ISACA ordnade igår en presentation av Dave Ostertag, chef för RISK-teamet på Verizon och en av författarna bakom 2013 DBIR. Han gjorde nedslag på några ställen i rapporten och svarade på frågor. Det var ganska bra, jag fick svar på ett par av de frågor jag hade och Dave bjöd på lite andra erfarenheter från deras utredningar.

  • Micros och Aloha står för den absoluta majoriteten av alla kassasystem (PoS), han sade 95 % men det lät taget ur luften. För mig som inte har ägnat särskilt mycket energi åt PCI DSS-kunder var det en nyhet.
  • Det tar ungefär 1 år från att en PIN entry device (PED) lanseras till att någon tar fram hårdvara för att skimma dem. Att de är tamper evident o dyl verkar ha mindre betydelse.
  • Vissa företag har skapat honeypotkonton på LinkedIn för att se i fall de blir groomade av bedragare.
  • Autonoma maskar som infekterar brett misslyckas i princip alltid med att stjäla data. Jag tror faktiskt att han sade att de aldrig har varit med om det. Oftast försöker de ringa hem till ett C&C server men den svarar inte. Även om de infekterar tusentals datorer i företagets nätverk, är det inget att oroa sig för, fokusera på att installera om dem bara.
  • Det lät som att det är vanligt, eller åtminstone förekommer, att kassörskor som är fattiga, ensamstående mödrar groomas och mutas för att kopiera magnetremsor på kunders betalkort. Dave pratade t o m om att man skulle vara på sin vakt efter medarbetare som först beter sig underligt och sedan kommer med en lite för dyr bil en dag. Han är gammal polis, förresten.
  • Angående min fråga om BYOD från förra blogginlägget; i princip alla datorer som råkat ut för något i DBIR ägdes av företaget. Han förklarade det som att BYOD inte har någon vidare penetration ännu.
  • Jag minns inte exakt hur han uttryckte det men det lät som att de aldrig hade varit med om en laptopstöld som syftade till att stjäla data, det handlade alltid om att stjäla hårdvaran.

Två konkreta rekommendationer gavs, inget sensationellt men det behöver det inte vara heller. Båda fångas helt i ett tidigare inlägg.

  1. Förbered dig för en incident.
  2. Sätt upp manuella larm som har hög signal-to-noise ratio. Han nämnde specifikt brute force-attack mot VPN följt av portscan, vilket ska vara någon form av modus operandi vid APT-industrispionage.

Det var trevligt, får tacka ISACA och hoppas att de anordnar samma sak nästa år också.