RAND-studie: Cyber-defensie moet van koers veranderen, of anders

Laten we dit uit de weg: Defensie is niet sexy.

We mythologiseren zijnde de hacker, niet gehackt. Dat zal nooit veranderen, maar in het licht van nieuw rapport RAND The Dilemma Defender, iets’s got te geven – of anders.

Onder Juniper Networks, vrijgegeven RAND vandaag de resultaten van haar multiphased studie naar de toekomst van cybersecurity, de verdediger Dilemma: in kaart brengen van een cursus Toward Cybersecurity.

De studie is niet zo sexy als hun vorige rapport, Markten voor Cybercrime Hulpmiddelen en gestolen gegevens: Hackers ‘Bazaar, en het zal niet koppen als zijn voorganger te grijpen.

Maar voor een aanval landschap nerd en cybercriminaliteit junkie zoals ik, de nieuwe studie is eigenlijk nog alarmerender.

Het volledige rapport is een emmer koud water over hoe onvoorbereid, verward, en niet-ondersteunde de mensen zijn wiens taak het is om uw gegevens te beschermen.

RAND botweg stelt dat de huidige combinatie van torenhoge cybersecurity-uitgaven en de “twijfelachtige succes” creëert een setup waarin “security inspanningen niet kan doorgaan op deze cursus.

Voor de uitgestrekte 162-pagina studie, RAND “interviewde [18] chief information security officers (CISO), beoordeeld lei van cutting-edge producten van de cyberveiligheid industrie, en beoordeeld de strijd van de software-industrie (en de vijanden) te maken of ( als alternatief) breken veilige software. ”

Met een geschatte wereldwijde uitgaven aan cybersecurity naderen 70000000000 $ per jaar, groeit met ongeveer 10 tot 15 procent per jaar (zonder vertraging in zicht), en een ernstige inbreuk in nieuws vrijwel elke dag … de problemen met de vraag van de verdediging antwoorden.

RAND’s Defender’s Dilemma vindt antwoorden, en ze zijn ongemakkelijk.

Sommige van de eerste bevindingen in Dilemma Defender zal niet iedereen in de veiligheidssector verrassen. Toch is het rapport biedt een stevige basis voor bepaalde reeds aanwezige overtuigingen, als dat cyberinsurance is een dubieuze investeringen, en dat niemand echt weet wat te doen met dreiging intel.

Eerder

De kosten van ransomware aanvallen: 1000000000 $ dit jaar; Chrome etikettering HTTP-verbindingen als niet-beveiligde start; de Hyperledger Project groeit als gangbusters; Nu kunt u een USB-stick die alles vernietigt op zijn pad te kopen

In zijn onderzoek, RAND vond dat leiderschap werd verloren op zee, met weinig motivatie om te roeien naar de kust. “Het concept van actieve verdediging heeft meerdere betekenissen, geen standaard definitie, en roept weinig enthousiasme.”

Zij concludeerde ook dat de totale, “CISO’s ontbreekt een duidelijke visie op [cybersecurity defensie] incentives.”

Daarnaast RAND de bevindingen gesuggereerd dat niemand was ervan overtuigd dat de Amerikaanse regering was van plan om te helpen. “CISO’s die we hebben geïnterviewd hebben niet veel interesse in de regering inspanningen om cybersecurity, anders dan het verbeteren van de bereidheid om samen te werken na een aanval uit te drukken.”

Hoe een overtreding maakt een bedrijf blik heeft zich ontwikkeld tot een topprioriteit zijn. “Effect van een cyberaanval op de reputatie (in plaats van meer directe kosten) is de grootste bron van zorg voor CISO’s.”

Hackonomics: de prijzen van de straat voor zwarte markt bugs; Hackonomics: Stolen Twitter accounts ‘waardevoller’ dan credit cards; Hackonomics: ‘Cyber ​​Black Market’ winstgevender dan drugshandel

We hopen dat het trainen van gebruikers volstaat; Als dat niet goed genoeg werken, we kopen cybersecurity tools waarmee aanvallers dwarsbomen; Als de combinatie van opleiding en instrumenten niet voldoende blijken te zijn, werken we aan de beperkingen.. Eerst, aan het hoofd van de ontluikende toeneemt in adresseerbare inrichtingen, tweede, zodat tenminste de meest kritische processen worden beschermd door middel van isolatie.

