6 Alasan Ini Menyebabkan Kau Tidak Fokus Pada Bahaya Keamanan It Terbesarmu
Thursday, January 18, 2018
Edit
Sebagian besar perusahaan tidak fokus pada bahaya keamanan kasatmata yang mereka hadapi, menciptakan mereka semakin rentan. Itu sanggup berubah kalau mereka mempercayai datanya ketimbang hype.
Manusia ialah makhluk lucu yang tidak selalu bereaksi atas kepentingan terbaiknya sendiri, bahkan kalau berhadapan dengan data yang manis dan kontraktif yang mereka setujui. Misalnya, kebanyakan orang jauh lebih takut terbang daripada naik kendaraan beroda empat ke bandara, meski mengendarai kendaraan beroda empat puluhan ribu kali lebih berisiko. Lebih banyak orang takut digigit hiu di pantai daripada anjing mereka sendiri di rumah, meski digigit anjing mereka ratusan ribu kali lebih mungkin. Kita tidak terlalu baik dalam bereaksi sempurna terhadap risiko bahkan ketika kita tahu dan percaya kemungkinan relatif satu lawan yang lain terjadi.
Hal yang sama berlaku untuk keamanan IT.
Pembela komputer sering menghabiskan waktu, uang, dan sumber daya lainnya untuk pertahanan komputer yang tidak menghentikan bahaya terbesar terhadap lingkungan mereka. Misalnya, ketika dihadapkan pada fakta bahwa satu kegiatan tak terpakai yang perlu diperbarui untuk menghentikan bahaya yang paling berhasil, kebanyakan perusahaan melaksanakan segalanya selain menambal kegiatan itu. Atau kalau dihadapkan pada kenyataan bahwa banyak bahaya sukses terjadi alasannya ialah rekayasa sosial bahwa pembinaan pengguna simpulan yang lebih baik sanggup berhenti, perusahaan malah menghabiskan jutaan untuk segala hal kecuali pembinaan yang lebih baik.
Saya sanggup memberimu puluhan rujukan lainnya, namun kenyataan bahwa sebagian besar perusahaan sanggup dengan gampang diretas sesuai impian cukup mengambarkan krisis. Perusahaan hanya tidak melaksanakan hal-hal sederhana yang seharusnya mereka lakukan, bahkan ketika dihadapkan dengan datanya.
Baca Juga :
Masalahnya sangat mengganggu saya sehingga saya menulis sebuah buku tulis, dek slide, dan buku wacana duduk kasus ini. Tanpa harus membaca semua itu, tanggapan mengapa begitu banyak pembela HAM tidak membiarkan data mendikte pertahanan mereka sebagian besar alasannya ialah kurangnya fokus. Banyak prioritas bersaing untuk mendapat perhatian pembela komputer, sedemikian rupa sehingga hal-hal yang sanggup mereka lakukan untuk meningkatkan pertahanan mereka secara signifikan tidak dilakukan, bahkan bila lebih murah, lebih cepat, dan lebih gampang dilakukan.
Apa yang mengakibatkan kurangnya fokus dalam menempatkan pertahanan yang sempurna di kawasan yang sempurna dalam jumlah yang sempurna melawan bahaya yang benar? Banyak hal, termasuk ini:
1. Banyaknya bahaya keamanan sangat banyak
Ada 5.000 hingga 7.000 bahaya gres setahun, atau sekitar 15 hari. Itu ialah 15 duduk kasus gres di atas 15 duduk kasus gres kemarin, hari demi hari. Sudah begini selama beberapa dekade, selama mereka melacak stat. Pembela komputer sanggup disamakan dengan 911 petugas sentra panggilan yang mendapat lebih banyak panggilan darurat setiap hari daripada awak ambulans tunggal yang sanggup meresponsnya secara memadai, sehingga mereka harus melaksanakan triase dan memprioritaskan.
2. Ancaman hype sanggup mengalihkan perhatian dari bahaya yang lebih serius
Tidak ada gunanya beberapa vendor pertahanan komputer melaksanakan yang terbaik untuk menciptakan setiap penyelamat memanggil korban serangan jantung. Ancaman dan kerentanan yang diumumkan hari ini sering kali disertai dengan fokus pada hype dan niat untuk mengembangkan ketakutan sebagai bahaya sebenarnya. Mereka tiba dengan nama yang angker dan bahkan tokoh kartun yang siap pakai dan bebas emisi.
