(sisse) Turvaline: kuidas hüvipõhine küberturvalisus võiks meid kaitsta

Küberturvalisus Pay-and-Pray

(in) Turvaline on iganädalane veerg, mis sukeldub kiiresti eskaleeruvasse küberturvalisuse teemasse.

Sisu

  • Probleem
  • See kõik viib tagasi andmepüügini

Sarnaselt koduturvalisusele ei taha inimesed sageli küberturvalisusele mõelda, kui nad on selle eest maksnud. Nad eelistavad maksta ja palvetada.

Kuidas aga teada saada, millal turvafirma tarkvara töötab? Arvestades miljardeid dollareid, mis on kulutatud enda ja meie ettevõtete kaitsmiseks veebis, miks näib, et häkkimised ja kahjud suurenevad?

Rääkisime Oren J. Falkowitz, NSA ja Ameerika Ühendriikide küberväejuhatuse endine kõrgetasemeline töötaja, kellel on radikaalne idee, kuidas küberjulgeoleku ettevõtted peaksid oma raha teenima.

Probleem

Meie kaasaegsel küberjulgeoleku fiaskol on palju põhjuseid. Võib-olla on see valitsuse rahastamise ja regulatsiooni puudumine. Võib-olla on need suured tehnoloogiakorporatsioonid, kes ei hooli privaatsusest piisavalt. Võib-olla on asi lihtsalt avalikkuse harimises ja lihtsas sõnastuses, mis on kaalul.

"Ettevõtted kulutavad küberturvalisusele umbes 93 miljardit dollarit, lõppu pole näha ..."

Falkowitzil on teistsugune arusaam. Ta usub, et tegelik probleem on see, et küberturvalisuse kasum ei ole seotud jõudlusega. "Meie jaoks tähendab see jõudluspõhist küberturvalisust ja tulemuste, mitte ebaõnnestumise eest maksmist," ütles ta Digital Trendsile. "Ettevõtted peaksid küberturvalisuse eest maksma ainult siis ja kui see toimib nii, nagu on kavandatud."

Tänapäeval see nii ei tööta. Küberturvalisuse eksperte, ettevõtteid ja viirusetõrjetarkvara esitletakse ja ostetakse nagu kindlustusplaani. Maksad igakuiselt ja loodad, et midagi hullu ei juhtu. Kui see nii on, aitavad nad teil tükid kokku korjata ja võivad proovida teile rohkem turvalisust pakkuda.

Piirkond 1 Turvalisus, Falkowitzi enda küberturvalisuse ettevõte, läheneb vastupidisele. Piirkond 1 juhib tähelepanu asjaolule, et inimesed „kohustuvad sõlmima turvalepinguid, mis kestavad kolm kuni viis aastat, kulutades kuus või seitse numbrit. Kuid nad ei saa ikkagi seda, mille eest nad maksavad. Falkowitz usub, et kliendid peaksid maksma ainult peatatud kuriteokatsete eest. See on idee, mis sarnaneb veaprogrammidega, mis julgustavad häkkereid turvaauke leidma ja seejärel avaldama.

See on alati andmepüügi

"Ettevõtted kulutavad küberjulgeolekule umbes 93 miljardit dollarit, mille lõppu pole näha, ja mis veelgi hullem, küberrünnakute tõsidusel ega sagedusel pole lõppu," ütles Falkowitz. "Tulemuspõhine ja vastutustundlik küberturvalisus tagab, et tulemused on need, mis juhivad tulevasi uuendusi ja edukaid tulemusi ärimudelites."

Võite küsida, kuidas saaks ettevõte oma tegevust jätkata, kui ta peaks pidevalt klientidele tõestama, et rünnakud peatatakse. Ala 1 turvalisus paneb selle tööle, keskendudes oma jõupingutused küberturvalisuse konkreetsele aspektile – andmepüügile.

See kõik viib tagasi andmepüügini

"Andmepüük on rünnak, mis käivitab rünnaku, see on 95 protsendi kõigist kahjudest peapõhjus," ütles Falkowitz. "Toimivuspõhise küberturvalisuse võti on andmepüügi peatamine."

"Andmepüük on sotsiaalselt konstrueeritud rünnak, mis tugineb tuvastamisest kõrvalehoidmiseks autentsusele."

Andmepüügist on saanud Interneti eksisteerimise häda. Alates pahavarast kuni varastatud andmeteni on andmepüük sageli halvimate küberrünnakute sisenemispunkt, mida oleme näinud. Tavaliselt on see petukirja kujul, mis saadetakse pahaaimamatule ohvrile ametliku ettevõtte või organisatsiooni varjus.

Seejärel palub meil lugejal lingil klõpsata – ja kui ta seda teeb, vallandub ründaja lõks. Kuigi see on lihtne, on häkkerid kasutanud andmepüüki kõige jaoks, alates Clintoni kampaania meiliprobleem laastavale 2017. aasta WannaCry lunavararünnak.

"Andmepüük on sotsiaalselt konstrueeritud rünnak, mis tugineb tuvastamisest kõrvalehoidmiseks autentsusele," selgitas Falkowitz. „See on loodud selleks, et keegi seda ei tabaks! Sellepärast see nii hästi töötab. Lisaks sellele, et see on tõhus, on see ka uskumatult odav. See on osa sellest, miks on majanduslikult nii hea Internetis paha olla. Kui olete ründaja ja teil on midagi, mis töötab, mille vastu enamik ettevõtteid kaitsta ei saa, siis miks mitte jätkata selle kasutamist?

bounty-põhine küberturvalisus andmepüügirünnak küberturvalisuse ülevaade
bounty-põhine küberjulgeoleku turvalisus andmepüügi rünnaku ala 1 graafik
1. piirkond

Area 1 Security süsteem väidab, et peatab 99,99 protsenti kõigist andmepüügirünnakutest, võimaldades neil hoida rünnakute kohta logi, mida nad takistavad. Selle filosoofia ei ole jahtida Internetis kurjategijaid, vaid peatada need, kes juba meie ustele koputavad.

"Kuni me andmepüügi kui relva ründajate käest välja võtame, jätkame sellel järjest ohtlikumal ja kallimal trajektooril."

Võib-olla on aeg hakata rohkem küsima ettevõtetelt, kes väidavad, et nad kaitsevad meid. Lõppude lõpuks kõlab pahalaste desarmeerimine palju parema plaanina kui nende ründamise ootamine.

Uuendage oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.