Hur offentlig skam kan tvinga fram en revolution inom datorsäkerhet

Siffrorna är deprimerande. En uppskattad 700 miljoner dataposter stals 2015. Men trots de miljarder som spenderats på datorsäkerhet åtgärdas brister som tillåter sådana attacker långsamt. En juni Rapportera fann att finansiella företag, till exempel, tar i genomsnitt över fem månader att åtgärda kända säkerhetsbrister på nätet.





Säkerhetsindustrin får 75 miljarder dollar varje år för att försöka säkra saker, och vad du får för det är att alla blir hackade hela tiden, sa Jeremiah Grossman, chef för säkerhetsstrategi på SentinelOne, på tal vid Black Hat-säkerhetskonferensen i Las Vegas. onsdag.

Ändå har Grossman och några andra veteraner från säkerhetsbranschen på senare tid blivit mer optimistiska. De ser en chans att företag snart får mycket starkare ekonomiska incitament att investera i att säkra och underhålla mjukvara.

En ny ideell organisation som heter Cyberoberoende testlaboratorium (CITL) har utvecklat sätt att betygsätta och jämföra säkerheten för mjukvaruprodukter som webbläsare och operativsystem. Syftet är att hjälpa konsumenter och företag att välja de säkraste produkterna, och att skämma ut de som riskerar vår data för att göra det bättre.



Den satsningen kommer samtidigt som försäkringsbolagen har börjat intressera sig för att förstå riskerna för säkerhetsintrång, något som kan skapa nya ekonomiska incitament för företag att uppmärksamma säkerheten. Försäkringsbolag kan pressa företag på ett liknande sätt som branschens roll för att främja bil- och elsäkerhet. PwC rapporterade förra året att företag tvingas förlita sig mer på cyberförsäkring eftersom kostnaderna för företagens dataintrång växer snabbt.

Peiter Zatko, en högprofilerad hacker känd som Mudge, talar vid Black Hat-säkerhetskonferensen denna vecka.

CITL etablerades av den högprofilerade hackaren Peiter Zatko, även känd som Mudge, och hans fru, Sarah, som också är säkerhetsforskare. Paret presenterade sina första resultat på Black Hat-konferensen i onsdags, och visade hur analysmetoder de hade utvecklat kan tilldela en rad säkerhetspoäng till olika program.



CITL är förebild Konsumentrapporter , och kommer att publicera resultat riktade till icke-experter samt mer detaljerade bedömningar för branschinsiders. Vi har försökt få folk att bry sig om säkerhet i flera år och om någon säger 'Okej, vad gör jag?' är vi ganska vaga om nästa steg, sa Sarah Zatko. Vi kan ge råd om vilken webbläsare vi ska använda men vi har inte mycket bevis för att säkerhetskopiera det.

Zatkos presenterade preliminära data som jämför sårbarheten för attacker av program för Apple-datorer. Webbläsaren Google Chrome rankades i den 75:e percentilen av alla program som analyserades för det operativsystemet, med Safari som kom in på 59. Microsoft Office och webbläsaren Mozilla Firefox var mer sårbara, med 37 respektive 35. CITL-analys av Microsofts Windows 10 tyder på att företaget använder mer uppdaterade metoder på sitt eget operativsystem. De mer detaljerade analyserna av CITL visade att Microsoft och Mozilla hade försummat att använda standardsätt för att härda mjukvara mot attack i sina program för Apple-datorer.

CITL har finansiering från Pentagons forskningsarm, Air Force Research Lab och Ford Foundation. Den planerar att släppa sina första stora datamängder i början av nästa år och pratar redan med försäkringsbolag som är intresserade av att använda dess data.



Grossman hoppas att CITL:s analyser kan hjälpa till att tvinga företag att ta ansvar för sina säkerhetsbrister. Studier tyder på att säkerhetsincidenter har liten effekt på ett företags aktiekurs, och anspråk på juridiskt ansvar misslyckas vanligtvis. Inte heller företag som säljer mjukvara och säkerhetsprodukter erbjuder något liknande de garantier eller garantier som är vanliga för mer traditionella varor och tjänster.

Grossman förutspår att data från CITL och vissa startups som arbetar med sätt att göra poäng och jämföra företags motståndskraft mot säkerhetshot också kommer att ge försäkringsgivare möjlighet att tvinga fram en stor förändring i attityd till säkerhet.

Han uppskattar att företag för närvarande spenderar cirka 3,5 miljarder dollar per år på försäkringar som betalas ut i händelse av ett företagsintrång, med utgifterna som växer med 50 procent eller mer årligen. Försäkringsbolag är för närvarande fokuserade på att expandera marknaden och baserar inte premier eller utbetalningar på noggrann granskning av tillståndet för ett företags teknologi. Men de arbetar med att samla in de försäkringstekniska uppgifter som behövs för att göra det. Jag tror att det bara är en tidsfråga tills informationssäkerhetsbranschens mästare förändras, sa Grossman.



Dölj