Saya tidak menyalahkan pihak vendor pertahanan komputer. Tugas mereka menjual perangkat lunak atau layanan mereka, dan lebih gampang menjual baterai ketika badai. Terserah konsumen untuk tetapkan apa dan tidak pantas mendapat perhatian mereka, dan ini sangat sulit dilakukan bila Anda mempunyai 15 bahaya gres setiap hari.
Bahkan ketika bahaya dan risiko sangat besar, terlalu banyak bahaya menciptakan sulit untuk memperhatikan yang benar. Misalnya, Meltdown and Spectre bahu-membahu ialah salah satu bahaya terbesar yang kita hadapi sebagai masyarakat terkomputerisasi. Mereka menghipnotis hampir semua mikroprosesor populer, memungkinkan penyerang untuk mengeksploitasi komputer secara tidak terlihat, sering memerlukan banyak perangkat lunak dan patch firmware untuk perlindungan, dan ketika dipecahkan secara signifikan sanggup memperlambat komputermu. Dalam banyak kasus, satu-satunya solusi yang baik ialah membeli komputer baru. Meltdown and Spectre adalah, sepatuhnya transaksi besar! Menurut pendapat saya, kau tidak sanggup hype mereka cukup.
Namun, di luar bundar keamanan komputer dan beberapa artikel media arus utama selama satu atau dua hari, reaksi kolektif dunia ialah "meh" global. Biasanya ketika sesuatu yang besar terjadi dalam keamanan komputer, teman dan keluarga saya bertanya kepada saya apa yang harus mereka lakukan. Dengan Meltdown and Spectre, saya tidak mendapat satu penyelidikan pun. Untuk memperingatkan bundar sosial saya, saya mengirimkan isu bermanfaat. Biasanya saya mendapat beberapa pertanyaan lagi. Tidak ada ketika ini Tidak ada satu pos pun di bundar sosial saya yang terdiri dari ratusan orang. Ini ibarat hiu putih besar yang lapar telah terlihat di pantai dan tidak ada yang mencoba keluar dari air.
Karena Meltdown dan Spectre sering membutuhkan patch firmware, yang hampir tidak pernah dilakukan konsumen atau akan dilakukan, kau sanggup bertaruh bahwa kita akan mempunyai ratusan juta mesin yang rentan selama bertahun-tahun yang akan datang. Mengapa? Hype kelelahan. Setiap bahaya begitu berlebihan sehingga ketika bahaya global yang kasatmata muncul, semua orang perlu memperhatikannya, mereka hanya mengangkat pundak dan menganggap vendor OS atau perangkat mereka akan menambalnya pada waktunya. Terus terang, saya takut dengan peluang persenjataan yang ditawarkan dua bahaya gres ini. Mereka mungkin akan mengakibatkan lebih banyak bug mikroprosesor yang sanggup ditemukan dan dieksploitasi.
Saya tidak menyalahkan pihak vendor pertahanan komputer. Tugas mereka menjual perangkat lunak atau layanan mereka, dan lebih gampang menjual baterai ketika badai. Terserah konsumen untuk tetapkan apa dan tidak pantas mendapat perhatian mereka, dan ini sangat sulit dilakukan bila Anda mempunyai 15 bahaya gres setiap hari.
Bahkan ketika bahaya dan risiko sangat besar, terlalu banyak bahaya menciptakan sulit untuk memperhatikan yang benar. Misalnya, Meltdown and Spectre bahu-membahu ialah salah satu bahaya terbesar yang kita hadapi sebagai masyarakat terkomputerisasi. Mereka menghipnotis hampir semua mikroprosesor populer, memungkinkan penyerang untuk mengeksploitasi komputer secara tidak terlihat, sering memerlukan banyak perangkat lunak dan patch firmware untuk perlindungan, dan ketika dipecahkan secara signifikan sanggup memperlambat komputermu. Dalam banyak kasus, satu-satunya solusi yang baik ialah membeli komputer baru. Meltdown and Spectre adalah, sepatuhnya transaksi besar! Menurut pendapat saya, kau tidak sanggup hype mereka cukup.
Namun, di luar bundar keamanan komputer dan beberapa artikel media arus utama selama satu atau dua hari, reaksi kolektif dunia ialah "meh" global. Biasanya ketika sesuatu yang besar terjadi dalam keamanan komputer, teman dan keluarga saya bertanya kepada saya apa yang harus mereka lakukan. Dengan Meltdown and Spectre, saya tidak mendapat satu penyelidikan pun. Untuk memperingatkan bundar sosial saya, saya mengirimkan isu bermanfaat. Biasanya saya mendapat beberapa pertanyaan lagi. Tidak ada ketika ini Tidak ada satu pos pun di bundar sosial saya yang terdiri dari ratusan orang. Ini ibarat hiu putih besar yang lapar telah terlihat di pantai dan tidak ada yang mencoba keluar dari air.
