Belönar sĂ€kerhetsbranschen “charlataner”?

Belönar sÀkerhetsbranschen


Det finns massor av kvaliteter som gör cybersĂ€kerhetsvĂ€rlden ganska unik: De enorma insatserna och komplexiteten, den globala omfattningen, det faktum att den bokstavligen fortsĂ€tter 24/7/365. Bara för att nĂ€mna nĂ„gra. Och idag berör sĂ€kerheten i princip alla och finns dĂ€r nĂ€stan överallt – oavsett om det Ă€r den aktuella geopolitiska konflikten eller kontolösenordet du glömmer hela tiden.

Det finns en annan egenskap som Ă€r speciell för cybersĂ€kerhet ocksĂ„, men det pratas inte sĂ„ mycket om den, sĂ€ger sĂ€kerhetsbranschens veteran Mike Murray. Av mĂ„nga anledningar skiljer sig sĂ€kerhetsprodukter mycket frĂ„n de produkter som andra industrier erbjuder – Ă€ven andra tekniska sektorer.

Den viktigaste skillnaden Ă€r att sĂ€kerhetsprodukter Ă€r extremt svĂ„ra – kanske till och med omöjliga – för utomstĂ„ende parter att bedöma och validera, enligt Murray, tidigare sĂ€kerhetschef pĂ„ Lookout och nu medgrundare och VD för Scope Security.

Även om sĂ€kerhetsprodukter utan tvekan Ă€r avgörande för kampen mot cyberbrottslingar och nationalstatshacker, kan ludigheten kring mĂ€tning av dessa produkter möjliggöra oĂ€rlighet bland cyberleverantörer, sa han.

Och ofta gör det det: CybersĂ€kerhetsindustrin “förökar charlataner”, sa Murray i en trĂ„d pĂ„ Twitter förra veckan.

“SĂ€kerhet Ă€r en av fĂ„ marknader dĂ€r informationsasymmetri belönar leverantörer som ljuger för sina köpare”, twittrade Murray.

Marknadsföring framför substans

Murray sa att han har sett detta frÄn första hand, inklusive under sin tid som CSO pÄ mobilsÀkerhetsleverantören Lookout. I augusti 2016 publicerade Lookout and the Citizen Lab vid University of Toronto sin hÀpnadsvÀckande rapport om NSO Groups Pegasus skadlig programvara, och avslöjade spionprogrammet offentligt för första gÄngen.

Vid den tidpunkten “var vi de enda som verkligen kĂ€nde till [indicators of compromise] det fungerade”, twittrade Murray. “Men inom 24 timmar efter vĂ„r rapport hade varenda en av vĂ„ra konkurrenter sagt till sina kunder och potentiella kunder att de skulle upptĂ€cka attacken.”

Naturligtvis, “om du var en kund, det enda sĂ€ttet att veta detta var att ha en kopia av Pegasus liggande,” sa han.

Overifierbara pÄstÄenden

För ett mer allmĂ€nt exempel, övervĂ€g verktyg för slutpunktsdetektering och -svar (EDR): Om en leverantör hĂ€vdar att dess EDR-produkt kan upptĂ€cka alla kĂ€nda former av ransomware, Ă€r pĂ„stĂ„endet “i grunden overifierbart”, sa Murray.

“VĂ€ldigt fĂ„ företagssĂ€kerhetsteam sitter pĂ„ en cache med nyligen bevĂ€pnad skadlig programvara”, sa han pĂ„ Twitter. “I de flesta fall Ă€r de enda som verkligen kan bekrĂ€fta pĂ„stĂ„endet angriparen och sĂ€ljaren sjĂ€lva.”

Och om sĂ€kerhetsleverantören vet att deras produkt inte fungerar, behöver de förmodligen inte oroa sig för att Ă„ka fast nĂ„gon gĂ„ng snart, enligt Murray. Saken att tĂ€nka pĂ„ nĂ€r det gĂ€ller sĂ€kerhet Ă€r att det “allt handlar om upptĂ€ckt av sĂ€llsynta hĂ€ndelser”, sa han i ett mejl till VentureBeat.

“Vilket innebĂ€r att konsekvenser kan ta lĂ„ng tid att manifestera,” sade Murray. “Om en organisation drabbas av ransomware en gĂ„ng vart femte Ă„r betyder det att en produkt som pĂ„stĂ„r sig upptĂ€cka ransomware – men inte gör det – kan köras under lĂ„ng tid innan kunden vet att leverantören vilseledde dem.”

En svarsperson pĂ„ Twitter noterade att om du anvĂ€nder ett EDR-verktyg kommer det genom sin design bara att berĂ€tta om hoten som det kan hitta. “Men jag vill veta om de som det inte kan,” twittrade sĂ€kerhetspersonalen.

