Sebagian besar perusahaan tidak fokus pada ancaman keamanan nyata yang mereka hadapi, membuat mereka semakin rentan. Itu bisa berubah jika mereka mempercayai datanya ketimbang hype.
Manusia adalah makhluk lucu yang tidak selalu bereaksi atas kepentingan terbaiknya sendiri, bahkan jika berhadapan dengan data yang bagus dan kontraktif yang mereka setujui. Misalnya, kebanyakan orang jauh lebih takut terbang daripada naik mobil ke bandara, meski mengendarai mobil puluhan ribu kali lebih berisiko. Lebih banyak orang takut digigit hiu di pantai daripada anjing mereka sendiri di rumah, meski digigit anjing mereka ratusan ribu kali lebih mungkin. Kita tidak terlalu baik dalam bereaksi tepat terhadap risiko bahkan ketika kita tahu dan percaya kemungkinan relatif satu lawan yang lain terjadi.
Hal yang sama berlaku untuk keamanan IT.
Pembela komputer sering menghabiskan waktu, uang, dan sumber daya lainnya untuk pertahanan komputer yang tidak menghentikan ancaman terbesar terhadap lingkungan mereka. Misalnya, ketika dihadapkan pada fakta bahwa satu program tak terpakai yang perlu diperbarui untuk menghentikan ancaman yang paling berhasil, kebanyakan perusahaan melakukan segalanya selain menambal program itu. Atau jika dihadapkan pada kenyataan bahwa banyak ancaman sukses terjadi karena rekayasa sosial bahwa pelatihan pengguna akhir yang lebih baik bisa berhenti, perusahaan malah menghabiskan jutaan untuk segala hal kecuali pelatihan yang lebih baik.
Saya bisa memberimu puluhan contoh lainnya, namun kenyataan bahwa sebagian besar perusahaan dapat dengan mudah diretas sesuai keinginan cukup membuktikan krisis. Perusahaan hanya tidak melakukan hal-hal sederhana yang seharusnya mereka lakukan, bahkan saat dihadapkan dengan datanya.
Baca Juga :
Masalahnya sangat mengganggu saya sehingga saya menulis sebuah buku tulis, dek slide, dan buku tentang masalah ini. Tanpa harus membaca semua itu, jawaban mengapa begitu banyak pembela HAM tidak membiarkan data mendikte pertahanan mereka sebagian besar karena kurangnya fokus. Banyak prioritas bersaing untuk mendapatkan perhatian pembela komputer, sedemikian rupa sehingga hal-hal yang bisa mereka lakukan untuk meningkatkan pertahanan mereka secara signifikan tidak dilakukan, bahkan bila lebih murah, lebih cepat, dan lebih mudah dilakukan.
Apa yang menyebabkan kurangnya fokus dalam menempatkan pertahanan yang tepat di tempat yang tepat dalam jumlah yang tepat melawan ancaman yang benar? Banyak hal, termasuk ini:
1. Banyaknya ancaman keamanan sangat banyak
Ada 5.000 sampai 7.000 ancaman baru setahun, atau sekitar 15 hari. Itu adalah 15 masalah baru di atas 15 masalah baru kemarin, hari demi hari. Sudah begini selama beberapa dekade, selama mereka melacak stat. Pembela komputer dapat disamakan dengan 911 petugas pusat panggilan yang mendapatkan lebih banyak panggilan darurat setiap hari daripada awak ambulans tunggal yang dapat meresponsnya secara memadai, sehingga mereka harus melakukan triase dan memprioritaskan.
2. Ancaman hype dapat mengalihkan perhatian dari ancaman yang lebih serius
Tidak ada gunanya beberapa vendor pertahanan komputer melakukan yang terbaik untuk membuat setiap penyelamat memanggil korban serangan jantung. Ancaman dan kerentanan yang diumumkan hari ini sering kali disertai dengan fokus pada hype dan niat untuk menyebarkan ketakutan sebagai ancaman sebenarnya. Mereka datang dengan nama yang menakutkan dan bahkan tokoh kartun yang siap pakai dan bebas emisi.
Saya tidak menyalahkan pihak vendor pertahanan komputer. Tugas mereka menjual perangkat lunak atau layanan mereka, dan lebih mudah menjual baterai saat badai. Terserah konsumen untuk memutuskan apa dan tidak pantas mendapat perhatian mereka, dan ini sangat sulit dilakukan bila Anda memiliki 15 ancaman baru setiap hari.
