零信任是网络安全中的一个流行概念。它最初指的是企业安全团队,他们构建的流程消除了最终用户的所有信任。
这是一种有效的方法。例如,我喜欢经营那些不介意员工点击错误链接的公司。我们知道这是不可能避免的,所以我们为不可避免的事情做好了准备 -- 并且零信任我们的员工会有完美的行为。
但是,当 “信任气球” 被挤压以消除最终用户的信任时,它会走向何方?有两个可能的接受者: 企业安全组织和企业购买的软件。
鉴于安全组织普遍人手不足,不堪重负,市场力量已经介入,再次挤压信任气球。信任已从最终用户中消除,并由人手不足的企业安全组织委托给大型服务提供商和软件公司。我们相信大型科技公司 -- 谷歌、Facebook、亚马逊、微软、Slack和Zoom -- 能够成为我们最关键数据的管理者。我们已经信任了一个建立在速度和风险接受度之上的行业,除了市场力量之外没有其他责任。
虽然用你的数据信任大型科技公司似乎是一个合理的解决方案,但你首先需要弄清楚一件事-这些公司主要对增加市场份额感兴趣,而不是安全性感兴趣。例如,Zappos可以进行某种程度的欺诈,Microsoft团队可以偶尔执行远程代码,而SolarWinds如果不关注其软件构建过程,则利润更高。在这些情况下。数据安全和隐私与盈利能力和估值脱钩。低质量和高风险是追求高估值和创造高管财富的可接受结果。
但是司法部不能在类似的风险模型中运作。俄罗斯不受限制地访问美国司法部的电子邮件是不行的,人事管理办公室也不能接受偶尔让中国情报机构访问2200万政府雇员的人事档案的违规行为。很明显,使用易受攻击的软件并不支持我们的国家安全利益。然而,国家安全机构依赖于将盈利能力和估值放在首位的技术。
市场力量已经决定,快速行动和打破事物的心态是实现最高市场份额和估值的最可靠方法。对于一位科技首席执行官来说,获得亿万富翁身份的最长途径是开发安全、精心设计的产品。我们不断变化的信任模型将数据安全的责任置于决策者的脚下,而构建安全软件的动力却最小。
我并不是说世界上最大的软件公司的亿万富翁首席执行官自然倾向于滥用隐私和数据-相反,他们是出于利润动机的天才,他们自然倾向于在给予他们的监管泳道内竞争和取胜。
克林顿政府1996年《电信法》为美国技术行业提供了摆脱监狱的免费卡。结果,硅谷占据了主导地位-创新发展并留在了美国,快速发展,打破事物是正确的方法。没有认证,没有许可,没有安全或隐私问题的后果。现在是时候检查责任,让首席财务官和首席执行官们陷入狡猾的工程困境了。
2013年,HTC运送了1800万易受攻击的移动设备,并被联邦贸易委员会 (FTC) 罚款。2019年,谷歌因侵犯隐私而被欧盟处以创纪录的5700万美元罚款,同年,Facebook因侵犯隐私而被处以创纪录的5B美元罚款。就在去年12月,联邦贸易委员会成员诺亚·菲利普斯 (Noah phillips) 向参议院商业、科学和运输委员会作证说,联邦贸易委员会针对Facebook、TikTok、YouTube、Zoom的消费者隐私执法行动,其他公司已经产生了 “比世界上任何其他公司都更大的影响”。外行人可以将其视为进步和方向正确。
可悲的现实是,这些罚款是如此微不足道,以至于它们实际上助长了鲁莽。谷歌每天从广告中产生近3.7亿美元。一个 “创纪录的” 57美元的罚款并不是一个减速带 -- 它是一个打击天然气的邀请。市场力量比以往任何时候都向科技行业发出信号,忽视安全是他们最有利可图的策略。输入安全漏洞和漏洞2020年的conga行。
这只是过去一年安全事件的一个样本,这些事件最能代表影响大型企业和国家安全的设计不良的软件:
微软,1月22日
沃尔格林,3月2日
T-Mobile,3月5日
未具名的英国安全公司,3月19日
3月24日通用电气
缩放,4月14日
脸书,4月21日
小型企业管理,4月27日
GoDaddy,5月4日
美国元帅,5月13日
认知,6月17日
蓝莱克斯,6月22日
推特,6月23日
Instagram、TikTok和YouTube、8月20日
弗拉戈门,德尔雷伊,伯恩森和洛伊 (谷歌),10月27日
微软,12月8日
火眼/太阳风/DOJ/等人,12月8日
大多数大型软件公司都有才华横溢的安全人才,但他们的功能匮乏且服务不足。除非监管机构认真对待执法,否则它们将保持不变。罚款应提高到有实质性影响的水平。棍子可能会激发灵感,但胡萝卜也会起作用。应审计资产负债表,并增加对整个行业的安全工程投资。软件漏洞和数据泄露应引发强制性监督,并增加安全预算。
我们应该要求科技公司提供更多要求,并建立监管框架,使它们对不可接受的产品安全负责。我们行业面临的问题不是五角大楼是否应该使用用于建造和销售视频门铃的违规和响应手册。我们知道答案是否定的。
我们只需要以方便的名义停止降低我们的安全标准。从SolarWinds/Microsoft漏洞中恢复所需的巨额成本对于纳税人来说是不可接受的负担。我们将所有的信任都给予大型技术提供商-这些软件公司创造了数万亿美元的财富。现在是这些公司也拥有公平责任的时候了。