Connect with us
https://cybersecuritynews.site/wp-content/uploads/2021/11/zox-leader.png

Published

on

The Ultimate Managed Hosting Platform

Desde el ransomware hasta las infracciones en la nube, actualmente no hay escasez de amenazas que se centren en el sector de la cobertura de seguros y, en el transcurso de los últimos años, tales estrategias de ataque se han vuelto cada vez más frecuentes.

Junto con este tema interesante, nuevos productos, opciones y compañías de seguros llegan a diario, lo que accidentalmente crea nuevas áreas de debilidad y nuevos puntos críticos de vulnerabilidad.

Leonor Barlow

Como inicialmente esbozó por Leonor Barlowsupervisor de material de contenido para el proveedor mundial de servicios de seguridad gestionados (MSSP) SeguridadHQla omnipresencia del delito cibernético en todo el sector de la cobertura de seguros se ve exacerbada principalmente por el hecho de que la industria posee una enorme cantidad de riqueza financiera.

Por lo general, el objetivo de un asalto es tener éxito en las carteras monetarias del cliente, y la información que poseen los asegurados es, comprensiblemente, extraordinariamente valiosa.

Las compañías de seguros pueden reforzar su seguridad al abordar las diversas vulnerabilidades que esperan en su puerta y al reconocer e implementar medidas que puedan mitigar con éxito estas amenazas.

¿De qué amenazas cibernéticas deben ser conscientes las compañías de seguros?

Nube explota – La adopción planificada del sector de la cobertura de seguros de tecnologías basadas en la nube ha abierto la puerta sin saberlo a vulnerabilidades elevadas, especialmente en el tipo de ataques de denegación de servicio distribuido (DDoS). A veces, los ciberdelincuentes pueden acceder y manipular los datos de una organización mientras bloquean el acceso de los trabajadores.

Sin embargo, lo que realmente destaca este tema es que existe una creencia ciega que las organizaciones depositan en los proveedores de servicios en la nube. Esto pone en duda la amenaza de resiliencia heredada que las organizaciones compran a los proveedores de servicios en la nube. Si hay una dependencia esencial, asegúrese de tener un plan b al que recurrir en caso de falla del sistema o incidente cibernético.

Donde sea posible, busque protegerse contractualmente con acuerdos de nivel de servicio (SLA) y garantías de su proveedor de servicios sobre sus procedimientos de recuperación y restauración de catástrofes (DR).

Secuestro de datos – En su forma más elemental, el ransomware es un tipo de malware utilizado por un malhechor para amenazar a la víctima con el pago de un rescate, a cambio de su valiosa información/acceso a su propiedad. Para que un ataque de ransomware sea factible, se debe realizar una infracción.

Para crear una brecha, los actores peligrosos quieren enfocarse en una organización o persona en particular a través de la distribución de correos electrónicos de phishing maliciosos. Una vez que se demuestra que un ataque de correo electrónico de phishing ha tenido éxito, se puede hacer posible una violación. Luego, a través de esta violación, y sin que la víctima lo entienda, se lanza una carga maliciosa.

Una carga útil maliciosa es el elemento del ataque que causa el daño exacto a la víctima y alberga el código malicioso. Una vez que el atacante tiene acceso a las redes de la víctima, se produce la exfiltración de datos. Que es por lo que se retiene a la víctima.

Exploits de terceros – El uso de distribuidores de terceros se está volviendo cada vez más preferible a las compañías de seguros. La dificultad con eso es que muchas de esas empresas de terceros no tendrían las medidas de seguridad adecuadas, lo que las debilita. Por lo tanto, si bien su seguridad también podría ser igualmente increíble, el tercero podría tener poco en su lugar, lo que sugiere que su conocimiento confidencial sigue estando en peligro.

