尽管网络安全产业价值数十亿美元,但伊斯特利却哀叹,价值数万亿美元的软件质量问题持续存在,继续助长网络犯罪。
美国网络安全和基础设施安全局 (CISA) 局长 Jen Easterly断言,网络犯罪的真正罪魁祸首是提供错误和不安全代码的软件供应商。在 Mandiant 的 mWise 会议上,她强调技术供应商在其产品中制造了问题,最终使网络犯罪分子更容易攻击他们的目标。
伊斯特利还认为,“软件漏洞”一词淡化了问题,她主张使用更直接的术语“产品缺陷”。她没有责怪受害者没有及时修补软件,而是敦促业界质疑软件为什么需要如此多的紧急更新,强调技术供应商需要承担更大的责任。
尽管网络安全产业价值数十亿美元,但伊斯特利对持续存在的价值数万亿美元的软件质量问题感到遗憾,这些问题助长了网络犯罪。她将软件对关键基础设施的依赖比作在没有任何安全保障的情况下购买汽车或登上飞机。
自从担任 CISA 负责人以来,Easterly 一直在努力提高软件质量,并强调安全代码对于减少勒索软件和网络攻击至关重要。虽然她承认完美的代码很难实现,但她对当前的缺陷率和开发人员缺乏责任感表示沮丧。在最近的 RSA 大会上,包括 AWS、微软和谷歌在内的近 70 家大公司签署了CISA 的 Secure by Design 承诺,以改善软件安全实践。这个数字现在已增加到近 200 家供应商,但 Easterly 指出,遵守承诺仍然是自愿的。
为了鼓励变革,她敦促技术买家利用他们的采购权力,询问软件供应商是否签署了承诺并真正致力于打造安全的产品。CISA 已发布指南,供各组织在采购过程中评估软件制造商的安全优先事项。
评论