(i) Sikker er en ukentlig spalte som dykker ned i det raskt eskalerende temaet cybersikkerhet.
Innhold
- Problemet
- Det hele fører tilbake til phishing
Som hjemmesikkerhet vil folk ofte helst ikke tenke på nettsikkerhet når de har betalt for det. De vil heller betale og be.
Men hvordan vet du når programvaren til et sikkerhetsselskap fungerer? Med alle milliarder av dollar som er strømmet inn for å beskytte oss selv og våre virksomheter på nettet, hvorfor ser det ut til at hacks øker i regularitet og skader?
Vi snakket med Oren J. Falkowitz, en tidligere ansatt på seniornivå ved NSA og United States Cyber Command, som har en radikal idé om hvordan cybersikkerhetsselskaper bør tjene pengene sine.
Problemet
Vår moderne cybersikkerhetsfiasko har mange årsaker. Kanskje er det mangel på statlig finansiering og regulering. Kanskje er det store teknologiselskaper som ikke bryr seg nok om personvern. Kanskje er det bare et spørsmål om å utdanne publikum og forklare på en enkel måte hva som står på spill.
"Bedrifter bruker rundt 93 milliarder dollar på cybersikkerhet, uten ende i sikte ..."
Falkowitz har et annet syn. Han mener det virkelige problemet er at cybersikkerhetsfortjeneste ikke er knyttet til ytelse. "For oss betyr det ytelsesbasert cybersikkerhet og å betale for resultater, ikke en fiasko," sa han til Digital Trends. "Bedrifter bør betale for nettsikkerhet bare når og hvis den fungerer som den er designet."
Det er ikke slik det fungerer i dag. Eksperter på nettsikkerhet, selskaper og antivirusprogramvare presenteres og kjøpes som en forsikringsplan. Du betaler månedlig og håper at det ikke skjer noe vondt. Hvis det gjør det, vil de hjelpe deg med å plukke opp bitene - og kanskje prøve å selge deg mer for mer sikkerhet.
Område 1 Sikkerhet, Falkowitz’ eget cybersikkerhetsselskap, tar den motsatte tilnærmingen. Område 1 kaller det faktum at folk "forplikter seg til sikkerhetskontrakter som varer tre til fem år, og bruker seks eller syv tall. Men de får fortsatt ikke det de betaler for.» Falkowitz mener klienter bare skal betale for forsøk på forbrytelser som blir stoppet. Det er en idé som ligner på bug bounty-programmer, som oppmuntrer hackere til å finne – og deretter avsløre – sårbarheter.
Det er alltid phishing
"Bedrifter bruker rundt 93 milliarder dollar på cybersikkerhet, uten ende i sikte, og hva verre er, ingen ende på alvorlighetsgraden eller hyppigheten av cyberangrep," sa Falkowitz. "Prestasjonsbasert og ansvarlig cybersikkerhet vil sikre at resultater er det som driver fremtidige innovasjoner og vellykkede resultater i forretningsmodeller."
Du lurer kanskje på hvordan et selskap kunne forbli i virksomhet hvis det hele tiden måtte bevise for kundene at angrep blir stoppet. Area 1 Security får det til å fungere ved å fokusere innsatsen på et bestemt aspekt av cybersikkerhet – phishing.
Det hele fører tilbake til phishing
"Phishing er angrepet som starter angrepet, det er grunnårsaken til forbløffende 95 prosent av alle skader," sa Falkowitz. "Nøkkelen til ytelsesbasert cybersikkerhet er å stoppe phishing."
"Phishing er et sosialt utviklet angrep som er avhengig av autentisitet for å unngå oppdagelse."
Nettfisking har blitt forbannelsen av internetts eksistens. Fra skadelig programvare til stjålne data, phishing er ofte inngangspunktet for de verste nettangrepene vi har sett. Det tar vanligvis form av en uredelig e-post, sendt til et intetanende offer under dekke av et offisielt selskap eller organisasjon.
E-posten vil da be leseren om å klikke på en lenke - og når de gjør det, utløses angriperens felle. Selv om det er enkelt, har hackere brukt phishing for alt fra Clinton-kampanje-e-postdebakel til det ødeleggende 2017 WannaCry løsepengevareangrep.
"Phishing er et sosialt utviklet angrep som er avhengig av autentisitet for å unngå oppdagelse," forklarte Falkowitz. "Den er designet for ikke å bli fanget av noen! Det er derfor det fungerer så bra. Foruten å være effektiv, er den også utrolig billig. Det er en del av hvorfor det er så bra økonomisk å være en dårlig fyr på internett. Hvis du er en angriper og har noe som fungerer, som de fleste selskaper ikke kan forsvare seg mot, hvorfor ikke fortsette å bruke det?»
Area 1 Securitys system hevder å stoppe 99,99 prosent av alle phishing-angrep, slik at de kan føre en logg over angrepene de forhindrer. Filosofien er ikke å jakte på kriminelle over internett, men i stedet å stoppe de som allerede banker på dørene våre.
"Inntil vi tar phishing som et våpen ut av hendene på angripere, vil vi fortsette på denne stadig farligere og dyrere banen."
Kanskje det er på tide at vi begynner å spørre mer fra selskapene som hevder å beskytte oss. Tross alt, å avvæpne de slemme gutta høres ut som en mye bedre plan enn å vente på at de skal angripe.
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