El verdadero precio de un ataque de ransomware y descubra cómo mitigar las amenazas de rescate

SecurityHQ continúa explicando cómo los miembros de la industria de seguros pueden protegerse mejor a sí mismos y a las actividades y bienes de su empresa:

Cumplimiento y métodos regulatorios – La industria de la cobertura de seguros tiene una gran cantidad de requisitos y métodos regulatorios de cumplimiento que pueden ser muy diferentes a los requisitos de seguridad en otras industrias. Independientemente de que estos también puedan serlo, el control de los clientes, los registros y la seguridad es importante para satisfacer las necesidades. Eso es muy cierto cuando se trata de la seguridad del conocimiento y la seguridad de los datos. Más aún cuando este conocimiento contempla el manejo de información económica, privada y/o sensible al cliente.

Mitigue los peligros, bloquee las IP maliciosas y elimine a los clientes deshonestos – Al hacer frente a los puntos que pueden ser una precedencia excesiva en primer lugar, se enfrenta a los desafíos que tienen la mayor influencia en el cierre de las lagunas de seguridad y la defensa de su organización. Cuanto más rápido pueda contener algo, más seguro y mejor será para todos.

Debido a esto, es esencial orquestar y automatizar una respuesta para bloquear o aislar una máquina contaminada. Los expertos en proveedores de servicios administrados (MSP) están capacitados para detectar ataques y mitigar amenazas antes de que se produzca cualquier influencia.

Para mitigar las vulnerabilidades en la nube antes mencionadas, asegúrese de que ha administrado las capacidades de detección y respuesta (MDR) y que tiene la inteligencia de amenaza y amenaza más reciente para cubrir los casos de uso clave de inteligencia de amenaza.

Para detener y detectar exploits de terceros, el análisis del comportamiento del usuario es importante para comprender las acciones dentro de una organización y resaltar y detener actividades poco comunes antes de que se complete la lesión. Mediante el uso de algoritmos de aprendizaje automático (ML), los analistas experimentados pueden categorizar patrones de comportamiento de personas, percibir qué constituye un comportamiento normal y detectar ejercicio irregular.

Si se realiza una acción inusual en una herramienta en una red determinada, como el inicio de sesión de un trabajador a altas horas de la noche, una entrada remota inconsistente o una cantidad inusualmente alta de descargas, la acción y el usuario reciben una calificación de amenaza en función de su actividad. , patrones y tiempo.


[ad_2]
Source link

Continue Reading

Ultimas noticias

5 razones por las que GDPR fue un hito para la protección de datos – Lo último en noticias de seguridad cibernética | Actualizaciones de ataques de malware

Published

on

5 reasons why GDPR was a milestone for data protection

The Ultimate Managed Hosting Platform

El reglamento histórico modificó la mentalidad de todos sobre cómo las empresas de todo el mundo adquieren y utilizan la información privada de los residentes de la UE.

fue el 25 de mayoel, 2018, y la energía solar realmente brillaba en la mayoría de los (entonces) 28 estados miembros de la Unión Europea. En los lugares de trabajo de muchas empresas en (ya veces también fuera) de la UE, este fue un día de caos.

En el período previo a ese día, las empresas habían enviado numerosos correos electrónicos a sus clientes y clientes potenciales, pidiéndoles su consentimiento para recibir sus boletines, algo que nunca habían solicitado hasta el día de hoy. Al mismo tiempo, muchas empresas sin personal dedicado intentaban determinar qué tipo de información tenían realmente sobre sus clientes y cómo administrarla y protegerla en el futuro.

Pero, ¿cuál fue este evento histórico?

En ese día, el Reglamento de seguridad de conocimiento común, o RGPDentró en impacto, dramáticamente cambiando la mentalidad de todos sobre el uso de información privada por parte de las empresas con sede en la UE y fuera de la UE que adquieren, procesan y almacenan la información de los residentes de la UE.

4 años después, los compradores en Europa ya anticipan que las empresas se ajustarán a esta regulación al hacer clic en el botón “Conforme con” o “Aceptar” en las frases y situaciones de sus sitios web (que, seamos sinceros, casi nadie lee), además de suponer que las autoridades reguladoras controlan la aplicación de la regulación.

Entonces, ¿cuáles han sido las principales modificaciones?

Antes de GDPR, es posible que nadie supiera realmente qué tipo de empresas de información del comprador tenían. ¿Fb simplemente conservaba nuestro título y número de teléfono o correo electrónico? ¿Google conservaba un informe de nuestras búsquedas? ¿Qué aprende Netflix sobre nosotros a partir del contenido que vemos? ¿Y cómo han sido estas empresas utilizando estos datos?