Bahkan ketika ancaman dan risiko sangat besar, terlalu banyak ancaman membuat sulit untuk memperhatikan yang benar. Misalnya, Meltdown and Spectre sebenarnya adalah salah satu ancaman terbesar yang kita hadapi sebagai masyarakat terkomputerisasi. Mereka mempengaruhi hampir semua mikroprosesor populer, memungkinkan penyerang untuk mengeksploitasi komputer secara tidak terlihat, sering memerlukan banyak perangkat lunak dan patch firmware untuk perlindungan, dan saat dipecahkan secara signifikan dapat memperlambat komputermu. Dalam banyak kasus, satu-satunya solusi yang baik adalah membeli komputer baru. Meltdown and Spectre adalah, sepatuhnya transaksi besar! Menurut pendapat saya, kamu tidak bisa hype mereka cukup.
Namun, di luar lingkaran keamanan komputer dan beberapa artikel media arus utama selama satu atau dua hari, reaksi kolektif dunia adalah "meh" global. Biasanya ketika sesuatu yang besar terjadi dalam keamanan komputer, teman dan keluarga saya bertanya kepada saya apa yang harus mereka lakukan. Dengan Meltdown and Spectre, saya tidak mendapat satu penyelidikan pun. Untuk memperingatkan lingkaran sosial saya, saya mengirimkan informasi bermanfaat. Biasanya saya mendapat beberapa pertanyaan lagi. Tidak ada saat ini Tidak ada satu pos pun di lingkaran sosial saya yang terdiri dari ratusan orang. Ini seperti hiu putih besar yang lapar telah terlihat di pantai dan tidak ada yang mencoba keluar dari air.
Karena Meltdown dan Spectre sering membutuhkan patch firmware, yang hampir tidak pernah dilakukan konsumen atau akan dilakukan, kamu dapat bertaruh bahwa kita akan memiliki ratusan juta mesin yang rentan selama bertahun-tahun yang akan datang. Mengapa? Hype kelelahan. Setiap ancaman begitu berlebihan sehingga ketika ancaman global yang nyata muncul, semua orang perlu memperhatikannya, mereka hanya mengangkat bahu dan menganggap vendor OS atau perangkat mereka akan menambalnya pada waktunya. Terus terang, saya takut dengan peluang persenjataan yang ditawarkan dua ancaman baru ini. Mereka mungkin akan menyebabkan lebih banyak bug mikroprosesor yang bisa ditemukan dan dieksploitasi.
Saya tidak menyalahkan pihak vendor pertahanan komputer. Tugas mereka menjual perangkat lunak atau layanan mereka, dan lebih mudah menjual baterai saat badai. Terserah konsumen untuk memutuskan apa dan tidak pantas mendapat perhatian mereka, dan ini sangat sulit dilakukan bila Anda memiliki 15 ancaman baru setiap hari.
Bahkan ketika ancaman dan risiko sangat besar, terlalu banyak ancaman membuat sulit untuk memperhatikan yang benar. Misalnya, Meltdown and Spectre sebenarnya adalah salah satu ancaman terbesar yang kita hadapi sebagai masyarakat terkomputerisasi. Mereka mempengaruhi hampir semua mikroprosesor populer, memungkinkan penyerang untuk mengeksploitasi komputer secara tidak terlihat, sering memerlukan banyak perangkat lunak dan patch firmware untuk perlindungan, dan saat dipecahkan secara signifikan dapat memperlambat komputermu. Dalam banyak kasus, satu-satunya solusi yang baik adalah membeli komputer baru. Meltdown and Spectre adalah, sepatuhnya transaksi besar! Menurut pendapat saya, kamu tidak bisa hype mereka cukup.
Namun, di luar lingkaran keamanan komputer dan beberapa artikel media arus utama selama satu atau dua hari, reaksi kolektif dunia adalah "meh" global. Biasanya ketika sesuatu yang besar terjadi dalam keamanan komputer, teman dan keluarga saya bertanya kepada saya apa yang harus mereka lakukan. Dengan Meltdown and Spectre, saya tidak mendapat satu penyelidikan pun. Untuk memperingatkan lingkaran sosial saya, saya mengirimkan informasi bermanfaat. Biasanya saya mendapat beberapa pertanyaan lagi. Tidak ada saat ini Tidak ada satu pos pun di lingkaran sosial saya yang terdiri dari ratusan orang. Ini seperti hiu putih besar yang lapar telah terlihat di pantai dan tidak ada yang mencoba keluar dari air.
