Avaliando o custo de um ataque DDoS
A Bank of England exercício patrocinado projetado para testar o quão bem as empresas financeiras lidar com um grande ataque cibernético revelou sérios problemas de comunicação.
Waking Tubarão II , que ocorreu em novembro, foi destinado para testar como bancos de investimento e instituições financeiras realizada sob um ataque sustentado por hackers.
Os resultados globais foram uma melhoria em relação as do exercício original Waking Tubarão, que teve lugar em 2011, enquanto continua a dar muito espaço para melhorias, de acordo com um relatório oficial ( PDF ) sobre o exercício do Banco de Inglaterra.
"O exercício demonstrou com sucesso comunicação e coordenação entre setores através da partilha do CMBCG [Market Cross Business Continuity Grupo], a informação através do uso da plataforma CISP [Parceria Cyber Security Information Security] e permitiu que os participantes a entender melhor as exigências do Reino Unido Financial Autoridades ", conclui o relatório, acrescentando que as comunicações dos bancos foi prejudicada pela falta de uma câmara de compensação geral (coordenador) para informações sobre a ameaça cibernética.
"Será analisada a identificação de um órgão de coordenação único da indústria para gerenciar as comunicações em todo o sector durante um incidente", o relatório recomenda.
Outros problemas identificados durante o exercício de stress-test, que decorreu ao longo de quatro horas, mas foi projetado para refletir um ataque de três dias envolvendo negação de serviço e elementos de malware, incluiu confusão sobre a (então) Financial Services Authority. "Atacado" bancos foram criticados por não chamar a polícia, uma violação de procedimentos acordados.
O Banco da Inglaterra descreveu o cenário jogado fora durante os ataques simulados - que, ao contrário dos relatórios anteriores, não testam a resistência cibernético de bancos de rua - para o primeiro tempo.
O cenário foi baseado em um cyber-ataque concertado contra o setor financeiro do Reino Unido por um Estado-nação hostil, com o objetivo de causar perturbação significativa / deslocamento dentro do mercado grossista e infraestrutura de apoio. Embora os impactos causados pelos ciberataques teria tido um, bem como uma dimensão internacional do Reino Unido, para efeitos do exercício, o âmbito do exercício ficou restrito à gestão dos impactos do Reino Unido.O cenário foi criado ao longo de um período de três dias do último dia do que aconteceu para coincidir com "Triple Witching" (quando os contratos de futuros sobre índices de ações, opções de índices de ações e opções de ações todos os expirar no mesmo dia).
O período de três dias foi dividido em fases, jogando fora vários impactos técnicos e de negócios do cenário. O cenário, analisou como as empresas que gerir a sua resposta aos ataques cibernéticos, tanto a nível técnico (a partilha de informação, em especial entre as empresas por meio da ferramenta CISP), e de uma perspectiva de negócio.
Elementos do exercício ciberguerra incluiu ataques distribuídos de negação de serviços "fazendo com que as empresas 'sites globais e em alguns outros sistemas voltados para a internet pare de responder ou intermitentemente disponível", bem como APT e PC limpar ataques que penetraram as empresas das redes de perturbador e destrutivo fins. Tudo isto teve repercussões sobre os sistemas de negociação e reconciliação.
Este todos os olhares, pelo menos no papel, para ser bastante desafiador, mas o exercício foi criticado por alguns bancos como insuficientemente ambiciosos. Alguns participantes queriam uma maior ênfase na ciber-espionagem e malwares em exercícios futuros. Havia também chama a envolver os fornecedores de serviços de telecomunicações, como a BT, no exercício.
Adrian Culley, consultor técnico da empresa de anti-botnet Damballa e anteriormente da Unidade Computer Crime da Scotland Yard, disse que os bancos tinham um longo caminho a percorrer antes que suas proteções de malware foram até zero.
"UK Instituições Financeiras têm infecção verdadeiro ativo dentro de suas redes agora, disse Culley. "Caphaw é um exemplo de um tal ataque avançado muito prevalente, há muitos outros."
"Apesar Waking Tubarão II, parece haver uma desconexão entre advertência muito oportuna [secretário de Negócios Vince] do Cabo, e os bancos realmente segurando acessível, inteligência acionável. Como eles estão planejando para sempre responder decisivamente sem tal inteligência? Esses órgãos fazem parte do Reino Unido Critical Infra-estrutura Nacional, e ambos os ataques ativos, ea ameaça de ataque, são reais. Banks precisa desta informação para detectar infecções ativas e evitar que fiquem violações. Está claro muitos deles não têm esse ".
Breachaholics incentivados a participar do programa de 10 passos
Depois de uma cúpula dos reguladores e chefes de inteligência na quarta-feira, Cabo alertou sobre a vulnerabilidade mais generalizada de infra-estrutura nacional crítica da Grã-Bretanha para cyber-ataque. Os reguladores - que incluiu representantes do Banco da Inglaterra, Autoridade de Aviação Civil, Gabinete do Regulador Nuclear, Ofgem, Ofwat e Ofcom - foram informados sobre a ameaça que representa para os sistemas por GCHQ patrão, Sir Iain Lobban.
Cabo chamado de reguladores para supervisionar a adoção de medidas mais robustas de segurança cibernética. As empresas foram incentivados a "realizar uma auto-avaliação contra os" 10 passos "; levar até membros da Parceria Cyber Security Information Security, ou CISP; gerenciar o risco cibernético em suas cadeias de fornecimento por adoção condução do padrão organizacional HMG preferencial para Cyber Security . "
Especialista em segurança KPMG Stephen Bonner avisou que as organizações vão reduzir as chances de sucesso se defender, se continuar a agir de forma isolada.
"O medo de reputações danificadas ou os preços das ações de gagueira são os principais fatores por trás da decisão de muitas organizações para manter um perfil baixo, quando suas defesas cibernéticas foram violados", Bonner, sócio da Proteção de Informações e Negócios Resiliência equipe da KPMG, comentou. "Mas os dias do pensamento isolacionista há muito que desapareceu, como um ataque a uma instituição pode levar à exposição de detalhes comercialmente sensíveis para outro.
KPMG disse que o aumento do número de ataques contra vulnerabilidades cibernéticas apresenta um perigo crescente para as instituições financeiras.
"Nós vimos os pedidos de ajuda mais do que dobrando nos últimos 12 meses, sugerindo que o reconhecimento está lá, mas a consciência não igual resolução. Waking Tubarão II brilhou uma luz bem-vindo sobre as vulnerabilidades atuais, mas isso não significa que ele é seguro "ficar para trás na água. Hackers ver cada barreira como um desafio a ser batido, o que significa que a vigilância constante e testes é vital para que as organizações financeiras devem permanecer seguro." ®
Nenhum comentário:
Postar um comentário