Cómo la vergüenza pública podría forzar una revolución en la seguridad informática

Los números son deprimentes. Un estimado 700 millones Los registros de datos fueron robados en 2015. Pero a pesar de los miles de millones gastados en seguridad informática, las fallas que permiten este tipo de ataques se solucionan lentamente. un junio reporte descubrió que las empresas financieras, por ejemplo, tardan en promedio más de cinco meses en corregir las vulnerabilidades de seguridad en línea conocidas.





La industria de la seguridad obtiene $75 mil millones cada año para tratar de proteger las cosas, y lo que obtienes por eso es que todos son pirateados todo el tiempo, dijo Jeremiah Grossman, jefe de estrategia de seguridad de SentinelOne, hablando en la conferencia de seguridad Black Hat en Las Vegas el Miércoles.

Sin embargo, Grossman y algunos otros veteranos de la industria de la seguridad se han vuelto más optimistas últimamente. Ven la posibilidad de que las empresas pronto tengan incentivos financieros mucho más fuertes para invertir en la seguridad y el mantenimiento del software.

Una nueva organización sin fines de lucro llamada Laboratorio de pruebas cibernético independiente (CITL) ha desarrollado formas de puntuar y comparar la seguridad de productos de software como navegadores web y sistemas operativos. El objetivo es ayudar a los consumidores y las empresas a elegir los productos más seguros y avergonzar a aquellos que ponen en riesgo nuestros datos para hacerlo mejor.



Ese esfuerzo llega en un momento en que las compañías de seguros han comenzado a interesarse en comprender los riesgos de las infracciones de seguridad, algo que podría crear nuevos incentivos financieros para que las empresas presten atención a la seguridad. Las aseguradoras podrían presionar a las empresas de manera similar al papel de la industria en el avance de la seguridad eléctrica y de automóviles. PwC informó el año pasado que las empresas se ven obligadas a depender más de los seguros cibernéticos porque los costos de las filtraciones de datos corporativos aumentan rápidamente.

Peiter Zatko, un hacker de alto perfil conocido como Mudge, hablando en la conferencia de seguridad Black Hat esta semana.

CITL fue establecido por el hacker de alto perfil Peiter Zatko, también conocido como Mudge, y su esposa, Sarah, quien también es investigadora de seguridad. Ambos presentaron sus primeros resultados en la conferencia Black Hat el miércoles, mostrando cómo los métodos de análisis que habían desarrollado pueden asignar un rango de puntajes de seguridad a diferentes programas de software.



CITL se basa en Informes de los consumidores , y publicará puntajes dirigidos a no expertos, así como evaluaciones más detalladas para expertos de la industria. Hemos estado tratando de hacer que la gente se preocupe por la seguridad durante años y si alguien dice 'Está bien, ¿qué hago?', somos bastante vagos sobre el siguiente paso, dijo Sarah Zatko. Podemos aconsejarle qué navegador usar, pero no tenemos mucha evidencia para respaldarlo.

Los Zatkos presentaron datos preliminares que comparan la vulnerabilidad al ataque de programas para computadoras Apple. El navegador Google Chrome se clasificó en el percentil 75 de todos los programas analizados para ese sistema operativo, con Safari en el puesto 59. Microsoft Office y el navegador Mozilla Firefox fueron más vulnerables, en el puesto 37 y 35, respectivamente. El análisis de CITL de Windows 10 de Microsoft sugiere que la empresa utiliza métodos más actualizados en su propio sistema operativo. Los análisis más detallados realizados por CITL mostraron que Microsoft y Mozilla no habían utilizado métodos estándar para proteger el software contra ataques en sus programas para PC de Apple.

El CITL cuenta con fondos del brazo de investigación del Pentágono, el Laboratorio de Investigación de la Fuerza Aérea y la Fundación Ford. Planea lanzar sus primeros grandes conjuntos de datos a principios del próximo año y ya está hablando con compañías de seguros interesadas en usar sus datos.



Grossman espera que los análisis de CITL puedan ayudar a obligar a las empresas a asumir la responsabilidad de sus fallas de seguridad. Los estudios sugieren que los incidentes de seguridad tienen poco efecto en el precio de las acciones de una empresa, y los reclamos de responsabilidad legal generalmente fallan. Las empresas que venden software y productos de seguridad tampoco ofrecen nada parecido a las garantías comunes a los bienes y servicios más tradicionales.

Grossman predice que los datos de CITL y algunas nuevas empresas que trabajan en formas de calificar y comparar la resiliencia de las empresas a las amenazas de seguridad también permitirán a las aseguradoras forzar un gran cambio en las actitudes hacia la seguridad.

Estima que las empresas actualmente gastan alrededor de $ 3.5 mil millones al año en seguros que pagan en caso de incumplimiento corporativo, con un gasto que crece en un 50 por ciento o más anualmente. Actualmente, las aseguradoras se enfocan en expandir el mercado y no basan las primas o los pagos en un escrutinio minucioso del estado de la tecnología de una empresa. Pero están trabajando en la recopilación de los datos actuariales necesarios para hacerlo. Creo que es solo cuestión de tiempo hasta que cambien los maestros de la industria de la seguridad de la información, dijo Grossman.



esconder