RAND voegt toe: “De werkelijke intellectueel eigendom of gegevens die kunnen worden getroffen gebied minder dan het feit dat enig intellectueel eigendomsrecht of gegevens in gevaar.”

Heb het? werkelijke veiligheid van de gegevens doet er minder toe aan de bottom line nu dan de perceptie ervan.

Voor sommigen van ons kijken op de zijlijn, het helpt verklaren waarom het gebied van cybersecurity startups in toenemende mate, troublingly, gunsten uiterlijk en aansluitingen (de belofte van een zilveren kogel) boven inhoud.

Verliezen van cyberaanval, directe kosten van de opleiding de gebruikers; directe kosten van het kopen en het gebruik van gereedschap, Indirecte kosten in verband met de beperkingen op de inname van BYOD / smart devices; Indirecte kosten van air-kloven bijzonder gevoelig subnetwerken.

De Emo CISO

Een overgang van hoop aan pijnlijke commitment

Innovatie;? M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer

RAND’s 21 interview vragen aan CISO’s zijn opgenomen in het rapport.

verslag RAND’s neemt een harde blik op brutale, recente coming-of-age in enterprise security informatiebeveiliging’s. “Als bedrijven geleerd dat ze nodig hadden om niet alleen de kans, maar ook de impact van de aanvallen verminderen, wendden zij zich tot data loss prevention (DLP) programma’s en meer uitgebreide gebruik van Virtual Private Networks (VPN’s).”

Natuurlijk maatregelen gewon tegenmaatregelen, enzovoort. “Aanvallers, op zijn beurt, maakten meer gebruik van stealth, verduistering en malware polymorfisme. Defenders verschoven naar het detecteren van aanvallen op basis van het netwerk gedrag en niet handtekeningen. Soms dezelfde tools en technieken die werden gebruikt door zowel de verdedigers en aanvallers”

Zonder statistieken, is het onduidelijk waarom consumenten meer zouden betalen voor goede producten dan gewoon voldoende degenen.

En de beste tools en grootste middelen kon niet rond de vele tekortkomingen veiligheid die is ontstaan ​​uit de menselijke natuur.

Het onderwerp van de menselijke natuur als een bedreiging voor de veiligheid herhaalt in rode draad door het rapport. Met name in het niet met hen kunnen leven, kan niet leven zonder hen hoofdstukken over BYOD, en het ruimen gegeven om slechte codering praktijken (met name met betrekking tot de veiligheid van een applicatie).

Om eventuele verliezen van een organisatie bepalen van cyberaanval, RAND opgericht gegeven subroutines van een organisatie vertegenwoordigd in de parameters besproken door CISO’s.

RAND uitgelegd, “Zij zullen in reeks, in plaats van parallel aan een progressie vormen van pijnlijke engagement hoop

Zie een nieuws headline over schending verliezen? Vraag het.

De onderzoekers ontdekten dat op dit moment verliezen praktisch een subjectieve ervaring. Niemand weet eigenlijk hoe om het verlies te schatten – en dus RAND brak het proces van de kostenraming stuk voor stuk (een model specificatie is opgenomen in bijlage van het rapport).

RAND zei

RAND past haar cyberaanval kostenmodel tot drie bijvoorbeeld bedrijven, een medische praktijk, een bank, en een verdediging aannemer (geclassificeerde materialen).

Voor de meeste mensen, is encryptie gezien als te moeilijk te gebruiken, een beetje niche, of iets voor de ‘aluminium hoedje’ brigade. Een Duits project hoopt om dat allemaal te veranderen.

Niet verrassend, vond het team dat elk vertelt een ander verhaal als het gaat om verliezen. Maar RAND had een beetje plezier met het model, en veranderde variabelen zoals opleiding, gereedschap, BYOD levels, en geïsoleerde subnets (lucht gapping) – en vragen te stellen als, oke wat er gebeurt als alles is besmet?

Je moet het verslag te lezen om erachter te komen – en ook om RAND nagel te zien in zijn definitieve Lessen voor organisaties en Lessons for Public Policy, onder vermelding van conclusies over wat er gedaan moet worden, in het bijzonder met het delen van informatie tussen organisaties en de overheid.

Misschien wel de meest merkwaardige conclusie is echter RAND eigen. “De beste reden om optimistisch over de toekomst van cybersecurity is de groei in de gelederen van die pessimistisch over het.”

Misschien is er een plaats voor ons in de toekomst cyberveiligheid na al, beste lezer.

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer