211service.com
Comment la honte publique pourrait forcer une révolution dans la sécurité informatique
Les chiffres sont déprimants. Environ 700 millions des enregistrements de données ont été volés en 2015. Mais malgré les milliards dépensés pour la sécurité informatique, les failles qui permettent de telles attaques sont lentement corrigées. Un mois de juin rapport ont constaté que les sociétés financières, par exemple, mettent en moyenne plus de cinq mois pour corriger les vulnérabilités de sécurité en ligne connues.
L'industrie de la sécurité reçoit 75 milliards de dollars chaque année pour essayer de sécuriser les choses, et ce que vous obtenez pour cela, c'est que tout le monde est piraté tout le temps, a déclaré Jeremiah Grossman, chef de la stratégie de sécurité chez SentinelOne, lors de la conférence sur la sécurité Black Hat à Las Vegas le Mercredi.
Pourtant, Grossman et d'autres vétérans de l'industrie de la sécurité sont récemment devenus plus optimistes. Ils voient une chance que les entreprises auront bientôt des incitations financières beaucoup plus fortes pour investir dans la sécurisation et la maintenance des logiciels.
Une nouvelle organisation à but non lucratif appelée Laboratoire d'essais cyber-indépendants (CITL) a développé des moyens d'évaluer et de comparer la sécurité des produits logiciels tels que les navigateurs Web et les systèmes d'exploitation. L'objectif est d'aider les consommateurs et les entreprises à choisir les produits les plus sûrs et de faire honte à ceux qui mettent nos données en danger à faire mieux.
Cet effort intervient à un moment où les compagnies d'assurance commencent à s'intéresser à la compréhension des risques de failles de sécurité, ce qui pourrait créer de nouvelles incitations financières pour les entreprises à prêter attention à la sécurité. Les assureurs pourraient faire pression sur les entreprises de la même manière que le rôle de l'industrie dans la promotion de la sécurité automobile et électrique. PwC a rapporté l'année dernière que les entreprises sont obligées de s'appuyer davantage sur la cyberassurance car les coûts des violations de données d'entreprise augmentent rapidement.

Peiter Zatko, un hacker de haut niveau connu sous le nom de Mudge, s'exprimant lors de la conférence sur la sécurité Black Hat cette semaine.
CITL a été créé par le célèbre hacker Peiter Zatko, également connu sous le nom de Mudge, et sa femme, Sarah, qui est également chercheuse en sécurité. La paire a présenté ses premiers résultats lors de la conférence Black Hat mercredi, montrant comment les méthodes d'analyse qu'ils avaient développées peuvent attribuer une gamme de scores de sécurité à différents logiciels.
Le CITL est calqué sur Les rapports des consommateurs , et publiera des scores destinés aux non-experts ainsi que des évaluations plus détaillées pour les initiés de l'industrie. Nous essayons d'amener les gens à se soucier de la sécurité depuis des années et si quelqu'un dit 'D'accord, que dois-je faire ?', nous sommes assez vagues sur la prochaine étape, a déclaré Sarah Zatko. Nous pouvons vous conseiller sur le navigateur à utiliser, mais nous n'avons pas beaucoup de preuves pour étayer cela.
Les Zatkos ont présenté des données préliminaires comparant la vulnérabilité aux attaques des programmes pour les ordinateurs Apple. Le navigateur Google Chrome a été classé dans le 75e centile de tous les programmes analysés pour ce système d'exploitation, avec Safari à 59. Microsoft Office et le navigateur Mozilla Firefox étaient plus vulnérables, à 37 et 35, respectivement. L'analyse CITL de Windows 10 de Microsoft suggère que l'entreprise utilise des méthodes plus à jour sur son propre système d'exploitation. Les analyses plus détaillées de CITL ont montré que Microsoft et Mozilla avaient négligé d'utiliser des moyens standard pour renforcer les logiciels contre les attaques dans leurs programmes pour les PC Apple.
Le CITL est financé par la branche de recherche du Pentagone, l'Air Force Research Lab et la Fondation Ford. Il prévoit de publier ses premiers grands ensembles de données au début de l'année prochaine et discute déjà avec des compagnies d'assurance intéressées par l'utilisation de ses données.
Grossman espère que les analyses de CITL pourraient aider à obliger les entreprises à assumer la responsabilité de leurs failles de sécurité. Des études suggèrent que les incidents de sécurité ont peu d'effet sur le cours des actions d'une entreprise et que les actions en responsabilité légale échouent généralement. Les entreprises qui vendent des logiciels et des produits de sécurité n'offrent pas non plus les garanties ou garanties courantes pour les biens et services plus traditionnels.
Grossman prédit que les données de CITL et de certaines startups travaillant sur les moyens d'évaluer et de comparer la résilience des entreprises aux menaces de sécurité permettront également aux assureurs de forcer un grand changement d'attitude à l'égard de la sécurité.
Il estime que les entreprises dépensent actuellement environ 3,5 milliards de dollars par an en assurance qui paie en cas de violation d'entreprise, les dépenses augmentant de 50 % ou plus par an. Les assureurs se concentrent actuellement sur l'expansion du marché et ne basent pas les primes ou les paiements sur un examen minutieux de l'état de la technologie d'une entreprise. Mais ils travaillent à la collecte des données actuarielles nécessaires pour ce faire. Je pense que ce n'est qu'une question de temps avant que les maîtres de l'industrie de la sécurité de l'information ne changent, a déclaré Grossman.