1. Para responder a estas preguntas, el RGPD es relevante para una gran selección de información recopilada:

  • Datos básicos de identificación: título, dirección y número de identificación, creencias espirituales, afiliación política, origen racial o étnico, orientación sexual.
  • Información de salud: situaciones de salud, análisis de sangre, vacunas COVID-19 y muchos otros.
  • Comunicaciones: geolocalización, direcciones IP, historial de red, llamadas telefónicas y textos.
  • Otra información como detalles de la institución financiera, información de compra y uso de la aplicación.

2. Las corporaciones deben respetar los ocho derechos de los residentes:

  • El adecuado para ser dicho que su información está siendo recopilada y utilizada, por cuánto tiempo y la forma en que se compartirá. El conocimiento debe darse en un lenguaje fácil y accesible.
  • El adecuado para la entrada toda la información procesada por una organización además de la explicación de que la información se recopila o de qué suministro se adquirió.
  • El adecuado de rectificación en caso de que algún dato esté incompleto o sea erróneo.
  • El adecuado para ser olvidado puede solicitarse si en cualquier momento alguien retira el consentimiento otorgado a una organización para transportar esa información si la información no es obligatoria o si fue procesada ilegalmente.
  • El adecuado para limitar el procesamiento como sustituto del borrado de información. Los clientes simplemente pueden solicitar que su información no se utilice para algunas funciones. Por ejemplo, uno puede dar su consentimiento para hacer uso de la información para la personalización del contenido dentro de una plataforma de transmisión, pero no en campañas publicitarias.
  • El apto para objetar al procesamiento de información adicional.
  • El adecuado a la portabilidad de la información. Si el consumidor desea ingresar su información recopilada por una organización y entregársela a otra empresa, la línea inferior es: Su información es suya. Puedes llevarlo donde quieras.
  • El apto para no ser tema de perfilado basada mayoritariamente en un conjunto de información con rasgos que pueden delinear comportamientos, creencias o diferentes datos.

3. Tiene una impresión mundial

Uno diría que esta regulación fue un cambio drástico solo para las empresas con sede en la UE, pero sus efectos van mucho más allá. GDPR es relevante para todas las empresas que suministran artículos o proveedores dentro de la UE o ese curso de la información de cualquier ciudadano de la UE. Del mismo modo, la información de los residentes de la UE solo se puede exportar a (y utilizar) países con leyes de privacidad similares.

Siendo una de las tres economías más grandes del mundo, la UE impulsa la financiación desde todos los rincones, estableciendo GDPR al menos como requisito habitual para funcionar en cualquiera de los 27 estados miembros. No es sorprendente que en todo el mundo, los reguladores de seguridad de la información hayan adoptado leyes nacionales en un esfuerzo por armonizar los algoritmos a los que las empresas deben adaptarse.

Es el caso de Canadá, Argentina, Brasil, Uruguay, Japón, Nueva Zelanda y, más recientemente, Corea del Sur. En realidad, la PIPEDA de Canadá ha estado en vigor desde 2001, habiendo prestado gran parte de su espíritu a la regulación de la UE relacionada con el establecimiento de la rendición de cuentas como un precepto legislativo elemental, sin embargo, con una distinción importante: frente a la regulación canadiense, GDPR se aplica no solo a actores empresariales, pero adicionalmente a entidades gubernamentales.

En Estados Unidos, sin embargo, el panorama es algo más variado. A nivel federal, diferentes leyes regulan áreas enfocadas, como HIPAA para la salud, FCRA para calificaciones crediticias, FERPA para la educación, GLBA para préstamos e información financiera, ECPA para el seguimiento de las comunicaciones, COPPA que limita el procesamiento de datos pertenecientes a niños menores de 13 años, VPPA para información de alquiler de VHS o la Ley FTC que hace que las empresas positivas se ajusten a sus propias reglas de privacidad. Solo tres estados han adoptado leyes de privacidad completas: California tiene la CCPA (y su próximo ‘replace’ reconocido por el acrónimo CPRA); y además están los de Virginia VCDPA y los de colorado ColoPa lineamientos legales que pueden entrar en vigencia los próximos 12 meses.