Karena Meltdown dan Spectre sering membutuhkan patch firmware, yang hampir tidak pernah dilakukan konsumen atau akan dilakukan, kau sanggup bertaruh bahwa kita akan mempunyai ratusan juta mesin yang rentan selama bertahun-tahun yang akan datang. Mengapa? Hype kelelahan. Setiap bahaya begitu berlebihan sehingga ketika bahaya global yang kasatmata muncul, semua orang perlu memperhatikannya, mereka hanya mengangkat pundak dan menganggap vendor OS atau perangkat mereka akan menambalnya pada waktunya. Terus terang, saya takut dengan peluang persenjataan yang ditawarkan dua bahaya gres ini. Mereka mungkin akan mengakibatkan lebih banyak bug mikroprosesor yang sanggup ditemukan dan dieksploitasi.
3. Fokusnya terhadap Ancaman Intelijen yang jelek
Sebagian dari alasannya ialah bahwa kebanyakan intelijen bahaya perusahaan sendiri melaksanakan pekerjaan yang jelek untuk memberi tahu perusahaan mereka bahaya yang perlu mereka khawatirkan. Intelijen bahaya (IT) harus melihat ribuan bahaya dan memberi tahu majikan mereka mana yang paling mungkin dipakai untuk melawan mereka. Sebagai gantinya, mereka biasanya bertindak sebagai megafon untuk mengulangi hype global.
Ingin melihat seberapa infektif kebanyakan departemen intelijen ancaman? Tanyakan kepada mereka apa cara nomor satu yang dipalsukan perusahaan mereka sehingga mengakibatkan kerusakan paling banyak. Apakah itu malware, rekayasa sosial, serangan kata sandi, misconfiguration, serangan yang disengaja, kurangnya enkripsi, dll? Saya belum pernah bertemu tim IT yang sanggup memberi tahu saya bahwa dengan wajah lurus, dengan data untuk mendukung kesimpulan. Bagaimana sanggup perusahaan yang paling efisien melawan bahaya yang benar kalau mereka bahkan tidak sanggup memilih bahaya terbesar?
Ingin melihat seberapa infektif kebanyakan departemen intelijen ancaman? Tanyakan kepada mereka apa cara nomor satu yang dipalsukan perusahaan mereka sehingga mengakibatkan kerusakan paling banyak. Apakah itu malware, rekayasa sosial, serangan kata sandi, misconfiguration, serangan yang disengaja, kurangnya enkripsi, dll? Saya belum pernah bertemu tim IT yang sanggup memberi tahu saya bahwa dengan wajah lurus, dengan data untuk mendukung kesimpulan. Bagaimana sanggup perusahaan yang paling efisien melawan bahaya yang benar kalau mereka bahkan tidak sanggup memilih bahaya terbesar?
4. Kepatuhan tidak selalu sesuai dengan praktik terbaik keamanan
Jika kau ingin menuntaskan sesuatu dengan cepat dalam keamanan komputer, klaim itu dibutuhkan untuk kepatuhan peraturan. Tidak ada yang membuka dompet lebih cepat. Manajemen senior diharuskan memperhatikan duduk kasus kepatuhan. Dalam banyak kasus, mereka sanggup dianggap bertanggung jawab secara eksklusif untuk secara aktif mengabaikan kekurangan kepatuhan. Ini memohon perhatian mereka.
Sayangnya, kepatuhan dan keamanan tidak selalu sependapat. Sebagai contoh, rekomendasi password terbaik hari ini diumumkan lebih dari setahun yang lalu, cukup banyak melawan setiap persyaratan aturan dan peraturan mengenai kata sandi. Ternyata sebagian besar dari apa yang kami anggap benar wacana keamanan kata kunci, ibarat membutuhkan kompleksitas, bukanlah saran terbaik, atau bahaya berubah dari waktu ke waktu. Pembuat dan pengelola rekomendasi aturan dan peraturan paling tidak sepertinya memperhatikan, walaupun mengikuti saran password lama, seringkali menciptakan perusahaan lebih mungkin dieksploitasi.
