您的位置:首页 >聚焦 > 财经 >

一些网络安全供应商不顾一切地诉诸高管 他们正在诉诸谎言和敲诈勒索

2019-03-19 17:36:23来源:

网络安全供应商市场越来越拥挤,一些公司一直采取极端策略让安全管理人员通过电话推销他们的产品,包括谎言安全紧急情况,并威胁要向媒体揭露微不足道的违规行为。

随着网络安全市场的急剧扩张,以及成千上万拥有小众专业的供应商的“长尾”,这种激进的策略也随之而来。这些销售策略可能使过度工作的网络安全高管更难找到并阻止真正的威胁。它还可能导致对实际上较小的违规和黑客的过度夸大宣传,这会使客户和消费者感到困惑。

CNBC与财富500强金融,医疗保健和支付公司的四位顶级网络安全高管讨论了供应商的不良做法。这些高管都表示他们受到供应商和研究人员的压力,他们声称 - 无论是否正确 - 在他们的公司发现了网络安全问题。如果高管不听取供应商的全部意见,一些人暗示可能会出现负面新闻报道。

许多道德黑客利用与公司的联系来报告合法问题。一位高管抱怨噪音使得难以确定需要修复的基础设施缺陷的​​合法报告。

哭狼

网络安全公司很难被人注意到。较小的供应商特别挣扎,因为顶级公司已经与最大的公司签订了合同或强大的客户关系。

这就是负面媒体报道的威胁所在。如果出现安全漏洞,无论多小,都可以成为大公司的头条新闻。足够的新闻报道可能引发数周的愤怒,并在国会面前登陆最高领导人。

但是,实际造成损害的违规行为相对较少。因此,供应商经常试图通过不会暴露重要公司或客户信息的轻微违规行为做出重大贡献。

例如,所有四位高管都表示供应商试图将注意力集中在亚马逊和Microsoft Azure云服务器上可能暴露的数据上。这些数据都不包括任何当前的材料信息。

在一个案例中,一个数据库收集了一个已经报告过的已有10年历史的项目的商业计划,现在已经无关紧要了。在另一个案例中,数据包括有关客户的信息 - 但仅包括他们的名字以及他们几年前参加过技术会议的事实。没有进一步的个人识别细节,社会安全号码或其他数据会引起监管机构甚至高级公司高管的愤怒。

但是代表们对这位高管施加压力,称他们曾多次试图向他们发出这些小问题的警告,并准备前往媒体。

由于担心负面宣传,这些高管通常同意花费大约一个小时的时间,允许供应商提供“免费服务”来解决问题,然后对付费服务进行更大的宣传。

其中两位高管还表示,供应商使用可疑的策略只是为了接通他们的手机。供应商已经打电话报告“紧急”事件,然后一旦他们越过公司的看门人,将“警报”变成了销售宣传。他们还向行政人员撒谎说他们打电话的理由,将他们的电话描述为一个具有重要安全意义的问题,只有在他们向正确的行政部门工作时才提出销售宣传。

总而言之,这导致了大量的浪费时间。更糟糕的是,正如一位高管所说,“我不信任他们中的大多数人,所以我可能会想念那些可能试图提出实际问题的人。”

“除非你是国家安全局,否则归属并不重要”

网络安全供应商也常常试图根据发起特定攻击的犯罪者的类型来吓唬高管。

高管们表示,这些投资通常适用于董事会成员或技术水平较低的高级管理人员,他们担心从伊朗,中国,朝鲜或俄罗斯捍卫他们的网络的前景,并对该供应商声称的调查技能留下深刻印象。

但对于绝大多数公司来说,归属并不重要,他们说。这是因为无论是谁做到了这一点,绝大多数私营部门的数据泄露都可归因于所有黑客利用的基本安全漏洞。

“如果你容易受到SQL注入攻击,”一位银行首席信息安全官表示,他指的是一种常常被用来窃取消费者数据的基本类型的黑客攻击,“那么你将成为SQL注入的牺牲品。如果地下室的一些孩子或解放军[中国人民解放军]没关系。“

该银行官员表示,监管机构也不特别关心。如果你有一个你应该修复的弱点,监管机构将专注于这个弱点。

“除非你是国家安全局,否则归属并不重要,”安全负责人说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。