”
“Giriş seviyesindeki insanlara yatırım yapacaksak, onlara yatırım yapıyoruz – ama aynı zamanda onların kutunun dışında düşünmelerine ve sorunlara tamamen farklı bir şekilde bakmalarına izin veriyoruz.”
“İnsanların sadece farkında olması, ancak bunu işle gerçekten bağ kuracak ve sadece bir grup teknik jargon olmayacak şekilde yapması inanılmaz derecede önemli.”
Bu aynı zamanda işe alım konusunda proaktif olmak, gelecekteki potansiyel çalışanlarla bağları sürdürmek ve siber deneyimin belirli alanlarında kimin ön plana çıktığını bilmek anlamına gelir.
Koski, “Ekibime her zaman ‘zanaatınızı ve özel bilgi güvenliği alanınızı bilmelisiniz’ derim,” diye açıkladı Koski, “ve gerçekten bir sıranız var — böylece pozisyonları doldurma fırsatlarınız olduğunda, gerçekten başlamıyorsunuz. sıfırdan.”
– david kahverengi Avustralya’nın Melbourne kentinde yaşayan ödüllü bir teknoloji yazarıdır.
David’in Cybercrime Magazine makalelerinin tamamını okumak için buraya gidin.
KnowBe4 sponsorluğunda
KnowBe4, devam eden sosyal mühendislik sorununu yönetmenize yardımcı olan, dünyanın en büyük güvenlik bilinci eğitimi ve simüle edilmiş kimlik avı platformunun sağlayıcısıdır. Fidye yazılımı, CEO dolandırıcılığı ve diğer sosyal mühendislik taktikleri hakkında farkındalığı artırarak, güvenlik konusunda bilinçlendirme eğitimine yeni bir okul yaklaşımıyla güvenliğin insan unsurunu ele almanıza yardımcı oluyoruz. Sizinki gibi on binlerce kuruluş, son kullanıcılarınızı son savunma hattınız olarak harekete geçirmek için bize güveniyor.