(i) Säker är en veckokolumn som dyker in i det snabbt eskalerande ämnet cybersäkerhet.
Innehåll
- Problemet
- Det hela leder tillbaka till nätfiske
Precis som hemsäkerhet vill folk ofta inte tänka på cybersäkerhet när de väl har betalat för det. De betalar hellre och ber.
Men hur vet du när ett säkerhetsföretags programvara fungerar? Med alla miljarder dollar som satsas på att skydda oss själva och våra företag online, varför verkar hackningarna öka i regelbundenhet och skador?
Vi pratade med Oren J. Falkowitz, en tidigare anställd på högre nivå vid NSA och United States Cyber Command, som har en radikal idé om hur cybersäkerhetsföretag ska tjäna sina pengar.
Problemet
Vårt moderna cybersäkerhetsfiasko har många orsaker. Kanske är det en brist på statlig finansiering och reglering. Kanske är det stora tekniska företag som inte bryr sig tillräckligt om integritet. Kanske handlar det bara om att utbilda allmänheten och enkelt förklara vad som står på spel.
"Företag spenderar cirka 93 miljarder dollar på cybersäkerhet, utan något slut i sikte ..."
Falkowitz har en annan uppfattning. Han tror att det verkliga problemet är att cybersäkerhetsvinster inte är bundna till prestanda. "För oss betyder det prestationsbaserad cybersäkerhet och att betala för resultat, inte ett misslyckande," sa han till Digital Trends. "Företag bör bara betala för cybersäkerhet när och om den fungerar som den är tänkt."
Det är inte så det fungerar idag. Cybersäkerhetsexperter, företag och antivirusprogram presenteras och köps som en försäkring. Du betalar månadsvis och hoppas att inget dåligt händer. Om det gör det kommer de att hjälpa dig att plocka upp bitarna - och kanske försöka sälja dig mer med mer säkerhet.
Område 1 Säkerhet, Falkowitz eget cybersäkerhetsföretag, tar det motsatta tillvägagångssättet. Område 1 nämner det faktum att människor "binder sig till säkerhetskontrakt som löper tre till fem år och spenderar sex eller sju siffror. Men de får fortfarande inte vad de betalar för." Falkowitz anser att klienter endast ska betala för försök till brott som stoppas. Det är en idé som liknar bug-bounty-program, som uppmuntrar hackare att hitta – och sedan avslöja – sårbarheter.
Det är alltid nätfiske
"Företag spenderar cirka 93 miljarder dollar på cybersäkerhet, utan något slut i sikte, och vad värre är, ingen ände på cyberattackernas svårighetsgrad eller frekvens", sa Falkowitz. "Prestationsbaserad och ansvarsfull cybersäkerhet kommer att säkerställa att resultaten är det som driver framtida innovationer och framgångsrika resultat i affärsmodeller."
Du kanske undrar hur ett företag skulle kunna fortsätta om det hela tiden måste bevisa för kunderna att attacker stoppas. Area 1 Security får det att fungera genom att fokusera sina ansträngningar på en viss aspekt av cybersäkerhet – nätfiske.
Det hela leder tillbaka till nätfiske
"Nätfiske är attacken som startar attacken, det är grundorsaken till häpnadsväckande 95 procent av alla skador", sa Falkowitz. "Nyckeln till prestationsbaserad cybersäkerhet är att stoppa nätfiske."
"Phishing är en socialt utformad attack som förlitar sig på äkthet för att undvika upptäckt."
Nätfiske har blivit en förödelse för internets existens. Från skadlig programvara till stulen data, nätfiske är ofta startpunkten för de värsta cyberattackerna vi har sett. Det tar vanligtvis formen av ett bedrägligt e-postmeddelande, skickat till ett intet ont anande offer under sken av ett officiellt företag eller en organisation.
E-postmeddelandet kommer sedan att uppmana läsaren att klicka på en länk - och när de gör det utlöses angriparens fälla. Även om det är enkelt, har hackare använt nätfiske för allt från Clintonkampanjens e-postdebacle till det förödande 2017 WannaCry ransomware attack.
"Phishing är en socialt utformad attack som förlitar sig på äkthet för att undvika upptäckt," förklarade Falkowitz. "Den är designad för att inte fångas av någon! Det är därför det fungerar så bra. Förutom att det är effektivt är det också otroligt billigt. Det är en del av varför det är så ekonomiskt bra att vara en dålig kille på internet. Om du är en angripare och har något som fungerar, som de flesta företag inte kan försvara sig mot, varför inte fortsätta använda det?”
Area 1 Securitys system säger sig stoppa 99,99 procent av alla nätfiskeattacker, vilket gör att de kan föra en logg över attackerna de förhindrar. Dess filosofi är inte att jaga brottslingarna över internet, utan istället att stoppa de som redan knackar på våra dörrar.
"Tills vi tar nätfiske som ett vapen ur händerna på angripare kommer vi att fortsätta på denna allt farligare och dyrare bana."
Kanske är det dags att vi börjar fråga mer från de företag som påstår sig skydda oss. Att avväpna skurkarna låter trots allt som en mycket bättre plan än att vänta på att de ska attackera.
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
