(usikker er en ugentlig klumme, der dykker ned i det hurtigt eskalerende emne cybersikkerhed.
Indhold
- Problemet
- Det hele fører tilbage til phishing
Ligesom hjemmesikkerhed vil folk ofte helst ikke tænke på cybersikkerhed, når de først har betalt for det. De vil hellere betale og bede.
Men hvordan ved du, hvornår et sikkerhedsfirmas software virker? Med alle de milliarder af dollars, der er hældt ind på at beskytte os selv og vores virksomheder online, hvorfor ser hacks ud til at være stigende i regelmæssighed og skader?
Vi talte med Oren J. Falkowitz, en tidligere seniormedarbejder ved NSA og United States Cyber Command, som har en radikal idé til, hvordan cybersikkerhedsvirksomheder skal tjene deres penge.
Problemet
Vores moderne cybersikkerhedsfiasko har mange årsager. Måske er det mangel på offentlig finansiering og regulering. Måske er det store tech-virksomheder, der ikke bekymrer sig nok om privatlivets fred. Måske er det bare et spørgsmål om at uddanne offentligheden og forklare i enkle vendinger, hvad der er på spil.
"Virksomheder bruger omkring 93 milliarder dollars på cybersikkerhed, uden en ende i sigte ..."
Falkowitz har en anden holdning. Han mener, at det virkelige problem er, at cybersikkerhedsoverskud ikke er bundet til ydeevne. "For os betyder det præstationsbaseret cybersikkerhed og at betale for resultater, ikke en fiasko," sagde han til Digital Trends. "Virksomheder bør kun betale for cybersikkerhed, når og hvis den fungerer efter hensigten."
Sådan fungerer det ikke i dag. Cybersikkerhedseksperter, virksomheder og antivirussoftware præsenteres og købes som en forsikringsplan. Du betaler månedligt og håber, at der ikke sker noget ondt. Hvis det gør det, vil de hjælpe dig med at samle brikkerne op - og måske forsøge at sælge dig mere for mere sikkerhed.
Område 1 Sikkerhed, Falkowitz’ eget cybersikkerhedsfirma, tager den modsatte tilgang. Område 1 fremhæver det faktum, at folk "forpligter sig til sikkerhedskontrakter, der løber tre til fem år, og bruger seks eller syv cifre. Men de får stadig ikke, hvad de betaler for." Falkowitz mener, at klienter kun skal betale for forsøg på forbrydelser, der stoppes. Det er en idé, der ligner bug bounty-programmer, som opfordrer hackere til at finde - og derefter afsløre - sårbarheder.
Det er altid phishing
"Virksomheder bruger omkring 93 milliarder dollars på cybersikkerhed, uden ende i sigte, og hvad værre er, ingen ende på alvoren eller hyppigheden af cyberangreb," sagde Falkowitz. "Performancebaseret og ansvarlig cybersikkerhed vil sikre, at resultater er det, der driver fremtidige innovationer og succesfulde resultater i forretningsmodeller."
Du kan undre dig over, hvordan en virksomhed kunne forblive i forretningen, hvis den konstant skulle bevise over for kunderne, at angreb bliver stoppet. Area 1 Security får det til at fungere ved at fokusere sin indsats på et bestemt aspekt af cybersikkerhed - phishing.
Det hele fører tilbage til phishing
"Phishing er angrebet, der starter angrebet, det er grundårsagen til forbløffende 95 procent af alle skader," sagde Falkowitz. "Nøglen til præstationsbaseret cybersikkerhed er at stoppe phishing."
"Phishing er et socialt udviklet angreb, der er afhængig af autenticitet for at undgå opdagelse."
Phishing er blevet forbannelsen af internettets eksistens. Fra malware til stjålne data er phishing ofte indgangspunktet for de værste cyberangreb, vi har set. Det tager normalt form af en svigagtig e-mail, sendt til et intetanende offer under dække af en officiel virksomhed eller organisation.
E-mailen vil derefter bede læseren om at klikke på et link - og når de gør det, udløses angriberens fælde. Selvom det er enkelt, har hackere brugt phishing til alt fra Clinton-kampagne-e-mail-debacle til det ødelæggende 2017 WannaCry ransomware angreb.
"Phishing er et socialt udviklet angreb, der er afhængig af autenticitet for at undgå opdagelse," forklarede Falkowitz. "Den er designet til ikke at blive fanget af nogen! Derfor fungerer det så godt. Udover at det er effektivt, er det også utroligt billigt. Det er en del af grunden til, at det er så godt økonomisk at være en dårlig fyr på internettet. Hvis du er en angriber, og du har noget, der virker, som de fleste virksomheder ikke kan forsvare sig imod, hvorfor så ikke blive ved med at bruge det?"
Area 1 Securitys system hævder at stoppe 99,99 procent af alle phishing-angreb, hvilket giver dem mulighed for at føre en log over de angreb, de forhindrer. Dens filosofi er ikke at jage de kriminelle på tværs af internettet, men i stedet at stoppe dem, der allerede banker på vores dør.
"Indtil vi tager phishing som et våben ud af hænderne på angribere, vil vi fortsætte på denne stadig farligere og dyrere bane."
Måske er det på tide, at vi begynder at spørge mere fra de virksomheder, der hævder at beskytte os. Når alt kommer til alt, lyder det som en meget bedre plan at afvæbne de onde end at vente på, at de angriber.
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
