Nuevo centro de seguridad cibernética de Reino Unido trabajan para desacreditar tácticas de miedo y dar el ejemplo

cib

 

El gobierno del Reino Unido ha tenido suficiente de cliché cibernético imaginería dementor, la retórica de la industria con un sonido aterrador y consejos de seguridad imposible que el consumidor medio no tiene ninguna esperanza de seguir.

 

Y está la esperanza de que mediante la adopción de un enfoque menos hiperbólica, por datos para la seguridad cibernética abordarlo puede alentar a la industria a seguir su ejemplo y se centran en los problemas de seguridad persistentes y prolíficos – con el objetivo primordial de reducir los daños a gran escala y aumentar la confianza del consumidor en la era digital economía.

 

La filosofía detrás del nuevo Centro Nacional de Seguridad Cibernética del Reino Unido (NSCS) fue establecido por el director técnico del centro, el Dr. Ian Levy, hablando ayer en la conferencia de seguridad con conexión de cable en Londres.

 

Una Estrategia Nacional de Ciberseguridad total se debe a publicarse de forma inminente, según Levy, pero le dio una pequeña muestra de cómo el gobierno está pensando aquí. Levy ha movido de su papel como director técnico de la seguridad cibernética en Reino Unido agencia de inteligencia GCHQ para ocupar el mismo puesto en la NSCS, que abre oficialmente sus puertas este mes.

 

Poner la amenaza a la seguridad en el contexto

 

“La mayor amenaza en el futuro que tenemos es mantener hablando de la seguridad cibernética como lo hacemos hoy”, argumentó. “No hay otra pieza de la política pública, donde la narración se establece por un conjunto masivamente misincentivized de las personas.”

 

Dijo que la idea central para el centro es proporcionar una ventanilla única para los “consejos consistente y coherente”, y hacerlo “en público, de forma transparente” – una libertad claramente no proporcionó la agencia de espionaje donde solía trabajar (en la “rosquilla de marfil”, como él lo denominó, riffs de los académicos en sus torres de marfil ”). El NSCS será, por ejemplo, la publicación de datos sobre sus aprendizajes. A pesar de que también informará al GCHQ, por lo que claramente no todos sus discusiones estarán abiertas al público.

 

“Un lugar para ir por todo”, dijo Levy, describiendo lo que el centro ofrecerá. “Al principio cuando se desea información sobre amenazas y entender acerca de cómo diseñar un sistema, a través de la construcción de ésta, de volver a utilizarlo, para cuando usted consigue pwned ¿cómo podemos ayudar”.

 

En una presentación de hablar claro, que arrojó más de unas cuantas púas sardónicas en las prácticas actuales de la industria de la seguridad, atacó algo de la atención lenguaje y medios pagados a cero fallos de seguridad los días críticos y – como la falla de la criptografía heartbleed que surgió en 2014 – el argumento de este tipo de reportaje ‘escenario del fin del mundo’ engendra confusión y pánico en la población, y está cambiando la atención (y recursos) de distancia de la lucha contra las amenazas de seguridad aún más mundanos persistentes que causan problemas en curso para los usuarios de Internet.

 

“Desbordamiento de memoria intermedia de hoy siguen siendo uno de los defectos de software más comunes que conducen a la explotación de seguridad”, dijo. “Cuarenta y tantos años de desbordamientos de búfer. Tenemos que empezar a recordar que las vulnerabilidades de software son un axioma. Siempre vas a tener ellos porque de software escrito por la gente – la pregunta es cómo a tratarlo “.

 

“Cincuenta y cuatro cero días en 2015. Vamos a ponerlo en contexto … En el mismo año [buscar en la base de datos National Vulnerability] había otros 6.488 vulnerabilidades. Probablemente debería cuidar un poco más sobre los que – porque hay una carga cobertizo más de ellos “, agregó.