4. Si hay una violación de la información, debe informarse a más tardar 72 horas después del descubrimiento.

Una de las novedades más importantes lanzadas por GDPR fue la obligación de las empresas de informar una violación de datos dentro de los tres días posteriores a su conocimiento. Comparado, hasta ahorael más estricto de EE. UU. línea de tiempo para denunciar incumplimientos era de 30 días.

Este requisito llevó a las empresas a tener planes proactivos para hacer frente a las filtraciones de datos, frente a la tentación de tardar demasiado en hacerlo y tratar de evitar una crisis de relaciones públicas. En una época en que tales incidentes son comunes, los residentes deben saber que es probable que su información se vea comprometida para permitirles tomar acción.

5. Si no se utilizan algunas de estas reglas, hay multas

En realidad, no son simplemente frases vacías sin sanciones significativas. GDPR se está aplicando y a partir del 23 de mayord2022, las violaciones de GDPR han resultado en 1,093 multas precio un total de 1.630 millones de euros (US$1.74 mil millones) Y posiblemente las “acciones” más importantes han sido la información en todo el mundo, impactando el trabajo de Huge Tech.

En 2021, Amazon fue multado 746 millones de euros (865 millones de dólares estadounidenses), la mayor cantidad hasta la fecha, por publicidad enfocada sin el consentimiento adecuado. El caso contra Amazon fue tomado por los funcionarios de Lux, donde se encuentran las sedes corporativas, luego de que el grupo francés La Quadrature du Internet hiciera la denuncia. queja en nombre de 10.000 personas que firmaron su petición. Además en 2021, Google recibió una bofetada positiva de € 90 millones (US $ 102 millones) por no ofrecer a los residentes en Francia una opción directa para rechazar el uso de cookies. (Las cookies están parcialmente reguladas por la Directiva de privacidad electrónicasin embargo, se aplica GDPR porque rige cómo se administra el consentimiento de información). Google Eire y Facebook recibió multas comparables por un propósito similar.

Varias firmas conocidas afines a la marca de ropa. H&Mla British Airways e incluso el Administración de Impuestos y Aduanas de los Países Bajos han sido multados y necesitaban adaptar sus mecanismos de seguridad de la información.

Estás al mando de tu información

Este es probablemente uno de los mensajes más comunes enviados por muchas empresas en los últimos tiempos. Estas declaraciones hacen que te sientas empoderado y que las empresas actuales se ajusten a las pautas de información y privacidad.

GDPR fue en realidad un primer paso vital para garantizar que nuestra información esté segura. Sin embargo, la mera existencia de esta normativa no debe hacer que dejemos de cuestionarnos por qué se requiere esta variedad de información. ¿Por qué las empresas tienen que saber tanto sobre lo que hacemos, el lugar al que vamos o cómo vestimos? ¿Y qué opciones alternativas existen después de que no damos nuestro consentimiento para usar una parte seleccionada de nuestra información? ¿Podemos descubrir diferentes proveedores?

Además, si muchos servicios y aplicaciones no piensan en darnos acceso a ellos de forma gratuita a cambio de nuestros datos, entonces, ¿cuál es el valor real de nuestros datos que pueden superar los ingresos basados ​​en las tarifas de suscripción?

Esa es realmente una conversación que todos vamos a tener que tener más temprano que tarde.

The Ultimate Managed Hosting Platform

Source link

Continue Reading

Ultimas noticias

Informe de Verizon: ransomware y error humano entre los principales riesgos de seguridad – Lo último en noticias de ciberseguridad | Actualizaciones de ataques de malware

Published

on

Verizon Report: Ransomware, Human Error Among Top Security Risks

The Ultimate Managed Hosting Platform

Un análisis reciente de la red de bots centrada en Fronton DDoS revela que el dispositivo de la prisión tiene más funciones que las identificadas anteriormente.

