易受攻擊軟件、事故報告率低增加風險

每年，網絡安全供應商都會推出很多產品和服務來幫助公司保護其數據，IT安全預算不斷提高，但攻擊仍在不斷增加。

根據上周晚些時候消費電子展（CES）的安全行業領導者的說法，如果軟件行業不改變其開發產品的方式，并且遭受攻擊的受害者不報告事故，那么問題只會變得更糟。

網絡安全和基礎設施安全局（CISA）主任Jen Easterly解釋說，軟件開發人員不優先考慮安全性或在過去不安全系統上開發新技術，會導致網絡安全問題日益嚴重。

Easterly 稱：“我們已經接受這樣的事實，即軟件開發具有各種漏洞和缺陷，網絡安全是IT人員和CISO的職權范圍，他們可能沒有影響力來確保企業積極提高網絡安全。我們需要做的改變不一定是花錢來解決問題，而是弄清楚我們的產品應該如何設計成安全的產品，具有內置安全功能。”

事實上，企業已經試圖花錢擺脫安全漏洞，無論是對于軟件還是勒索軟件支付。Gartner 報告稱，信息安全和風險管理產品和服務的支出預計將增長 11.3%，到 2023 年將達到 1883 億美元以上。這家IT研究公司表示，安全服務是最大的安全支出類別，預計今年將達到765億美元，這包括咨詢、硬件支持、部署和外包服務。

與此同時，人們對系統安全的信任程度比以往任何時候都低。

消費者技術協會研究副總裁Steve Koenig上周在CES的主題演講中說：“我們過去常說，信任和驗證。現在我們說，‘零信任’。”

不安全的軟件

CrowdStrike公司首席執行官George Kurtz表示，科技行業的致命弱點是向后兼容性和過時的軟件需要不斷修復以處理技術債務。

Kurtz 稱：“如果我們考慮科技公司仍在處理的所有向后兼容性，這里確實存在不安全的協議，但供應商支持它們，因為企業還有很多舊的東西。除非我們擺脫那條長尾巴，否則我們將永遠無法獲得更安全的環境。”

與此同時，技術提供商將安全負擔放在消費者身上，而他們最不了解安全，并放在IT專業人員身上，他們必須將第三方安全軟件集成到易受攻擊的軟件中。

Easterly說，就像消費者不會購買沒有安全帶、緩沖區和安全氣囊的汽車一樣，企業需要問為什么他們投資的軟件“漏洞如此之多，以至于每周都必須修補”。

Easterly 稱：“我們不能只是通過技術擺脫困境，我們需要確保激勵措施保持一致，這樣我們就不會在創新和功能方面過度平衡，以及不關注消費者安全。”

Kurtz對此表示同意，他說，很多公司渴望成為創新者，其中許多在CES上展示他們的產品 ，他們推動技術成熟度曲線的前沿，但處于安全成熟度曲線的低端。他說，技術和安全成熟度之間的巨大差距，也使得攻擊者有機可趁。

Easterly表示，預計今年網絡犯罪損失將達到8萬億美元，2025年將達到10.5萬億美元 ，除非政府和行業采取更加協作的方式，否則這一增長水平不會放緩。

她說：“我們不能接受從現在起的10年內，情況將與我們現在的情況相同或更糟。”

CISA正在推動科技公司創造設計本身和默認就安全的技術。她說，這呼吁最高管理層擁抱企業網絡責任。

Easterly在會議期間說：“這是關于從根本上改變政府和行業如何合作的范式，以持續合作。這不是我們在政府和行業之間建立的這種偶發的、單向的、不透明的、無反應的關系，而需要更加注重網絡安全的共同責任的方式。

事故報告

另一個需要解決的問題是企業不愿意報告安全事件。CISA的Easterly說，公共事件報告對于防止類似攻擊至關重要，就像報告一個家庭中的竊賊可以保證整個社區的安全一樣。

去年，美國國會通過了《關鍵基礎設施網絡事件報告法》（CIRCIA），要求關鍵基礎設施公司在72小時內向CISA報告重大網絡事件和贖金支付情況。

Easterly說：“威脅行為者利用這樣一個事實，即缺乏報告允許他們使用相同的基礎設施和相同的技術來追蹤其他目標。CIRCIA是關于集體網絡防御。”

她補充說，對安全漏洞目標公司的自動“指責和羞辱”阻礙了事件報告。大規模的SolarWinds攻擊就是最近的一個例子。

Easterly說：“每個人都將最初的入侵歸咎于SolarWinds，但我們沒有看到薄弱的安全狀況，或者Active Directory或Azure的漏洞。我們真的需要團結起來，確保公司有動力報告這些信息，這樣他們就會意識到他們正在增加生態系統的安全性。