(ненадежный — это еженедельная колонка, посвященная быстро развивающейся теме кибербезопасности.
Содержание
- Проблема
- Все это снова ведет к фишингу
Как и в случае с домашней безопасностью, люди часто предпочитают не думать о кибербезопасности, как только они за нее заплатили. Они предпочитают платить и молиться.
Но как узнать, что программное обеспечение охранной компании работает? Почему, несмотря на все миллиарды долларов, потраченных на защиту себя и нашего бизнеса в Интернете, частота хакерских атак и ущерб становятся все более регулярными?
Мы поговорили с Ореном Дж. Фальковиц, бывший высокопоставленный сотрудник АНБ и Киберкомандования США, у которого есть радикальное представление о том, как компании, занимающиеся кибербезопасностью, должны зарабатывать свои деньги.
Проблема
Наше современное фиаско в области кибербезопасности имеет множество причин. Возможно, дело в недостатке государственного финансирования и регулирования. Возможно, дело в том, что крупные технологические корпорации недостаточно заботятся о конфиденциальности. Возможно, это просто вопрос просвещения общественности и объяснения простыми словами, о чем идет речь.
«Компании тратят около 93 миллиардов долларов на кибербезопасность, и конца этому не видно…»
Фальковиц придерживается иного мнения. Он считает, что настоящая проблема заключается в том, что прибыль от кибербезопасности не связана с производительностью. «Для нас это означает кибербезопасность, основанную на производительности, и оплату за результат, а не за неудачу», — сказал он Digital Trends. «Компании должны платить за кибербезопасность только тогда и если она работает так, как задумано».
Сегодня это работает не так. Эксперты по кибербезопасности, компании и антивирусное программное обеспечение представлены и приобретаются как страховой план. Вы платите ежемесячно и надеетесь, что ничего плохого не произойдет. Если это так, они помогут вам собрать кусочки — и, возможно, попытаются предложить вам большую безопасность.
Зона 1 Безопасность, собственная компания Фальковица по кибербезопасности, придерживается противоположного подхода. Зона 1 подчеркивает тот факт, что люди «обязуются заключать контракты на обеспечение безопасности сроком от трех до пяти лет, тратя шести- или семизначные суммы. Но они по-прежнему не получают того, за что платят». Фальковиц считает, что клиенты должны платить только за пресеченные попытки совершения преступления. Эта идея аналогична программам вознаграждения за обнаружение ошибок, которые поощряют хакеров находить, а затем раскрывать уязвимости.
Это всегда фишинг
«Компании тратят около 93 миллиардов долларов на кибербезопасность, и конца этому не видно, и, что еще хуже, нет конца серьезности и частоте кибератак», — сказал Фальковиц. «Ориентированная на производительность и подотчетная кибербезопасность будет гарантировать, что результаты будут движущей силой будущих инноваций и успешных результатов в бизнес-моделях».
Вы можете задаться вопросом, как компания могла оставаться в бизнесе, если ей постоянно приходилось доказывать клиентам, что атаки прекращаются. Область 1 «Безопасность» заставляет ее работать, концентрируя свои усилия на конкретном аспекте кибербезопасности — фишинге.
Все это снова ведет к фишингу
«Фишинг — это атака, с которой начинается атака, это основная причина поразительных 95 процентов всех повреждений», — сказал Фальковиц. «Ключом к кибербезопасности, основанной на производительности, является прекращение фишинга».
«Фишинг — это социально-инженерная атака, которая опирается на подлинность, чтобы избежать обнаружения».
Фишинг стал проклятием существования Интернета. От вредоносного ПО до украденных данных — фишинг часто становится отправной точкой для самых ужасных кибератак, которые мы когда-либо видели. Обычно это мошенническое электронное письмо, отправленное ничего не подозревающей жертве под видом официальной компании или организации.
Затем в электронном письме читателю будет предложено щелкнуть ссылку — и как только он это сделает, сработает ловушка злоумышленника. Хотя это и просто, хакеры использовали фишинг для всего: от Разгром электронной почты предвыборной кампании Клинтон к разрушительному Атака программы-вымогателя WannaCry, 2017 г..
«Фишинг — это социально-инженерная атака, которая опирается на подлинность, чтобы избежать обнаружения», — объяснил Фальковиц. «Он создан для того, чтобы его никто не поймал! Вот почему это работает так хорошо. Помимо того, что он эффективен, он еще и невероятно дешев. Именно поэтому с экономической точки зрения так выгодно быть плохим парнем в Интернете. Если вы злоумышленник и у вас есть что-то работающее, от чего большинство компаний не могут защититься, почему бы не продолжать это использовать?»
Система Area 1 Security утверждает, что останавливает 99,99 процентов всех фишинговых атак, что позволяет им вести журнал атак, которые они предотвращают. Его философия заключается не в том, чтобы выследить преступников в Интернете, а в том, чтобы остановить тех, кто уже стучится в наши двери.
«Пока мы не выведем фишинг как оружие из рук злоумышленников, мы будем продолжать идти по этому все более опасному и дорогостоящему пути».
Возможно, пришло время начать требовать большего от компаний, которые утверждают, что защищают нас. В конце концов, разоружение плохих парней кажется гораздо лучшим планом, чем ожидание их нападения.
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