La botnet Fronton apareció por primera vez en los titulares en marzo de 2020. Fue entonces cuando, según reportes de noticiasun grupo de hacktivistas conocido como Digital Revolution dijo que obtuvo documentos que afirmaban ser de 0day Applied Sciences, supuestamente un contratista del Servicio Federal de Seguridad de Rusia.

Ahora la agencia de ciberseguridad Nisos informa que el malware Fronton supera los ataques DDoS y se puede utilizar para crear un gran número de cuentas de redes sociales que luego se pueden usar para formar una opinión a través de la manipulación de las redes sociales.

Después de una evaluación adicional de la documentación relacionada con Fronton, el investigador de Nisos afirmó que DDoS “es solo una de las muchas capacidades del sistema… Nisos analizó la información y decidió que Fronton es un sistema desarrollado para hábitos falsos coordinados a gran escala”. añadió Nisos.

Trabajo de Frontón

Fronton, dicen los investigadores, funciona como una infraestructura de back-end para la desinformación de las redes sociales. El malware utiliza un ejército de dispositivos IOT comprometidos para resistir ataques DDoS y campañas de desinformación.

“Este método presenta un tablero basado en la web conocido como SANA que permite al usuario formular e implementar eventos de redes sociales de tendencia en masa. El sistema crea estos eventos a los que llama Инфоповоды, ‘noticias’, usando la red de bots como un transporte distribuido geográficamente”, según los investigadores.

SANA permite a los usuarios crear cuentas de redes sociales falsas con correo electrónico generado y números de teléfono, estas cuentas falsas se utilizan para difundir contenido en redes sociales, blogs y tableros, dijeron los investigadores.

“SANA crea cuentas personales de redes sociales, junto con el suministro de una cantidad de correo electrónico y teléfono celular”, explicó Nisos.

Además, los investigadores deben tener en cuenta que la plataforma permite a los usuarios administrar la variedad de Me gusta, comentarios y reacciones. Además de presentar las “amenidades para crear estos cortes de noticias en un horario o base reactiva”, este puede monitorear los mensajes, novedades y sus respuestas.

Se especifica un modelo de respuesta para realizar determinadas acciones tras la ejecución del Newsbreak. El modelo de respuesta permite que el grupo de bots reaccione a una porción de información específica en cierta tendencia (optimista, desfavorable o imparcial), según el informe.

“El modelo de respuesta le permite a un operador especificar la frecuencia semanal de Me gusta, comentarios y reenvíos. También permite la cantidad de comentarios de las listas del diccionario en un esfuerzo por dirigir los patrones de respuesta de la red social digital”, agregó Nisos en un informe.

Los operadores pueden incluso especificar una frecuencia mínima de acciones y un intervalo mínimo entre acciones. El investigador también descubrió que la plataforma tiene “un sistema de aprendizaje automático (ML) relacionado que se puede activar o desactivar según los hábitos observados en las redes sociales”.

El investigador agregó que los operadores de Fronton tienen la capacidad de administrar el número de compañeros que un bot falso debe mantener y combinar con una función para almacenar imágenes para el bot.

El uso del dispositivo en ataques del mundo real no debería estar claro y, a partir de abril de 2022, el portal en línea está activo y se trasladó a un área distinta.

“A partir de abril de 2022, 0day ciencias aplicadas ha modificado su área de 0day[.]ru a 0day[.]llc”, señaló Nisos.

Nisos lanzó todo un Informe de investigación para una evaluación adicional.

The Ultimate Managed Hosting Platform

Source link

Continue Reading

Ultimas noticias

Los consumidores piden que los controles de identidad se extiendan más allá de los servicios financieros: lo último en noticias de seguridad cibernética | Actualizaciones de ataques de malware

Published

on

Consumers Call For Identity Checks To Extend Beyond Financial Services

The Ultimate Managed Hosting Platform

Averiguar quién es quién en línea nunca ha sido tan necesario para los clientes internacionales como lo es ahora. Los controles de identidad constituyen un importante punto de entrada para los servicios financieros, pero según un nuevo análisis de Jumio Aparte de eso, los usuarios se han vuelto cada vez más preocupados por ver que dichas pruebas se extiendan a otras áreas de los servicios digitales; parecido a la atención médica y las redes sociales.

