Kā publiskais kauns var piespiest revolūciju datoru drošībā

Skaitļi ir nomācoši. Aptuvens 700 miljoni datu ieraksti tika nozagti 2015. gadā. Taču, neskatoties uz miljardiem, kas iztērēti datoru drošībai, trūkumi, kas pieļauj šādus uzbrukumus, tiek novērsti lēni. Jūnijs Ziņot atklāja, ka, piemēram, finanšu uzņēmumiem, lai novērstu zināmās tiešsaistes drošības ievainojamības, ir nepieciešami vidēji pieci mēneši.





Drošības nozare katru gadu saņem 75 miljardus dolāru, lai mēģinātu nodrošināt lietas, un par to jūs saņemat to, ka visi tiek visu laiku uzlauzti, sacīja Džeremija Grosmens, SentinelOne drošības stratēģijas vadītājs, uzstājoties Black Hat drošības konferencē Lasvegasā. trešdiena.

Tomēr Grosmans un daži citi drošības nozares veterāni pēdējā laikā ir kļuvuši optimistiskāki. Viņi saskata iespēju, ka uzņēmumiem drīz būs daudz spēcīgāki finansiāli stimuli ieguldīt programmatūras nodrošināšanā un uzturēšanā.

Jauna bezpeļņas organizācija ar nosaukumu Kiberneatkarīgā testēšanas laboratorija (CITL) ir izstrādājis veidus, kā novērtēt un salīdzināt programmatūras produktu, piemēram, tīmekļa pārlūkprogrammu un operētājsistēmu, drošību. Mērķis ir palīdzēt patērētājiem un uzņēmumiem izvēlēties visdrošākos produktus un apkaunot tos, kuri pakļauj mūsu datus riskam, lai viņi varētu strādāt labāk.



Šie centieni nāk laikā, kad apdrošināšanas sabiedrības ir sākušas interesēties par drošības pārkāpumu risku izpratni, kas varētu radīt jaunus finansiālus stimulus uzņēmumiem pievērst uzmanību drošībai. Apdrošinātāji varētu izdarīt spiedienu uz uzņēmumiem līdzīgi kā nozares loma automobiļu un elektriskās drošības veicināšanā. PwC ziņoja pagājušais gads ka uzņēmumi ir spiesti vairāk paļauties uz kiberapdrošināšanu, jo uzņēmumu datu pārkāpumu izmaksas strauji pieaug.

Peiters Zatko, augsta līmeņa hakeris, kas pazīstams kā Mudge, šonedēļ uzstājas Black Hat drošības konferencē.

CITL izveidoja augsta līmeņa hakeris Peiters Zatko, pazīstams arī kā Mudge, un viņa sieva Sāra, kas arī ir drošības pētniece. Pāris trešdien Black Hat konferencē prezentēja savus pirmos rezultātus, parādot, kā viņu izstrādātās analīzes metodes dažādām programmatūras programmām var piešķirt virkni drošības rādītāju.



CITL ir veidots pēc parauga Patērētāju ziņojumi , un publicēs vērtējumus, kas paredzēti neekspertiem, kā arī detalizētākus novērtējumus nozares pārstāvjiem. Mēs gadiem ilgi esam mēģinājuši likt cilvēkiem rūpēties par drošību, un, ja kāds saka: “Labi, ko man darīt?”, mēs esam diezgan neskaidri par nākamo soli, sacīja Sāra Zatko. Mēs varam ieteikt izmantot pārlūkprogrammu, taču mums nav daudz pierādījumu, kas to apstiprinātu.

Zatkos iepazīstināja ar provizoriskiem datiem, salīdzinot Apple datoriem paredzēto programmu ievainojamību pret uzbrukumiem. Pārlūkprogramma Google Chrome tika ierindota 75. procentilē no visām šai operētājsistēmai analizētajām programmām, Safari sasniedzot 59. Microsoft Office un pārlūkprogramma Mozilla Firefox bija neaizsargātākas, atpaliekot attiecīgi ar 37. un 35. punktu. Microsoft Windows 10 CITL analīze liecina, ka uzņēmums savā operētājsistēmā izmanto jaunākās metodes. Detalizētākā CITL analīze parādīja, ka Microsoft un Mozilla savās Apple datoriem paredzētajās programmās nav izmantojušas standarta veidus, kā aizsargāt programmatūru pret uzbrukumiem.

CITL finansē Pentagona pētniecības nodaļa, Gaisa spēku pētniecības laboratorija un Ford fonds. Tā plāno nākamā gada sākumā izlaist pirmās lielās datu kopas un jau runā ar apdrošināšanas kompānijām, kuras ir ieinteresētas izmantot tās datus.



Grosmans cer, ka CITL analīzes varētu palīdzēt piespiest uzņēmumus uzņemties atbildību par savām drošības nepilnībām. Pētījumi liecina, ka drošības incidentiem ir maza ietekme uz uzņēmuma akciju cenu, un juridiskās atbildības prasības parasti neizdodas. Tāpat uzņēmumi, kas pārdod programmatūras un drošības produktus, nepiedāvā neko līdzīgu garantijām vai garantijām, kas raksturīgas tradicionālākām precēm un pakalpojumiem.

Grosmans prognozē, ka dati no CITL un dažiem jaunizveidotiem uzņēmumiem, kas strādā pie veidiem, kā novērtēt un salīdzināt uzņēmumu noturību pret drošības apdraudējumiem, arī ļaus apdrošinātājiem piespiest lielas izmaiņas attieksmē pret drošību.

Viņš lēš, ka uzņēmumi pašlaik tērē aptuveni 3,5 miljardus ASV dolāru gadā apdrošināšanai, kas tiek izmaksāta korporatīvā pārkāpuma gadījumā, un izdevumi pieaug par 50 procentiem vai vairāk gadā. Apdrošinātāji pašlaik koncentrējas uz tirgus paplašināšanu un nepamato prēmijas vai izmaksas, rūpīgi pārbaudot uzņēmuma tehnoloģiju stāvokli. Taču viņi strādā, lai apkopotu šim nolūkam nepieciešamos aktuāros datus. Manuprāt, tas ir tikai laika jautājums, līdz informācijas drošības nozares meistari mainīsies, sacīja Grosmans.



paslēpties