首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 失败的循环:为什么网络安全行业行不通

失败的循环:为什么网络安全行业不起作用

理查德·霍利斯
作者: 理查德·霍利斯, CISM, CRISC
发表日期: 2022年9月15日

网络安全行业已经失败了. 证据无处不在,势不可挡. 任何了解该行业建立在防止IT系统被入侵和数据被盗这一根本目标之上的人都肯定会同意,它已经失败了. 那些不同意的人没有注意到.

自从第一个电脑病毒被报道以来,已经有35年多了.1 In 2019, 世界经济论坛增加了网络攻击, 数据欺诈和信息盗窃被列入十大长期风险来源, 其中包括评估风险实现的可能性有多大, 如果是这样,影响会有多大?全球澳门赌场官方下载最关心的风险因素是什么.2 网络安全行业的概念已经过去了30多年, 在全球十大风险源中,有30%可以归因于it——同样的风险,该行业过去(现在也是)负有专业责任. 网络安全行业已经失败了.

规例及违规行为

失败的第一个明显迹象是立法和法规的开始,例如美国健康保险流通与责任法案(HIPAA)。, 欧盟网络及信息系统安全指令(NIS指令), 《澳门赌场官方下载》(GDPR)和《澳门赌场官方下载》. 当政府介入时,那是因为这个行业已经失败了.

立法和监管的增加是网络安全行业未能保护系统及其处理的数据的直接必然结果, Store, 和传输. 但网络安全行业失败的无可争辩的证据在于数据泄露. 该行业目前认识到一些令人担忧的统计数据:3

  • 每天有18,525,816条记录被泄露.
  • 每小时有771,909条记录被泄露.
  • 每分钟有12865条记录被泄露.
  • 每秒有214条记录被泄露.
立法和监管的增加是网络安全行业未能保护系统及其处理的数据的直接必然结果, 存储和传输.

违规行为和规定清楚地表明,该行业没有完成工作. 它不是为了激励成功而设计的,因此,它是失败的.

产品供应商的失败

产品供应商也辜负了网络安全行业. 为什么? 因为他们的产品根本不起作用. 他们无法应对我们行业面临的威胁所带来的挑战. 这是事实. 产品一直都是被动的,而不是主动的.

产品供应商未能跟上技术发展的步伐, 行业面临的威胁行为者的独创性和适应性. 很明显,他们的工作是领先一步,而他们却落后于威胁一步. 因此,威胁行为者已经设定了游戏的节奏,网络专业人员无法跟上.

商贩实际上是向网络专业人士出售刀具,让他们拿着去枪战.

mssp的故障

托管安全服务提供商(mssp)也让整个行业失望, 但与供应商的方式不同. 供应商销售产品. 从技术上讲,mssp销售的是一个过程——一个以产品为中心的过程,但毕竟是一个过程. 监控, 从mssp购买管理或报告解决方案,但所谓的解决方案已经失败. 失败是他们设计中固有的. 这些服务基于产品的功能,而不是特定的组织需求. 它们不是基于实际的澳门赌场官方下载实践和过程. 但对于拿着锤子的小贩来说,一切都像钉子.

mssp提供易于部署的打包解决方案,但网络专业人员很难将其集成到系统中, 在覆盖范围上留下了巨大的缺口. 这些漏洞使组织比他们的安全团队购买和安装产品之前更容易受到网络威胁. 这些解决方案充其量只能解决澳门赌场官方下载20年前面临的问题. 它们在今天的威胁形势下毫无用处,更不用说明天了.

mssp提供易于部署的打包解决方案,但网络专业人员很难将其集成到系统中, 在覆盖范围上留下了巨大的缺口.

互联网服务提供商的失败

互联网服务提供商(isp)也对网络安全产业的失败起到了推波助澜的作用. isp提供访问Internet的网关. 因此,他们在控制访问方面处于独特的地位. 它们打开了通往被称为互联网的混乱夜总会的大门. 用户支付(每月)服务费,就可以进入,不需要问任何问题. 但这是一个粗鲁的俱乐部. 没有最低入学要求, 一旦进入, 没有规则, 没有法律, 没有警察. 对与错没有区别. 不良行为没有后果. 在互联网上,任何事情都可以发生,从身份盗窃到恋童癖. 这是一个艰苦的地方.

但也许这是一个艰难的地方,因为互联网服务提供商允许任何人进入. 也许他们需要做的是充当俱乐部的保安,拒绝那些心怀不轨的人进入,把任何在里面对其他顾客构成威胁的人赶出去. 这并不是要提倡加强监管, 而是执行一些常识和基本的消费者安全措施.

想想看,如果互联网服务提供商突然做了一点“大扫除”,互联网会有多么不同. 互联网服务提供商应为访问其网络提供并实施最低限度的安全控制. 它们可以过滤恶意软件,阻止恶意网站,防止互联网协议(IP)欺骗. 最后,他们可以举报甚至起诉那些利用他们的服务犯罪的人.

你能做些什么

如果你同意我们的行业行不通,你希望看到改变, 那就成为你希望看到的改变.

市场上有4000多种澳门赌场官方下载级网络安全产品.4 供应商和服务提供商正在争夺你的美元、英镑、欧元或日元. 你能想象如果你这样做会给行业带来怎样的变化吗, 作为消费者, 你开始期待更多?

作为消费者行使你的权力. 期待更多的. 要求更多的. 也许,只是也许,你会得到它.

编者按

要了解更多信息,请注册 ISACA欧洲会议2022 并参加霍利斯的会议,探讨网络安全行业如何取得成功.

尾注

1 Historyofinformation.com”,“大脑”,第一个PC病毒流行,创建于巴基斯坦拉合尔
2 世界经济论坛,"网络攻击和财政危机是2019年商业风险的前几名2019年10月1日
3 R·索伯斯,.; “89必知数据泄露统计[2022]2022年5月20日,瓦洛尼斯
4 AustCyber, 美国市场洞察报告,澳大利亚,2021年7月5日

理查德·霍利斯, CISM, CRISC

英国伦敦网络风险咨询公司Risk Crew的董事。. 他是一位著名的演说家和ISACA经验丰富的培训师® 注册信息安全经理® CISM(概述个人状况®),持有风险及资讯系统控制证书® (CRISC®)和CSX网络安全从业者 (CSX-P)认证和网络安全审计证书. 霍利斯已经向世界各地的数百名观众介绍了各种各样的信息风险管理主题和技术. 作为公认的行业权威, 他发表了许多文章和白皮书, 出现在国内和国际广播新闻节目中, 并被英国广播公司(BBC)等机构引用。, 微软/美国国家广播公司(MSNBC), 4号电台, 的 金融时报》, Time 杂志和其他媒体.