Jumioun proveedor de pruebas de identificación orquestadas de extremo a extremo, opciones eKYC y AML, ha publicado los resultados de su análisis internacional, realizado por Opiniolo que pone de manifiesto la influencia del creciente uso de la identificación digital en las preferencias y expectativas de los compradores.

El análisis cuestionó a 8.000 clientes adultos divididos uniformemente en el Reino Unido, EE. UU., Singapur y México. Descubrió que, en promedio, el 57 por ciento tiene que usar su identificación digital “siempre” o “a menudo” para acceder a sus cuentas en línea después de la pandemia.

Los clientes en Singapur reportan el mejor nivel de uso de identificación digital con un 70 por ciento, en comparación con el Reino Unido que registró el 50 por ciento, los EE. UU. que registró el 52 por ciento y México que registró el 55 por ciento.

Demanda de identificación digital como forma de verificación

Dado que ofrecer una identificación digital para crear una cuenta en línea o completar una transacción se vuelve más común en todo el mundo, los clientes esperan esto como parte de su compromiso con una marca, especialmente en ciertos sectores.

El 68 por ciento de los usuarios cree que es necesario usar una identificación digital para mostrar quiénes dicen que son cuando utilizan un servicio monetario en línea, adoptado cuidadosamente por los proveedores de atención médica en un 52 por ciento y los sitios web de redes sociales en un 42 por ciento. .

Si bien todos los mercados se unieron en proveedores financieros que son un sector crucial para una verificación de identidad sólida, los usuarios en México consideran que es un paso crucial al interactuar con sistema financiero compartido fabricantes, mientras que los clientes del Reino Unido consideran que debe ser obligatorio al comprar en línea.

Donde la información privada más delicada está preocupada, los usuarios indicaron que la verificación de identificación sólida se vuelve mucho más necesaria.

Jumio Insight 2

Líderes y rezagados: ciertos sectores quieren reforzar su uso de la identificación digital

A pesar de que más clientes exigen opciones de identificación digital para la verificación cuando interactúan con empresas en línea, no están seguros de que todas las empresas estén haciendo todo lo posible para proteger sus cuentas en línea.

Solo un tercio de los usuarios cree que su institución financiera ha realizado más controles de verificación de identidad en línea desde la pandemia para protegerlos contra el fraude en línea y el robo de identidad.

Del mismo modo, dentro del área de juegos y juegos, el 41 por ciento de los clientes dicen que están “seguros” de que los proveedores están haciendo todo lo posible para confirmar con precisión las identidades y detener el fraude relacionado con la identidad.

La verificación de identificación en línea puede restaurar la creencia

Mientras que las opciones de identificación digital se reconocen como necesarias para detener el fraude relacionado con la identidad, los clientes generan otros problemas que estas opciones pueden manejar.

En el cuidado de la salud, un tercio de los clientes están más preocupados por no averiguar la identificación del profesional de la salud con el que están participando. Esta fue una preocupación específica para el 45 por ciento de los clientes en México.

En el área de las redes sociales, un asombroso 83 por ciento de los usuarios cree que es necesario que los sitios web de las redes sociales confirmen las identidades para que puedan responsabilizar a los usuarios por el discurso de odio en línea. Como tal, los casos de uso y las ventajas de la identificación digital van más allá de la simple prevención del fraude y proporcionarán una respuesta a los problemas más amplios de los consumidores.

Philipp Pointner, jefe de identidad digital de Jumio
philipp pointner

“A medida que nuestro uso de servicios en línea continúa desarrollándose, las organizaciones claramente están implementando las sólidas estrategias de verificación de identidad necesarias para detener los riesgos relacionados con los servicios digitales”, dijo. Felipe Punterojefe de identificación digital de Jumio.

“Sin embargo, este análisis también revela la demanda de opciones de identificación digital, especialmente dentro de los servicios financieros y las áreas de atención médica, y claramente ahora hay cierto grado de diferenciación. La implementación de este tipo de opciones debe ser un ‘cuándo’, no un ‘quizás’, y ahora al final puede decidir si un comprador elige su negocio en línea o no”.


[ad_2]
Source link

Continue Reading

Trending