Karena Meltdown dan Spectre sering membutuhkan patch firmware, yang hampir tidak pernah dilakukan konsumen atau akan dilakukan, kamu dapat bertaruh bahwa kita akan memiliki ratusan juta mesin yang rentan selama bertahun-tahun yang akan datang. Mengapa? Hype kelelahan. Setiap ancaman begitu berlebihan sehingga ketika ancaman global yang nyata muncul, semua orang perlu memperhatikannya, mereka hanya mengangkat bahu dan menganggap vendor OS atau perangkat mereka akan menambalnya pada waktunya. Terus terang, saya takut dengan peluang persenjataan yang ditawarkan dua ancaman baru ini. Mereka mungkin akan menyebabkan lebih banyak bug mikroprosesor yang bisa ditemukan dan dieksploitasi.
3. Fokusnya terhadap Ancaman Intelijen yang buruk
Sebagian dari alasannya adalah bahwa kebanyakan intelijen ancaman perusahaan sendiri melakukan pekerjaan yang buruk untuk memberi tahu perusahaan mereka ancaman yang perlu mereka khawatirkan. Intelijen ancaman (IT) harus melihat ribuan ancaman dan memberi tahu majikan mereka mana yang paling mungkin digunakan untuk melawan mereka. Sebagai gantinya, mereka biasanya bertindak sebagai megafon untuk mengulangi hype global.
Ingin melihat seberapa infektif kebanyakan departemen intelijen ancaman? Tanyakan kepada mereka apa cara nomor satu yang dipalsukan perusahaan mereka sehingga menyebabkan kerusakan paling banyak. Apakah itu malware, rekayasa sosial, serangan kata sandi, misconfiguration, serangan yang disengaja, kurangnya enkripsi, dll? Saya belum pernah bertemu tim IT yang bisa memberi tahu saya bahwa dengan wajah lurus, dengan data untuk mendukung kesimpulan. Bagaimana bisa perusahaan yang paling efisien melawan ancaman yang benar jika mereka bahkan tidak dapat menentukan ancaman terbesar?
Ingin melihat seberapa infektif kebanyakan departemen intelijen ancaman? Tanyakan kepada mereka apa cara nomor satu yang dipalsukan perusahaan mereka sehingga menyebabkan kerusakan paling banyak. Apakah itu malware, rekayasa sosial, serangan kata sandi, misconfiguration, serangan yang disengaja, kurangnya enkripsi, dll? Saya belum pernah bertemu tim IT yang bisa memberi tahu saya bahwa dengan wajah lurus, dengan data untuk mendukung kesimpulan. Bagaimana bisa perusahaan yang paling efisien melawan ancaman yang benar jika mereka bahkan tidak dapat menentukan ancaman terbesar?
4. Kepatuhan tidak selalu sesuai dengan praktik terbaik keamanan
Jika kamu ingin menyelesaikan sesuatu dengan cepat dalam keamanan komputer, klaim itu diperlukan untuk kepatuhan peraturan. Tidak ada yang membuka dompet lebih cepat. Manajemen senior diharuskan memperhatikan masalah kepatuhan. Dalam banyak kasus, mereka dapat dianggap bertanggung jawab secara pribadi untuk secara aktif mengabaikan kekurangan kepatuhan. Ini memohon perhatian mereka.
Sayangnya, kepatuhan dan keamanan tidak selalu sependapat. Sebagai contoh, rekomendasi password terbaik hari ini diumumkan lebih dari setahun yang lalu, cukup banyak melawan setiap persyaratan hukum dan peraturan mengenai kata sandi. Ternyata sebagian besar dari apa yang kami anggap benar tentang keamanan kata kunci, seperti membutuhkan kompleksitas, bukanlah saran terbaik, atau ancaman berubah dari waktu ke waktu. Pembuat dan pengelola rekomendasi hukum dan peraturan paling tidak tampaknya memperhatikan, walaupun mengikuti saran password lama, seringkali membuat perusahaan lebih mungkin dieksploitasi.
Salah satu masalah pribadi saya tentang masalah ini adalah berapa banyak situs web yang tidak mengizinkan saya membuat kata sandi lebih lama dari 16 karakter (yang akan sangat kuat terlepas dari kompleksitasnya), namun memaksa saya untuk menggunakan simbol "khusus" yang menurutnya Secara teori akan membuat hidup hacker lebih sulit, ketika data dan penelitian menunjukkan hal ini jelas tidak terjadi dalam praktiknya.