“En produkt som pĂ„stĂ„r sig upptĂ€cka ransomware – men inte gör det – kan köras under lĂ„ng tid innan kunden vet att leverantören vilselett dem.”

Scope Securitys vd Mike Murray

Att ta itu med denna utmaning

Summan av kardemumman Ă€r att det Ă€r extremt utmanande för köpare att med sĂ€kerhet veta om sĂ€kerhetsprodukter faktiskt gör vad de sĂ€ger, bĂ„de innan – och till och med lĂ„ngt efter – de köper, sa Murray.

Kan man göra nĂ„got Ă„t ​​problemet? Ja och nej. För det första, köpare av sĂ€kerhetsprodukter har det verkligen bĂ€ttre om de Ă€r medvetna om denna dynamik, sa Murray. Och mĂ„nga Ă€r det inte.

“De flesta mĂ€nniskor förstĂ„r det inte eftersom de flesta produkter inte har det hĂ€r problemet,” sa Murray i mejlet. “Om du köper Microsoft Office, Salesforce, AWS eller de flesta andra teknologiprodukter kan du som köpare utvĂ€rdera om produkten fungerar som den annonseras.”

Och det gör mĂ„nga teknikköpare “benĂ€gna att tro att sĂ€kerhetsprodukter kommer att fungera pĂ„ samma sĂ€tt – och att nĂ€r de sĂ€ger “min produkt slutar alla nolldagar” (vilket Ă€r ett omöjligt pĂ„stĂ„ende), att det Ă€r lika sant som nĂ€r Microsoft sĂ€ger , ‘du kan exportera ett Word-dokument till PDF’, sa Murray. “De Ă€r inte alls samma sak, och fler behöver veta varför.”

UtvÀrdera pÄlitlighet

Men finns det en “lösning” pĂ„ problemet? Förmodligen inte – Ă„tminstone inte en komplett lösning.

“Jag vet inte att vi nĂ„gonsin kan undvika denna dynamik, men de goda nyheterna Ă€r att enligt min erfarenhet kommer det att vara skumma (till slut) ikapp dig. Och de mĂ€nniskor som hĂ€nger kvar i flera Ă„r vet vilka vi kan lita pĂ„ och vilka vi inte kan”, sa Murray pĂ„ Twitter. “De flesta av oss som överlever i decennier i branschen fĂ„r en otrolig intuitiv förstĂ„else för ekonomisk signalering. Det vill sĂ€ga, vi lĂ€r oss att ta indikatorer pĂ„ tillförlitlighet och anvĂ€nda dem för att extrapolera pĂ„ resten av leverantörernas pĂ„stĂ„enden.”

I sitt e-postmeddelande till VentureBeat förklarade Murray ytterligare om de “pĂ„litlighetsindikatorer” han letar efter pĂ„ sĂ€kerhetsmarknaden.

“Folk som har varit i branschen lĂ€nge blir riktigt bra pĂ„ att tolka smĂ„ inkonsekvenser i leverantörsmarknadsföring och försĂ€ljningsargument”, sa han.

Det vill sĂ€ga, om en sĂ€kerhetsprodukt verkar för bra för att vara sann – eller leverantören gör till och med ett litet misssteg i sĂ€ttet de presenterar information eller pĂ„stĂ„enden – det “kan vara en indikator pĂ„ att mer undersökning av leverantören krĂ€vs,” Murray sa.

Dessutom, “sĂ€kerhetsfolk Ă€r ocksĂ„ vĂ€ldigt bra pĂ„ att göra referenser pĂ„ baksidan och prata om leverantörer bakom kulisserna”, sa han. “NĂ€r en leverantör blir kĂ€nd för att inte leverera pĂ„ sina pĂ„stĂ„enden, kan det spridas ganska snabbt bland mĂ€nniskorna som pratar.”

Utbildade köpare sökes

Murray noterade att Ă€ven om han sjĂ€lv Ă€r en sĂ€ljarVD, har han ocksĂ„ haft snĂ„lhet pĂ„ köparsidan. “Jag har levt det hĂ€r i hela min karriĂ€r”, sa han.

I slutĂ€ndan, “Jag tror att utbildade köpare gör de bĂ€sta kunderna,” sade Murray. “Om vi ​​alla Ă€r smartare kommer branschen att förbĂ€ttras och de leverantörer som gör saker pĂ„ rĂ€tt sĂ€tt kommer att belönas.”

Murray tillade att han Ă€r “helt nöjd om Scopes kunder hĂ„ller oss ansvariga för de pĂ„stĂ„enden vi gör.”

“Jag har suttit i deras stol och jag tror pĂ„ den gyllene regeln: Jag försöker se till att Scope och vĂ„rt team agerar mot vĂ„ra kunder pĂ„ det sĂ€tt som jag skulle vilja bli behandlad av mina leverantörer om jag var CISO för samma kund, ” han sa.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.