(onzeker is een wekelijkse column die ingaat op het snel escalerende onderwerp cybersecurity.
Inhoud
- Het probleem
- Het leidt allemaal terug naar phishing
Net als de beveiliging van woningen denken mensen vaak liever niet aan cyberbeveiliging als ze er eenmaal voor hebben betaald. Ze betalen en bidden liever.
Maar hoe weet u of de software van een beveiligingsbedrijf werkt? Waarom lijken hacks in regelmaat en schade toe te nemen, met al de miljarden dollars die worden gestoken in het online beschermen van onszelf en onze bedrijven?
We spraken met Oren J. Falkowitz, een voormalig senior medewerker bij de NSA en het Amerikaanse Cyber Command, die een radicaal idee heeft over hoe cyberbeveiligingsbedrijven hun geld zouden moeten verdienen.
Het probleem
Ons moderne cybersecurity-fiasco heeft vele oorzaken. Misschien is het een gebrek aan overheidsfinanciering en regelgeving. Misschien zijn het de grote technologiebedrijven die niet genoeg om privacy geven. Misschien is het gewoon een kwestie van het publiek informeren en in eenvoudige bewoordingen uitleggen wat er op het spel staat.
“Bedrijven geven zo’n 93 miljard dollar uit aan cybersecurity, en het einde is nog niet in zicht.”
Falkowitz heeft een andere invalshoek. Hij gelooft dat het echte probleem is dat winsten op het gebied van cyberbeveiliging niet afhankelijk zijn van prestaties. “Voor ons betekent dit prestatiegebaseerde cyberbeveiliging en betalen voor resultaten, en niet een mislukking”, vertelde hij aan Digital Trends. “Bedrijven zouden alleen voor cyberbeveiliging moeten betalen als deze presteert zoals ontworpen.”
Dat is niet hoe het vandaag de dag werkt. Cybersecurity-experts, bedrijven en antivirussoftware worden gepresenteerd en aangeschaft als een verzekeringsplan. Je betaalt maandelijks en hoopt dat er niets ergs gebeurt. Als dat zo is, zullen ze je helpen de stukken op te rapen - en misschien proberen ze je meer zekerheid te bieden.
Gebied 1 Beveiliging, het eigen cyberbeveiligingsbedrijf van Falkowitz, hanteert de tegenovergestelde aanpak. In Area 1 wordt gewezen op het feit dat mensen “zich engageren voor veiligheidscontracten met een looptijd van drie tot vijf jaar, waarbij ze zes of zeven cijfers uitgeven. Maar ze krijgen nog steeds niet waar ze voor betalen.” Falkowitz is van mening dat cliënten alleen moeten betalen voor pogingen tot misdaden die zijn gestopt. Het is een idee dat lijkt op bugbounty-programma's, die hackers aanmoedigen om kwetsbaarheden te vinden en vervolgens openbaar te maken.
Het is altijd phishing
“Bedrijven geven ongeveer 93 miljard dollar uit aan cyberbeveiliging, zonder dat het einde in zicht is, en wat nog erger is: er komt geen einde aan de ernst of frequentie van cyberaanvallen”, aldus Falkowitz. “Op prestaties gebaseerde en verantwoordelijke cyberbeveiliging zal ervoor zorgen dat resultaten de drijvende kracht zijn achter toekomstige innovaties en succesvolle resultaten in bedrijfsmodellen.”
Je vraagt je misschien af hoe een bedrijf overeind kan blijven als het voortdurend aan klanten moet bewijzen dat aanvallen worden gestopt. Gebied 1-beveiliging zorgt ervoor dat het werkt door zijn inspanningen te concentreren op een specifiek aspect van cyberbeveiliging: phishing.
Het leidt allemaal terug naar phishing
“Phishing is de aanval die de aanval start, het is de hoofdoorzaak van maar liefst 95 procent van alle schade”, aldus Falkowitz. “De sleutel tot prestatiegebaseerde cyberbeveiliging is het stoppen van phishing.”
“Phishing is een sociaal ontworpen aanval die afhankelijk is van authenticiteit om detectie te omzeilen.”
Phishing is de vloek van het internet geworden. Van malware tot gestolen gegevens: phishing is vaak het startpunt voor de ergste cyberaanvallen die we ooit hebben gezien. Meestal neemt het de vorm aan van een frauduleuze e-mail, verzonden naar een nietsvermoedend slachtoffer onder het mom van een officieel bedrijf of organisatie.
De e-mail vraagt de lezer vervolgens om op een link te klikken. Zodra dat gebeurt, wordt de val van de aanvaller geactiveerd. Hoewel eenvoudig, hebben hackers phishing voor alles gebruikt, van de E-maildebacle in Clinton-campagne tot het verwoestende WannaCry-ransomware-aanval uit 2017.
“Phishing is een sociaal ontworpen aanval die afhankelijk is van authenticiteit om detectie te omzeilen”, legt Falkowitz uit. “Het is ontworpen om door niemand te worden gepakt! Daarom werkt het zo goed. Naast dat het effectief is, is het ook ongelooflijk goedkoop. Dat is een van de redenen waarom het economisch gezien zo goed is om een slechterik op internet te zijn. Als je een aanvaller bent en iets hebt dat werkt, waartegen de meeste bedrijven zich niet kunnen verdedigen, waarom zou je het dan niet blijven gebruiken?”
Het systeem van Area 1 Security claimt 99,99 procent van alle phishing-aanvallen te stoppen, waardoor ze een logboek kunnen bijhouden van de aanvallen die ze voorkomen. De filosofie van het bedrijf is niet om de criminelen via het internet op te sporen, maar om degenen die al bij ons aankloppen tegen te houden.
“Totdat we phishing als wapen uit de handen van aanvallers nemen, zullen we doorgaan op dit steeds gevaarlijker en duurder wordende traject.”
Misschien wordt het tijd dat we meer gaan vragen van de bedrijven die beweren ons te beschermen. Het ontwapenen van de slechteriken klinkt immers als een veel beter plan dan wachten tot ze aanvallen.
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