Sayangnya, kepatuhan dan keamanan tidak selalu sependapat. Sebagai contoh, rekomendasi password terbaik hari ini diumumkan lebih dari setahun yang lalu, cukup banyak melawan setiap persyaratan hukum dan peraturan mengenai kata sandi. Ternyata sebagian besar dari apa yang kami anggap benar tentang keamanan kata kunci, seperti membutuhkan kompleksitas, bukanlah saran terbaik, atau ancaman berubah dari waktu ke waktu. Pembuat dan pengelola rekomendasi hukum dan peraturan paling tidak tampaknya memperhatikan, walaupun mengikuti saran password lama, seringkali membuat perusahaan lebih mungkin dieksploitasi.
Salah satu masalah pribadi saya tentang masalah ini adalah berapa banyak situs web yang tidak mengizinkan saya membuat kata sandi lebih lama dari 16 karakter (yang akan sangat kuat terlepas dari kompleksitasnya), namun memaksa saya untuk menggunakan simbol "khusus" yang menurutnya Secara teori akan membuat hidup hacker lebih sulit, ketika data dan penelitian menunjukkan hal ini jelas tidak terjadi dalam praktiknya.
5. Terlalu banyak proyek menyebarkan sumber daya yang tipis
Setiap perusahaan yang telah saya konsultasikan telah memiliki puluhan proyek yang sedang berjalan, masing-masing dirancang untuk mengamankan komputer dan perangkat perusahaan. Dalam setiap kasus, satu atau dua proyek tersebut, jika selesai sampai selesai, akan memberikan sebagian besar manfaat keamanan yang dibutuhkan perusahaan untuk meminimalkan risiko keamanan secara signifikan. Memisahkan puluhan proyek di antara sumber terbatas terbatas, bagaimanapun, menjamin bahwa sebagian besar proyek akan tertunda dan tidak efisien dilaksanakan bahkan jika berjalan sampai selesai. Dunia keamanan IT penuh dengan perangkat lunak mahal yang duduk di rak dan menjanjikan proyek tanpa ada yang mengawasi operasi mereka dengan lebih baik.
6. Proyek hewan peliharaan biasanya bukan yang paling penting
Lebih buruk lagi, kebanyakan perusahaan memiliki satu atau dua proyek hewan peliharaan didorong oleh eksekutif senior sebagai cita rasa mereka bulan ini. Mereka membaca sebuah buku, mendengar sebuah cerita di radio, atau bermain golf dengan seorang teman yang memberi tahu mereka apa yang harus mereka lakukan untuk memperbaiki perusahaan mereka. Jadi, tanpa berkonsultasi dengan data perusahaan mereka sendiri untuk melihat ancaman terbesar apa, mereka menarik anggota tim terbaik dan paling terang dari proyek lain untuk menyelesaikannya terlebih dahulu - jika mereka bisa menyelesaikan proyek sebelum menjadi bersemangat dan terpikat pada masa depan mereka. proyek hewan peliharaan
Saya bisa memberi lebih banyak contoh mengapa pembela komputer tidak berfokus pada hal yang benar, namun dimulai dengan longsoran ancaman harian dan diperparah oleh banyak faktor lain di sepanjang rantai proyek. Langkah pertama dalam memperbaiki masalah adalah mengakui bahwa kamu memiliki masalah. Jika kamu melihat pertahanan komputermu yang tidak efektif diwakili di atas, sekaranglah waktunya untuk membantu semua orang di tim kamu memahami masalahnya dan membantu mereka mendapatkan fokus yang lebih baik.
Saya bisa memberi lebih banyak contoh mengapa pembela komputer tidak berfokus pada hal yang benar, namun dimulai dengan longsoran ancaman harian dan diperparah oleh banyak faktor lain di sepanjang rantai proyek. Langkah pertama dalam memperbaiki masalah adalah mengakui bahwa kamu memiliki masalah. Jika kamu melihat pertahanan komputermu yang tidak efektif diwakili di atas, sekaranglah waktunya untuk membantu semua orang di tim kamu memahami masalahnya dan membantu mereka mendapatkan fokus yang lebih baik.
0 Komentar
Berkomentarlah dengan kata-kata yang Sopan. Terima Kasih.