易受攻击软件、事故报告率低增加风险

每年，网络安全供应商都会推出很多产品和服务来帮助公司保护其数据，IT安全预算不断提高，但攻击仍在不断增加。

根据上周晚些时候消费电子展（CES）的安全行业领导者的说法，如果软件行业不改变其开发产品的方式，并且遭受攻击的受害者不报告事故，那么问题只会变得更糟。

网络安全和基础设施安全局（CISA）主任Jen Easterly解释说，软件开发人员不优先考虑安全性或在过去不安全系统上开发新技术，会导致网络安全问题日益严重。

Easterly 称：“我们已经接受这样的事实，即软件开发具有各种漏洞和缺陷，网络安全是IT人员和CISO的职权范围，他们可能没有影响力来确保企业积极提高网络安全。我们需要做的改变不一定是花钱来解决问题，而是弄清楚我们的产品应该如何设计成安全的产品，具有内置安全功能。”

事实上，企业已经试图花钱摆脱安全漏洞，无论是对于软件还是勒索软件支付。Gartner 报告称，信息安全和风险管理产品和服务的支出预计将增长 11.3%，到 2023 年将达到 1883 亿美元以上。这家IT研究公司表示，安全服务是最大的安全支出类别，预计今年将达到765亿美元，这包括咨询、硬件支持、部署和外包服务。

与此同时，人们对系统安全的信任程度比以往任何时候都低。

消费者技术协会研究副总裁Steve Koenig上周在CES的主题演讲中说：“我们过去常说，信任和验证。现在我们说，‘零信任’。”

不安全的软件

CrowdStrike公司首席执行官George Kurtz表示，科技行业的致命弱点是向后兼容性和过时的软件需要不断修复以处理技术债务。

Kurtz 称：“如果我们考虑科技公司仍在处理的所有向后兼容性，这里确实存在不安全的协议，但供应商支持它们，因为企业还有很多旧的东西。除非我们摆脱那条长尾巴，否则我们将永远无法获得更安全的环境。”

与此同时，技术提供商将安全负担放在消费者身上，而他们最不了解安全，并放在IT专业人员身上，他们必须将第三方安全软件集成到易受攻击的软件中。

Easterly说，就像消费者不会购买没有安全带、缓冲区和安全气囊的汽车一样，企业需要问为什么他们投资的软件“漏洞如此之多，以至于每周都必须修补”。

Easterly 称：“我们不能只是通过技术摆脱困境，我们需要确保激励措施保持一致，这样我们就不会在创新和功能方面过度平衡，以及不关注消费者安全。”

Kurtz对此表示同意，他说，很多公司渴望成为创新者，其中许多在CES上展示他们的产品 ，他们推动技术成熟度曲线的前沿，但处于安全成熟度曲线的低端。他说，技术和安全成熟度之间的巨大差距，也使得攻击者有机可趁。

Easterly表示，预计今年网络犯罪损失将达到8万亿美元，2025年将达到10.5万亿美元 ，除非政府和行业采取更加协作的方式，否则这一增长水平不会放缓。

她说：“我们不能接受从现在起的10年内，情况将与我们现在的情况相同或更糟。”

CISA正在推动科技公司创造设计本身和默认就安全的技术。她说，这呼吁最高管理层拥抱企业网络责任。

Easterly在会议期间说：“这是关于从根本上改变政府和行业如何合作的范式，以持续合作。这不是我们在政府和行业之间建立的这种偶发的、单向的、不透明的、无反应的关系，而需要更加注重网络安全的共同责任的方式。

事故报告

另一个需要解决的问题是企业不愿意报告安全事件。CISA的Easterly说，公共事件报告对于防止类似攻击至关重要，就像报告一个家庭中的窃贼可以保证整个社区的安全一样。

去年，美国国会通过了《关键基础设施网络事件报告法》（CIRCIA），要求关键基础设施公司在72小时内向CISA报告重大网络事件和赎金支付情况。

Easterly说：“威胁行为者利用这样一个事实，即缺乏报告允许他们使用相同的基础设施和相同的技术来追踪其他目标。CIRCIA是关于集体网络防御。”

她补充说，对安全漏洞目标公司的自动“指责和羞辱”阻碍了事件报告。大规模的SolarWinds攻击就是最近的一个例子。

Easterly说：“每个人都将最初的入侵归咎于SolarWinds，但我们没有看到薄弱的安全状况，或者Active Directory或Azure的漏洞。我们真的需要团结起来，确保公司有动力报告这些信息，这样他们就会意识到他们正在增加生态系统的安全性。