 

El gobierno del Reino Unido ha anunciado su intención de reunir experiencia en seguridad cibernética en un mismo lugar el año pasado – cuando se nombró la seguridad cibernética un área prioritaria, diciendo que sería casi el doble de gasto en el área de £ 1,9 mil millones en 2020.

 

El mes pasado, dando su primer discurso público en una conferencia de seguridad en Washington, CEO NCSC Ciaran Martin también dijo a los delegados el objetivo con el centro es que el gobierno desempeñe un papel de liderazgo en el desarrollo de medidas de seguridad proactivas, y – a través de ese push – to el objetivo de alentar a la industria a su juego.

 

“Algo no está funcionando todavía en el mercado en términos de seguridad cibernética”, argumentó. “Hay grandes empresas, grandes personas, hay una gran innovación, y las barreras para el intercambio de información se están descomponiendo. Sin embargo, dados los antecedentes de los últimos años es difícil decir que tenemos por delante de la amenaza.

 

“Si vamos a mantener la confianza en la economía digital, tenemos que hacer frente a este fin del problema. Creo que hay un papel legítimo para el gobierno en tomar una ventaja … al menos temporalmente. Esta es la idea detrás de nuestra estrategia “.

 

Ayer Levy fue más allá al acostando el problema de la seguridad cibernética como parte de una “percepción contextual”.

 

“La manera de hablar sobre algo cambia fundamentalmente la forma en que se evalúa el riesgo de ello”, dijo. “El contexto en el que se juzga algo también determina la forma de interpretarlo. Así que si te dicen que los ataques cibernéticos de seguridad se pretendía por los monos ninjas cibernéticos aladas que se sientan en un país extranjero que pueden comprometer su máquina con sólo pensar en que vas a tener una respuesta de miedo. Y ahí es donde estamos hoy “.

 

Su premisa es que una “respuesta de miedo” es reemplazar un análisis más racional de los problemas de seguridad y conduce a soluciones ineficaces o mal dirigidas. La esperanza del gobierno, por lo tanto, es restablecer la narrativa de seguridad a algo más cercano a la realidad.

 

Las compañías de seguridad son incentivados para hacer que suene tan difícil como sea posible porque quieren comprar sus amuletos mágicos.

“Las compañías de seguridad son incentivados para hacer que suene tan difícil como sea posible porque quieren comprar sus amuletos mágicos”, agregó Levy. “Esto es lo que estamos haciendo hoy. Usted compra un producto de seguridad cibernética y lo tiras en el problema, ya que no tienes idea de lo que es en realidad el problema más.

 

“Si hablamos de las cosas como son en realidad, tenemos un conjunto diferente de las respuestas a ellos.”

 

Hacer frente a los problemas persistentes tediosamente

 

Hablar de uno de los primeros proyectos de la NCSC ha estado trabajando – probando una política DMARC en el correo electrónico gobierno del Reino Unido para detener los correos electrónicos de los conjuntos IP incorrecta o con la tecla equivocada de ser entregado – dijo que el primer día en que se enciende por gov.uk de dominio, el desvío de correos electrónicos fraudulentos a la NCSC (en lugar de sus posibles víctimas), alrededor de 50.000 se recibieron.

 

Pero unos días más tarde los mensajes de correo electrónico se habían detenido para siempre – después de que el atacante, presumiblemente, se dio cuenta de sus intentos de phishing estaban siendo cortados en la raíz.

 

“Cada ataque cibernético – ya sea el crimen, si se trata de la desfiguración, o si se trata de un estado nacional, se ejecuta en un retorno de la inversión de cálculo. Un cálculo del riesgo. Pero al hacer cosas como esta podemos atornillar alrededor con retorno de la inversión de los atacantes “, dijo Levy.

 

Después de este ensayo, dijo que el NCSC ahora tiene la intención de poner DMARC en todos los ámbitos del gobierno – todos ~ 5.700 de ellos – para poner fin a la capacidad de suplantar phishers correos electrónicos desde cualquier dirección gov.uk en el futuro.

