RAND調査:サイバー防衛はコースを変更する必要があります。

これを脱してみましょう:防衛はセクシーではありません。

私たちはハッキングされた人ではなく、ハッカーであるということを神話にしています。それは決して変わることはありませんが、RANDの新しいレポート「Defender’s Dilemma」に照らして、何かが与えなければならない、あるいはそうでなければなりません。

ジュニパーネットワークスでは、RANDが本日、サイバーセキュリティの将来についての多段階的な研究の結果を発表しました。ディフェンダーのジレンマ:サイバーセキュリティに向けたコースのチャート作成。

この調査は、前回のレポート「サイバー犯罪ツール市場と盗難データ:ハッカー・バザール」と同じくらいセクシーではなく、前任者のような見出しをつかむことはありません。

しかし、私のような攻撃の風景のオタクやサイバー犯罪の仲間にとっては、新しい調査は実際にはもっと驚くべきことです。

報告書全体は、人々があなたのデータを保護するためにどのように仕事をしているのか、混乱しているのか、そしてサポートされていないのかについて冷水の塊である。

RANDは、今日の急激なサイバーセキュリティの支出とその「疑わしい成功」の組み合わせが「このコースではセキュリティの取り組みを続行できない」という設定を作成すると述べている。

大規模な162ページの調査のために、RANDは最高情報セキュリティ責任者(CISO)にインタビューを行い、サイバーセキュリティ業界の最先端製品の見直しを行い、ソフトウェア産業(およびその敵)の闘争を評価し、代わりに)安全なソフトウェアを壊す。

世界的に推定されるサイバーセキュリティは年間約700億ドルに達し、毎年約10〜15%(減速しない)で成長し、毎日ニュースの見出しに深刻な違反があります…防衛需要の問題の解決。

RANDのディフェンダーのジレンマは答えを見つけ、それは不快です。

ディフェンダーのジレンマの最初の発見の一部は、セキュリティ部門の誰も驚かせることはありません。しかし、この報告書は、サイバー保険が怪しげな投資であり、脅威情報をどうしたらよいかわからないような、すでに存在している特定の信念について確かな根拠を提供しています。

以前

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

研究では、RANDは海岸に向かう動機がほとんどなく、海でリーダーシップが失われたことを発見しました。 「積極的な防衛の概念は、複数の意味を持ち、標準的な定義はなく、熱意を感じさせない」

また、全体として、「CISOは、サイバーセキュリティ防衛インセンティブに関する明確なビジョンを欠いている」と結論付けた。

さらに、RANDの調査結果によれば、誰も米国政府が支援になると確信していなかった。 「我々がインタビューしたCISOは、攻撃後に協力していく意思を除けば、政府のサイバーセキュリティ向上の努力に大きな関心を示していない」

違反が会社をどのように見せるかが最優先事項に進化しました。サイバー攻撃が(より直接的なコストではなく)評判への影響は、CISOにとって懸念される最大の原因です」

Hackonomics:ブラックマーケットのバグのためのストリート価格、Hackonomics:クレジットカードよりTwitterのアカウントが「価値あるもの」を盗んだ、Hackonomics:違法な麻薬取引よりも有益な「Cyber​​ Black Market」

トレーニングを十分に行えない場合は、サイバーセキュリティツールを購入して攻撃者を阻止します;トレーニングとツールの組み合わせが十分でないと判断された場合は、まず、アドレス指定可能なデバイスでは、少なくとも最も重要なプロセスが分離によって保護されるようにします。

RANDは、「影響を受ける実際の知的財産やデータは、知的財産やデータが危険にさらされているという事実よりも重要ではない」と付け加えた。

わかった?データの実際の安全性は、人々の認識よりも今のところ結論には及ばない。

傍観している私たちの中には、サイバーセキュリティのスタートアップの分野が、外観と接続(銀色の弾丸の約束)を実質的に上回ることを厄介に、ますます説明するのに役立ちます。

サイバー攻撃からの損失;ユーザートレーニングの直接コスト;ツールの購入と使用の直接コスト; BYOD /スマートデバイスの摂取に関する制限に関連する間接コスト;エアギャップ、特に機密サブネットワークの間接コスト。

エモCISO

希望から痛ましいコミットメントへの進展

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

RANDの21のCISOへの面接問題は、報告書に含まれています。

RANDの報告書は、情報セキュリティの残酷な、近年のエンタープライズセキュリティの時代を過酷に見ています。 「企業は、攻撃の可能性だけでなく攻撃の影響を減らす必要があることを知ると、データ損失防止(DLP)プログラムと仮想プライベートネットワーク(VPN)のより広範な使用に目を向ける」

もちろん、措置は反対策を生み出します。攻撃者は、ステルス、難読化、マルウェアの多型をより多く使用していました。防御側は、シグネチャではなく、ネットワークの動作に基づいて攻撃を検出することに移行しました。

測定基準がなければ、消費者が単なる適切な製品よりも優れた製品に多くの費用を支払う理由は不明です。

最高のツールと最大のリソースは、人間の本質から生まれた多くのセキュリティ上の弱点を乗り越えることができませんでした。

セキュリティの脅威としての人間性の主題は、報告書全体を通してテーマで繰り返されている。特に、彼らと一緒に暮らすことができない人では、BYODのセクションと悪いコーディングの練習(特にアプリケーションのセキュリティに関する)に与えられたリーミングなしでは生きていけません。

サイバー攻撃による組織の損失の可能性を判断するために、RANDはCISOによって議論されたパラメタで表される組織の与えられたサブルーチンを確立しました。

RANDは、「彼らは、希望から​​痛ましいコミットメントへの進展を表すために、パラレルではなく順番に実行されている

違反損失についてのニュースの見出しを参照してください。それに質問してください。

研究者らは、現時点では損失は事実上主観的な経験であることを発見した。誰も実際に損失を見積もる方法を知っている人は誰もいません。そのため、RANDはコスト見積もりの​​プロセスを1つずつ打ち破りました(モデル仕様はレポートの付録で提供されています)。

RANDは言った

RANDは、そのサイバー攻撃コストモデルを、医療行為、銀行、および防衛業者(分類されていないマテリアル)の3つのビジネス例に適用します。

ほとんどの人にとって、暗号化は使用するのが難しいとか、ちょっとしたニッチなこと、「錫箔帽子」旅団のためのものです。ドイツのプロジェクトはそれをすべて変えたいと考えています。

驚くべきことではありませんが、チームは、それぞれが損失になると別の話をしていることを発見しました。しかし、RANDはモデルで少し楽しくなり、トレーニング、ツール、BYODレベル、隔離されたサブネット(エアギャッピング)などの変数が変更されました。そして、すべてのものが感染したらどうなりますか?

このレポートを読んで、RANDが最終的な組織レッスンと公共ポリシーのレッスンでそれを釘付けにして、何をすべきか、特に組織と政府との間の情報共有について結論を出してみる必要があります。

しかし、おそらく最も興味深い結論はRANDのものです。 「サイバーセキュリティの将来について楽観的である最も良い理由は、それについて悲観的な人たちの成長である」

結局のところ、サイバーセキュリティの将来には私たちのための場所があるかもしれません、親愛なる読者。

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命