幕后工作做得很好
安全提供商通常名声不好,原因我们将深入讨论,但绝大多数都做了大量的好事。
除了自己的产品被用于保护数百万消费者和企业,通过共享威胁情报,并采取刑事下来的基础设施(如僵尸网络)供应商的帮助执法。研究小组通过给予这样的出版物上新老恶意软件新的见解,和自己的博客。
他们提供免费的技术,如针对勒索免费解密工具,并有研究人员披露漏洞负责任。他们通过像SANS和ISC2机构提供世界一流的培训,或有助于OWASP。
詹妮弗·斯蒂芬斯在安全IOActive的咨询公司,该公司开发了漏洞披露良好的声誉,尤其是连接汽车CEO。她强调企业社会责任的重要性。
“我们百分之百的收入来自我们提供的安全服务,但我们每年也进行数千小时的研究,这些都是我们自己花钱做的。
“我们的研究结果提醒消费者注意安全风险,并向供应商提供信息,使他们的产品更加安全,无论他们是否选择与我们合作。”她还说,该公司的咨询服务实践为如何“在合作结束后很长一段时间内”持续改善该组织的安全态势提供了战略指导。
“最后,我们团队的许多成员是给全国各地的免费讲座,参与社团或协会内或铅安全章节或项目多产的扬声器,作家,博客作者和顾问。”
马尔钦Kleczynski,的Malwarebytes的联合创始人兼CEO,在一封电子邮件中说,以方案它关注的不仅仅是技术。
“我们整个公司是一家致力于保护消费者和企业从最危险的网络威胁,而是针对这些威胁的有效保护,往往需要远远超过了技术解决方案。
因此,我们的Malwarebytes实验室团队努力发现并教育公众最新的危险利用和攻击方法,并将其记录在我们的博客上,为消费者和企业提供如何更好地应对威胁的建议。我们甚至与执法部门合作,利用我们的实验室研究,关闭了一些技术支持骗子和网络犯罪分子。”
与执法部门增加合作正在成为越来越普遍;七月,荷兰国家警察,欧洲刑警组织,英特尔安全和卡巴斯基联手推出所谓的倡议没有更多的赎金五月,欧洲刑警组织(Europol)和F-Secure签署了一份共享网络犯罪信息的谅解备忘录。
去年年底FBI,国际刑警组织,微软和ESET合作,采取了背后的基础设施dorkbot的僵尸网络用恶意软件感染了100万台电脑。
是否有摊贩散布FUD并贩卖“蛇油”?
对于所有值得注意的努力,供应商社区经常受到批评,因为他们散布对安全威胁的恐惧,希望卖出更多的产品。
这并不罕见记者收到有关网络战争、“网络末日”或重大基础设施攻击(请注意:研究表明,目前讨厌松鼠更有可能采取了当地电网,而不是中国的中国人民解放军61398部队)。
一些供应商也很快抓住了漏洞或攻击,并乐于夸大威胁。还有一些人则被指对“牢不可破”或破解的产品。
有这种担心的因素是必需的参数,但许多人都认为它有一个不利的影响 - 推动客户走,同时也突出,他们正试图出售非常安全的产品是徒劳的。
阿马尔·辛格(Amar Singh)曾在新闻国际(News International)和南非米勒酿酒公司(SABMiller)担任首席信息官(CISO)。
“我会说,有好苹果和坏苹果;一些厂商去做正确的事情,但毫无疑问,一些厂商...只专注于销售和蹬踏他们的产品。他们做出非同寻常的承诺。
“然而,我知道一些供应商说‘不,这不是你们想要的产品’。”
Malwarebytes的Kleczynski承认,供应商很难教育终端用户“不像我们那样对安全威胁有根深蒂固的认识”,但他对供应商“夸大威胁”的说法不以为然。
我不认为对网络威胁的性质和后果进行清晰的描述是“夸大了威胁”。重要的是要用网络攻击真实后果的例子来教育消费者和企业,让他们有机会认识到网络攻击的威胁是真实的,并可能产生非常真实的后果。”
斯蒂芬斯认为FUD是一个由来已久的问题。
“出售FUD是一个不幸的传统,也是这个行业的现实。它植根于这样一个事实,即对安全的需求并不总是被公认的组织优先级,而今天它却几乎成为了普遍的优先级。因此,出售FUD是你让决策者“重视它”的方式。现在情况已经不一样了。
“但是,因为它是这样一个高度优先的问题,现在,使用FUD,以吸引一个更为安全意识的社会似乎是持久的,甚至增殖为卖点的策略。当有这么多的合法的安全威胁,现在,它们常常难以过滤器或噪声中分辨出在所有的FUD这是特别令人痛心“。
但是FUD是否有助于提高人们的意识呢?
在适度的情况下,FUD确实有它的位置,特别是在向管理层证明安全措施和预算的合理性方面。
曼朗说,这将继续道:“主要去对市场战略安全厂商一直FUD,虽然它不健全的权利与展示的产品和服务的真正价值,还是我们在安全领域。
“安全性,注重威胁的领域是基于风险管理和参与风险管理的自然情感是自然的恐惧和不确定性。
“在网络安全行业成熟之前,FUD仍将是网络公司营销背后的主要根本信息。不同的公司都有成熟的早期迹象,但绝大多数公司仍然专注于实际的威胁和损害,基本上就是FUD。
辛格表示同意,但补充说,客户“应承担部分责任”。
“问题是,由于消费者总是在寻找解决问题的灵丹妙药,而网络的问题是它不是二元的。这不是黑白分明的。人类对灰色区域的概念有一个问题。
“厂商们注定要失败,因为如果他们说‘我的产品可以保护你’,很多消费者可能不会购买产品。因此,必须走极端,并作出承诺不完全正确的。这是一个教育问题,肯定“。
他补充说客户不花时间了解谁将会使用的产品,或者他们正试图保护的是什么。
“在IT部分的问题是客户不知道他们想要的东西 - 他们得到承诺的世界,但他们不明白的术语。这是一个与网络类似的事情。”