A sebezhető szoftverek, néhány incidens bejelentése kockázatokat rejt magában

A kiberbiztonsági szolgáltatók minden évben több terméket és szolgáltatást adnak hozzá, hogy segítsék a vállalkozásokat adataik védelmében, és növeljék az IT-biztonsági költségvetést, de a támadások száma folyamatosan növekszik.

Ha a szoftveripar nem változtat a termékek fejlesztésén, és a támadások áldozatai nem jelentik az incidenseket, a probléma csak súlyosbodni fog a múlt hét végén megrendezett Consumer Electronics Show (CES) biztonsági iparági vezetői szerint.

Bár könnyű a fenyegető csoportokat hibáztatni, azok a szoftverkészítők, amelyek nem helyezik előtérbe a biztonságot, és nem fejlesztenek új technológiát a múltban nem biztonságos rendszereken, hozzájárulnak a növekvő kiberbiztonsági problémákhoz – magyarázza Jen Easterly, a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) igazgatója. előadás a kiberbiztonság új korszakának felépítéséről.

„Elfogadtuk, hogy a szoftvereket mindenféle sérülékenységgel és hibával fejlesztik, és hogy a kiberbiztonság az IT-szakemberek és a CISO-k kiváltsága, akiknek esetleg nincs befolyásuk a kiberbiztonság előmozdítására a vállalkozásokban” – mondta Easterly. “Amit tennünk kell a változtatás érdekében, az nem feltétlenül az, hogy kijussunk, hanem azt kell megtudnunk, hogy termékeinket hogyan tervezték biztonságosnak, beépített biztonsági funkciókkal.”

Valójában a vállalatok megpróbálták átverekedni magukat a biztonsági aggályokon, legyen szó szoftverről vagy ransomware-fizetésről. Az információbiztonsági és kockázatkezelési termékekre és szolgáltatásokra fordított kiadások várhatóan 11,3%-kal, több mint 188,3 milliárd dollárra nőnek 2023-ra – jelentette a Gartner. Az informatikai kutatócég szerint a biztonsági szolgáltatások, amelyek magukban foglalják a tanácsadást, a hardvertámogatást, az implementációt és a kiszervezett szolgáltatásokat, a biztonsági kiadások legnagyobb kategóriáját jelentik, és az idén várhatóan elérik a 76,5 milliárd dollárt.

Eközben a rendszerbiztonsággal kapcsolatos bizalom szintje alacsonyabb, mint valaha.

„Régebben azt mondtuk: Bízz és ellenőrizd. Most azt mondjuk: „Zéró bizalom” – mondta Steve Koenig, a Consumer Technology Association kutatási alelnöke a múlt heti CES-en tartott vitaindító beszédében.

Nem biztonságos szoftver

George, a CrowdStrike vezérigazgatója szerint a visszamenőleges kompatibilitás és az elavult szoftverek, amelyek folyamatos javításra szorulnak a technológiai adósság kezelésére, a technológiai ipar Achilles-sarka. Kurtz a CES ülésén a CISA Easterly-vel.

“Ha belegondolunk abba a visszafelé kompatibilitásba, amellyel a technológiai cégek még mindig foglalkoznak, akkor vannak valóban nem biztonságos protokollok, de [vendors] támogassa őket, mert olyan sok régi cucc van odakint” – mondta Kurtz. „Amíg nem szabadulunk meg attól a hosszú farktól, soha nem jutunk biztonságosabb környezetbe.”

Eközben a technológiai gyártók a biztonsági terheket a fogyasztókra, akik a legkevésbé tájékozottak, és az informatikai szakemberekre helyezik, akiknek harmadik féltől származó biztonsági szoftvereket kell integrálniuk a sebezhető szoftverekbe.

Ahogyan a fogyasztók nem vásárolnának biztonsági övek, gyűrődési zónák és légzsákok nélkül épített autót, a vállalatoknak is fel kell tenniük maguknak a kérdést, hogy az általuk befektetett szoftverek miért épülnek fel „annyi sebezhető ponttal, hogy minden alkalommal ki kell javítani”. héten” – mondta Easterly.

