211service.com
Hoe publieke schaamte een revolutie in computerbeveiliging zou kunnen forceren
De cijfers zijn deprimerend. Een geschatte 700 miljoen gegevensrecords werden in 2015 gestolen. Maar ondanks de miljarden die zijn uitgegeven aan computerbeveiliging, worden fouten die dergelijke aanvallen mogelijk maken langzaam verholpen. een juni verslag doen van ontdekte dat financiële bedrijven er bijvoorbeeld gemiddeld meer dan vijf maanden over doen om bekende online beveiligingsproblemen op te lossen.
De beveiligingsindustrie krijgt elk jaar $ 75 miljard om te proberen dingen te beveiligen, en wat je daarvoor krijgt is dat iedereen voortdurend wordt gehackt, zei Jeremiah Grossman, hoofd beveiligingsstrategie bij SentinelOne, sprekend op de Black Hat-beveiligingsconferentie in Las Vegas op Woensdag.
Toch zijn Grossman en enkele andere veteranen van de beveiligingsindustrie de laatste tijd optimistischer geworden. Ze zien kans dat bedrijven straks veel sterkere financiële prikkels krijgen om te investeren in het beveiligen en onderhouden van software.
Een nieuwe non-profit genaamd de Cyberonafhankelijk testlaboratorium (CITL) heeft manieren ontwikkeld om de beveiliging van softwareproducten zoals webbrowsers en besturingssystemen te scoren en te vergelijken. Het doel is om consumenten en bedrijven te helpen bij het kiezen van de meest veilige producten, en om degenen die onze gegevens in gevaar brengen te beschamen om het beter te doen.
Die inspanning komt op een moment dat verzekeringsmaatschappijen belangstelling beginnen te krijgen voor het begrijpen van de risico's van beveiligingsinbreuken, iets dat nieuwe financiële prikkels zou kunnen creëren voor bedrijven om aandacht te besteden aan beveiliging. Verzekeraars zouden bedrijven onder druk kunnen zetten op dezelfde manier als de rol van de sector bij het bevorderen van de auto- en elektrische veiligheid. PwC meldde: afgelopen jaar dat bedrijven gedwongen worden om zwaarder te leunen op cyberverzekeringen omdat de kosten van zakelijke datalekken snel groeien.

Peiter Zatko, een spraakmakende hacker die bekend staat als Mudge, spreekt deze week op de Black Hat-beveiligingsconferentie.
CITL is opgericht door spraakmakende hacker Peiter Zatko, ook bekend als Mudge, en zijn vrouw, Sarah, die ook beveiligingsonderzoeker is. Het paar presenteerde woensdag hun eerste resultaten op de Black Hat-conferentie en liet zien hoe analysemethoden die ze hadden ontwikkeld een reeks beveiligingsscores kunnen toewijzen aan verschillende softwareprogramma's.
CITL is gemodelleerd naar Rapporten van de consument , en zal scores voor niet-experts publiceren, evenals meer gedetailleerde beoordelingen voor insiders uit de branche. We proberen al jaren mensen zich zorgen te maken over veiligheid en als iemand zegt: 'Oké, wat moet ik doen?' zijn we nogal vaag over de volgende stap, zei Sarah Zatko. We kunnen adviseren welke browser we moeten gebruiken, maar we hebben niet veel bewijs om dat te staven.
De Zatkos presenteerden voorlopige gegevens waarin de kwetsbaarheid voor aanvallen van programma's voor Apple-computers werd vergeleken. De Google Chrome-browser werd gerangschikt in het 75e percentiel van alle programma's die voor dat besturingssysteem werden geanalyseerd, met Safari als 59. Microsoft Office en de Mozilla Firefox-browser waren kwetsbaarder, met respectievelijk 37 en 35. CITL-analyse van Microsoft's Windows 10 suggereert dat het bedrijf meer up-to-date methoden gebruikt op zijn eigen besturingssysteem. De meer gedetailleerde analyses van CITL toonden aan dat Microsoft en Mozilla hadden verzuimd standaardmethoden te gebruiken om software te beveiligen tegen aanvallen in hun programma's voor Apple-pc's.
Het CITL heeft financiering van de onderzoeksafdeling van het Pentagon, het Air Force Research Lab en de Ford Foundation. Het is van plan zijn eerste grote datasets begin volgend jaar vrij te geven en is al in gesprek met verzekeringsmaatschappijen die geïnteresseerd zijn in het gebruik van zijn data.
Grossman hoopt dat de analyses van het CITL bedrijven kunnen helpen om verantwoordelijkheid te nemen voor hun beveiligingsfouten. Studies suggereren dat beveiligingsincidenten weinig effect hebben op de aandelenkoers van een bedrijf, en juridische aansprakelijkheidsclaims mislukken meestal. Bedrijven die software en beveiligingsproducten verkopen, bieden ook niet zoiets als de garanties of garanties die gebruikelijk zijn voor meer traditionele goederen en diensten.
Grossman voorspelt dat gegevens van CITL en sommige startups die werken aan manieren om de weerbaarheid van bedrijven tegen veiligheidsbedreigingen te scoren en te vergelijken, verzekeraars ook in staat zullen stellen een grote verschuiving in de houding ten opzichte van veiligheid te forceren.
Hij schat dat bedrijven momenteel ongeveer $ 3,5 miljard per jaar uitgeven aan verzekeringen die uitkeren in het geval van een bedrijfsinbreuk, waarbij de uitgaven jaarlijks met 50 procent of meer groeien. Verzekeraars zijn momenteel gericht op het uitbreiden van de markt en baseren premies of uitbetalingen niet op nauwkeurige controle van de technologie van een bedrijf. Maar ze zijn bezig met het verzamelen van de actuariële gegevens die daarvoor nodig zijn. Ik denk dat het slechts een kwestie van tijd is voordat de meesters van de informatiebeveiligingsindustrie veranderen, zei Grossman.