Salah satu duduk kasus eksklusif saya wacana duduk kasus ini ialah berapa banyak situs web yang tidak mengizinkan saya menciptakan kata sandi lebih usang dari 16 huruf (yang akan sangat berpengaruh terlepas dari kompleksitasnya), namun memaksa saya untuk memakai simbol "khusus" yang menurutnya Secara teori akan menciptakan hidup hacker lebih sulit, ketika data dan penelitian memperlihatkan hal ini terang tidak terjadi dalam praktiknya.
Sayangnya, kepatuhan dan keamanan tidak selalu sependapat. Sebagai contoh, rekomendasi password terbaik hari ini diumumkan lebih dari setahun yang lalu, cukup banyak melawan setiap persyaratan aturan dan peraturan mengenai kata sandi. Ternyata sebagian besar dari apa yang kami anggap benar wacana keamanan kata kunci, ibarat membutuhkan kompleksitas, bukanlah saran terbaik, atau bahaya berubah dari waktu ke waktu. Pembuat dan pengelola rekomendasi aturan dan peraturan paling tidak sepertinya memperhatikan, walaupun mengikuti saran password lama, seringkali menciptakan perusahaan lebih mungkin dieksploitasi.
Salah satu duduk kasus eksklusif saya wacana duduk kasus ini ialah berapa banyak situs web yang tidak mengizinkan saya menciptakan kata sandi lebih usang dari 16 huruf (yang akan sangat berpengaruh terlepas dari kompleksitasnya), namun memaksa saya untuk memakai simbol "khusus" yang menurutnya Secara teori akan menciptakan hidup hacker lebih sulit, ketika data dan penelitian memperlihatkan hal ini terang tidak terjadi dalam praktiknya.
5. Terlalu banyak proyek mengembangkan sumber daya yang tipis
Setiap perusahaan yang telah saya konsultasikan telah mempunyai puluhan proyek yang sedang berjalan, masing-masing dirancang untuk mengamankan komputer dan perangkat perusahaan. Dalam setiap kasus, satu atau dua proyek tersebut, kalau selesai hingga selesai, akan memperlihatkan sebagian besar manfaat keamanan yang dibutuhkan perusahaan untuk meminimalkan risiko keamanan secara signifikan. Memisahkan puluhan proyek di antara sumber terbatas terbatas, bagaimanapun, menjamin bahwa sebagian besar proyek akan tertunda dan tidak efisien dilaksanakan bahkan kalau berjalan hingga selesai. Dunia keamanan IT penuh dengan perangkat lunak mahal yang duduk di rak dan menjanjikan proyek tanpa ada yang mengawasi operasi mereka dengan lebih baik.
6. Proyek binatang peliharaan biasanya bukan yang paling penting
Lebih jelek lagi, kebanyakan perusahaan mempunyai satu atau dua proyek binatang peliharaan didorong oleh direktur senior sebagai cita rasa mereka bulan ini. Mereka membaca sebuah buku, mendengar sebuah kisah di radio, atau bermain golf dengan seorang teman yang memberi tahu mereka apa yang harus mereka lakukan untuk memperbaiki perusahaan mereka. Jadi, tanpa berkonsultasi dengan data perusahaan mereka sendiri untuk melihat bahaya terbesar apa, mereka menarik anggota tim terbaik dan paling terang dari proyek lain untuk menyelesaikannya terlebih dahulu - kalau mereka sanggup menuntaskan proyek sebelum menjadi bersemangat dan terpikat pada masa depan mereka. proyek binatang peliharaan
Saya sanggup memberi lebih banyak rujukan mengapa pembela komputer tidak berfokus pada hal yang benar, namun dimulai dengan longsoran bahaya harian dan diperparah oleh banyak faktor lain di sepanjang rantai proyek. Langkah pertama dalam memperbaiki duduk kasus ialah mengakui bahwa kau mempunyai masalah. Jika kau melihat pertahanan komputermu yang tidak efektif diwakili di atas, sekaranglah waktunya untuk membantu semua orang di tim kau memahami masalahnya dan membantu mereka mendapat fokus yang lebih baik.
Saya sanggup memberi lebih banyak rujukan mengapa pembela komputer tidak berfokus pada hal yang benar, namun dimulai dengan longsoran bahaya harian dan diperparah oleh banyak faktor lain di sepanjang rantai proyek. Langkah pertama dalam memperbaiki duduk kasus ialah mengakui bahwa kau mempunyai masalah. Jika kau melihat pertahanan komputermu yang tidak efektif diwakili di atas, sekaranglah waktunya untuk membantu semua orang di tim kau memahami masalahnya dan membantu mereka mendapat fokus yang lebih baik.