安全行业正在浪费机会

一位资深的Trend Micro高管在加拿大安全会议上说，在数据泄露日益增多的时代，网络安全行业正在浪费机会让计算机更加安全

“我们是一艘充满潜力的火箭船，”总部位于渥太华的日本云研究副总裁马克·努尼克霍文(Mark Nunnikhoven)周三在Sec Tor年度会议上表示。 “我们比以往任何时候都重要。 不幸的是——我也包括我自己——我们正乘坐这艘火箭飞船，将它直接推进地面。

他说，今年将有大约1,180亿$用于网络安全产品和服务。 但有一家供应商估计，罪犯每年将$1.5万亿美元。 同时，清理网络攻击造成的损失的成本将$4.5万亿美元。

显然，他说，这个行业并没有减缓罪犯的速度。

“我们的职业不成功。 我们可能有小的胜利，但在全球范围内，我们没有获胜。 我们输了。

他说，这种指责四处蔓延。 首席信息官必须向首席信息官报告，他们的盘子里有很多。 而他们想要花费的钱通常会改善攻击和漏洞检测，而不是解决安全问题。

雇佣更多的保安人员？ 但专家说，缺乏熟练的人才。 他还怀疑，即使CISO能增加更多的工作人员，在减缓攻击方面是否有区别。

甚至连企业营销部门也因为发送带有URL链接的电子邮件而来，这些用户知道寻找可疑的东西，但却无法确定它们是否合法。 Nunnikhoven抱怨道：“营销是世界各地发送的绝对残暴、可怕的URL的罪魁祸首。 这就是为什么网络钓鱼意识运动失败的原因之一，他说。

随着基于互联网的平台的更新，越来越多的组织每年都在向云端移动来托管和交付应用程序。

对infosec专业人士来说，打击威胁行为者不是游戏。 也许应该是。 增加更多的学习游戏，叫做游戏化......

信息技术专业人员没有幸免。 他说：“我们在密码上做了一项绝对糟糕的工作，坚持用户创建复杂的密码，而不是让他们更容易记住密码短语。

此外，公司政策，或来自供应商的产品。 不允许用户剪切和粘贴那些难以记住的密码，IT坚持。

同时，他说infosec的专业人士抱怨他们最大的问题是用户，这导致了“我们”对他们的态度。 但是，Nunnikhoven说，一个组织的所有收入都来自用户。 指责他们是错误的。

最后，他抱怨Infosec的专业人员没有以互联网的速度工作，这需要快速的生产周期和DevOps来进行安全的软件开发和发布。

他说，有一些希望，因为信息技术专业人员现在被要求与董事会和高级经理交谈。 但这意味着“我们需要调整我们的思维，以适应商业环境.我们需要问，我们是否从我们的安全投资中获得价值。

“但要真正解决这个问题，我们需要比我们更多的自动化工作。”他说，在SOC中，绝大多数分析师或威胁搜索工作都应该是自动化的，在那里，“你正在看到源源不断的警报。 也许十分之一是有价值的，也许五分之一是有价值的。

第二，接受用户不是问题。 教育他们，而不是开展宣传运动，以作出良好的背景决定。

第三，信息技术专业人员需要与组织中的其他团队合作。 “如果我们在开发和产品选择周期的早期推动我们的安全思维，我们将通过设计获得安全。 它不仅更好，而且比让糟糕的软件或代码活起来更便宜“。

“我认为我们所做的每件事的目标都应该是确保我们组织中的系统按预期工作，而只能按预期工作。 “你需要出去，与其他组织合作和工作。 它让我们的生活更轻松。 我们可以用我们的时间做更有效的事情“。

“单是出于自私的原因，这是值得的。