安全行業(yè)正在浪費機會

一位資深的Trend Micro高管在加拿大安全會議上說，在數(shù)據(jù)泄露日益增多的時代，網(wǎng)絡(luò)安全行業(yè)正在浪費機會讓計算機更加安全

“我們是一艘充滿潛力的火箭船，”總部位于渥太華的日本云研究副總裁馬克·努尼克霍文(Mark Nunnikhoven)周三在Sec Tor年度會議上表示。 “我們比以往任何時候都重要。 不幸的是——我也包括我自己——我們正乘坐這艘火箭飛船，將它直接推進地面。

他說，今年將有大約1,180億$用于網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。 但有一家供應(yīng)商估計，罪犯每年將$1.5萬億美元。 同時，清理網(wǎng)絡(luò)攻擊造成的損失的成本將$4.5萬億美元。

顯然，他說，這個行業(yè)并沒有減緩罪犯的速度。

“我們的職業(yè)不成功。 我們可能有小的勝利，但在全球范圍內(nèi)，我們沒有獲勝。 我們輸了。

他說，這種指責(zé)四處蔓延。 首席信息官必須向首席信息官報告，他們的盤子里有很多。 而他們想要花費的錢通常會改善攻擊和漏洞檢測，而不是解決安全問題。

雇傭更多的保安人員？ 但專家說，缺乏熟練的人才。 他還懷疑，即使CISO能增加更多的工作人員，在減緩攻擊方面是否有區(qū)別。

甚至連企業(yè)營銷部門也因為發(fā)送帶有URL鏈接的電子郵件而來，這些用戶知道尋找可疑的東西，但卻無法確定它們是否合法。 Nunnikhoven抱怨道：“營銷是世界各地發(fā)送的絕對殘暴、可怕的URL的罪魁禍首。 這就是為什么網(wǎng)絡(luò)釣魚意識運動失敗的原因之一，他說。

隨著基于互聯(lián)網(wǎng)的平臺的更新，越來越多的組織每年都在向云端移動來托管和交付應(yīng)用程序。

對infosec專業(yè)人士來說，打擊威脅行為者不是游戲。 也許應(yīng)該是。 增加更多的學(xué)習(xí)游戲，叫做游戲化......

信息技術(shù)專業(yè)人員沒有幸免。 他說：“我們在密碼上做了一項絕對糟糕的工作，堅持用戶創(chuàng)建復(fù)雜的密碼，而不是讓他們更容易記住密碼短語。

此外，公司政策，或來自供應(yīng)商的產(chǎn)品。 不允許用戶剪切和粘貼那些難以記住的密碼，IT堅持。

同時，他說infosec的專業(yè)人士抱怨他們最大的問題是用戶，這導(dǎo)致了“我們”對他們的態(tài)度。 但是，Nunnikhoven說，一個組織的所有收入都來自用戶。 指責(zé)他們是錯誤的。

最后，他抱怨Infosec的專業(yè)人員沒有以互聯(lián)網(wǎng)的速度工作，這需要快速的生產(chǎn)周期和DevOps來進行安全的軟件開發(fā)和發(fā)布。

他說，有一些希望，因為信息技術(shù)專業(yè)人員現(xiàn)在被要求與董事會和高級經(jīng)理交談。 但這意味著“我們需要調(diào)整我們的思維，以適應(yīng)商業(yè)環(huán)境.我們需要問，我們是否從我們的安全投資中獲得價值。

“但要真正解決這個問題，我們需要比我們更多的自動化工作?！彼f，在SOC中，絕大多數(shù)分析師或威脅搜索工作都應(yīng)該是自動化的，在那里，“你正在看到源源不斷的警報。 也許十分之一是有價值的，也許五分之一是有價值的。

第二，接受用戶不是問題。 教育他們，而不是開展宣傳運動，以作出良好的背景決定。

第三，信息技術(shù)專業(yè)人員需要與組織中的其他團隊合作。 “如果我們在開發(fā)和產(chǎn)品選擇周期的早期推動我們的安全思維，我們將通過設(shè)計獲得安全。 它不僅更好，而且比讓糟糕的軟件或代碼活起來更便宜“。

“我認為我們所做的每件事的目標都應(yīng)該是確保我們組織中的系統(tǒng)按預(yù)期工作，而只能按預(yù)期工作。 “你需要出去，與其他組織合作和工作。 它讓我們的生活更輕松。 我們可以用我們的時間做更有效的事情“。

“單是出于自私的原因，這是值得的。