“Nem engedhetjük el a technológiát” – mondta Easterly. “Gondoskodnunk kell az ösztönzők összhangjáról, hogy ne legyünk túl kiegyensúlyozottak az innováció és a funkciók felé, és ne a fogyasztók biztonságára összpontosítsunk.”

Kurtz egyetértett azzal, hogy azok a cégek, amelyek innovátorok akarnak lenni – sokan közülük a CES-en mutatják be termékeiket – a technológiai érettségi görbe élén állnak, de a biztonsági érettségi görbe alsó végén állnak. A technológia és a biztonsági érettség közötti nagy szakadék az, ahol megnő a kizsákmányolás kockázata – mondta.

A számítástechnikai bűnözés okozta károk idén várhatóan elérik a 8 billió dollárt, 2025-re pedig a 10,5 billió dollárt.

Nem tudjuk elfogadni, hogy 10 év múlva ugyanolyan vagy rosszabb lesz, mint ahol most vagyunk.

Jen OosterlingIgazgató, CISA

“Nem tudjuk elfogadni, hogy 10 év múlva ugyanolyan vagy rosszabb lesz, mint most” – mondta.

A CISA arra ösztönzi a technológiai vállalatokat, hogy olyan technológiát hozzanak létre, amely a tervezés és a szabvány szerint biztonságos. Felszólította a c-suite-ot, hogy a jó kormányzás és a vállalati társadalmi felelősségvállalás részeként vegye fel a vállalati kiberfelelősséget – mondta.

“Arról van szó, hogy alapvetően megváltoztassa a kormány és az ipar együttműködésének paradigmáját a tartós együttműködés felé” – mondta Easterly az ülésen. „Nem ez az alkalmi, egyirányú, átláthatatlan, nem reagáló kapcsolatunk a kormány és az ipar között. [We need an approach] ez sokkal inkább a kiberbiztonságért való megosztott felelősségre összpontosít.”

Eseményjelentés

Egy másik megoldásra szoruló probléma a vállalatok vonakodása jelenteni a biztonsági incidenseket. A CISA Easterly szerint az incidensek nyilvános bejelentése elengedhetetlen a hasonló támadások megelőzése szempontjából, mint ahogy egy lakásban történt betörő bejelentése is megőrizheti az egész környék biztonságát.

Tavaly a Kongresszus elfogadta a kritikus infrastruktúrákra vonatkozó kiberincidensek jelentéséről szóló törvényt (CIRCIA), amely előírja, hogy a kritikus infrastruktúrával foglalkozó vállalatok 72 órán belül jelentsék a jelentős kiberincidenseket és a váltságdíjfizetéseket a CISA-nak.

“A fenyegetőzők számára előnyös, hogy a jelentés hiánya lehetővé teszi számukra, hogy ugyanazt az infrastruktúrát és technikákat használják más célpontok megkeresésére” – mondta Easterly. “[CIRCIA] a kollektív kibervédelemről szól.”

Hozzátette, hogy a biztonsági incidensek célpontjaként érintett vállalatok automatikus “hibáztatása és megszégyenítése” eltántorította az incidensek bejelentését. A hatalmas SolarWinds támadás a közelmúltbeli példa.

“Mindenki a SolarWindst okolta az első behatolásért, de nem vettük figyelembe a gyenge biztonsági szabványokat vagy az Active Directory vagy Azure gyengeségeit” – mondta Easterly. “Valóban együtt kell működnünk annak biztosítására, hogy a vállalatokat ösztönözzék arra, hogy jelentsék ezeket az információkat, hogy felismerjék, hozzájárulnak az ökoszisztéma biztonságához. Az amerikaiak biztonságáról kell szólnia, nem az önfenntartásról.”

Leave a Comment