 

El paso después de eso será aplicar presión para la industria – a modo de ejemplo – se centra en otros dominios “de alto valor” en el sector comercial para conseguir que sigan el ejemplo del gobierno.

 

“Voy a apuntar y hacer reír a todo el mundo que no hace lo mismo – en público”, dijo Levy. “Debido a que no hay excusa para no hacer DMARC en un valor de dominio más alta.

 

“Así que cuando se recibe un correo electrónico de gov.uk será a partir gov.uk. Cuando usted consigue uno de [minorista del Reino Unido] John Lewis decir, yo quiero que sea seguro de que provienen de John Lewis. Y entonces tendremos dominios receptivas así “.

 

A esto se añade, porque el NCSC se encuentra ahora en la recepción de una gran cantidad de phishing de datos de correo electrónico Levy señaló que también puede analizar los dominios que los atacantes están tratando de enviar a la gente a – y planea hacer uso de este caché de Intel sitio de phishing para construir ” un servidor DNS recursivo escala masiva para el sector público “.

 

“Voy a ser el proveedor de DNS para el sector público. Así que el gobierno central, el gobierno local, tal vez la salud, la educación tal vez – vamos a ver “, continuó. “Así que de nuevo, que lo haga por el gobierno primero y luego ir y hablar con los proveedores de Internet y diga ‘hey chicos, probablemente no es aceptable para que usted permite que sus clientes puedan verse perjudicados sin saberlo. ¿Qué tal si haces algo similar, por defecto, para los ciudadanos del Reino Unido?

 

Por defecto Quiero que los proveedores de Internet que asumir cierta responsabilidad y no permiten que sus clientes van y se hacen daño sin saberlo.

“De manera predeterminada Quiero que los proveedores de Internet que asumir cierta responsabilidad y no permiten que sus clientes van y se hacen daño sin saberlo.”

 

Los investigadores de seguridad serían capaces de inhabilitar el filtrado de DNS, según el plan de Levy, pero la idea es que el público en general – que por lo general más sufre a manos de los estafadores – estaría mejor protegido como resultado de los ISP que tienen similares, acción proactiva para bloquear el acceso a sitios de robo de datos.

 

“Por defecto vamos a proteger a las personas. Debido a que mi abuelita no sabe qué demonios está pasando y quiero protegerla “, agregó.

 

Otras áreas en las que Levy dijo que ya se están haciendo progresos por su equipo está en la reducción de la ventana de tiempo que un sitio de phishing puede estar en línea – por el NCSC ponerse en contacto con proveedores de Internet para llegar a acabar con los sitios de phishing – utilizando, en sus palabras, “una muy método cibernético complejo de pedir a la empresa de alojamiento para eliminarlo “.

 

“Cualquier phishing en cualquier parte del mundo que pretende ser la marca del Reino Unido gov ha bajado de 49 horas a 5 horas”, agregó.

 

También atacó a “estúpido consejo” dado a los usuarios de Internet – como diciéndoles que deben leer el encabezado del correo electrónico de larga duración con el fin de determinar si un correo es auténtico o no; o pedirles que recuerden “el equivalente a un número de 600 dígitos cada mes”, debido a los requisitos de contraseña para crear un único, multi-carácter, la contraseña de cadena múltiple para cada servicio que utilizan y cambiar a todos ellos con frecuencia – como ridículamente no apta para el promedio usuario de la web.

 

“Le decimos a la gente a hacer algo que no pueden hacer posiblemente”, argumentó, y agregó que el centro sería “consejos estúpida salida” – y con el objetivo de cambiar el sistema “por lo que es mejor para las personas, en lugar de los frikis”.

 

“Vamos a hacer esto en público, vamos a hacer esto de forma transparente, vamos a publicar los datos, vamos a publicar lo que hemos hecho, el efecto que ha tenido, y el costo”, agregó. “Quiero que la gente realmente, realmente entender lo que la imagen cibernética amenaza a la seguridad se parece. Cuáles son sus riesgos son en realidad, y la mejor manera de protegerse a sí mismos “.