Вірусний бюлетень PUA – любовний лист

Цифрова безпека

Пізні ночі на VB2023 показали інтригуючу взаємодію між експертами з безпеки та дещо загадковим світом постачальників сірого програмного забезпечення.

Кемерон Кемп

10 жовтня 2023  •  , 3 хв. читати

Пізно ввечері на VB2023 виходять гобліни – створені образи шанувальників, які ретельно обігруються, а також спокуси, нав’язані індустрією потенційно небажана програма (PUA) постачальники, спонсоровані та платні інсталятори додатків та інші монетизатори завантажень, які утворюють багатомільярдну екосистему. І якщо вам цікаво, чого вони хочуть, так це спонукати розблокувати межове – справді межове – моторошне програмне забезпечення, яке вони хочуть, щоб авторитетні постачальники програмного забезпечення безпеки ігнорували та припинили блокувати. Ми знаємо, тому що вони часто просять нас про це.

Але клієнти воліли б мати менше PUA, ніж більше їх. Продукти ESET мають можливість заборонити PUA програмне забезпечення. У клієнтів є вибір, і вони самі вирішують.

Але повернемося до нічного фойє Novotel – зрештою любов перетворюється на ненависть у біполярній виставці; Мабуть, ми часом ставимо проломи в їхні бізнес-плани.

Навколо Конференція VB2023 це невелика кількість спеціальних (або більш організованих) зібрань, спрямованих на легітимізацію псевдотеньових (але завжди нібито реформаторів) постачальників програмного забезпечення, які відчайдушно намагаються переконати постачальників програмного забезпечення для безпеки, що вони справді реформовані, і тому якось варті розблокування.

Щоб продати його, вони наймають персонал із «комплаєнсу», зазвичай милих балакучих людей, які із задоволенням проводять час під пульсуючим світлом у барі до шлях надто пізно, коли ми дійсно повинні спати. Зливання продавців випивкою може мати деяку привабливість для більш мотивованих бродінням серед нас, але не настільки, щоб позбавити нас мізків; але ми були на цьому деякий час, і попереджати нових наймів про ці спроби соціальної інженерії є освязаною часом традицією.

ESET не самотній у цьому відношенні, є багато інших постачальників програмного забезпечення для безпеки, які отримують таке ж особливе ставлення: ніхто не сперечається, що лестощі (і бродіння для деяких) є приємним дотиком, але зрештою ми працюємо для наших клієнтів, а не ці постачальники PUA або їхні акціонери. Наші клієнти платять нам, і вони роблять це, щоб отримувати все менше білого шуму на своїх комп’ютерних пристроях, а не більше.

Зовсім недавно постачальники PUA та їхні друзі, які заробляють гроші в цій екосистемі, згуртувалися, щоб створити органи сертифікації, спрямовані на точніше визначення того, наскільки далеко занадто далеко, щоб все ще класифікуватися як чисті. Вони вірять, що, створюючи сертифікати, вони можуть посилити доброзичливість у складанні резюме, і що їхній знак довіри буде сигналом (сподіваємося) третім сторонам про їх надійність. Але ці організації не мають тенденції довго погоджуватися одна з одною, не кажучи вже про сторонніх, і сполучний клей має тенденцію розчинятися, змушуючи їх розпадатися. Випасати котів може бути так само складно, як і невигідно.

Довіра до індустрії безпеки — це довга гра, і дуже небагато постачальників, узгоджених із PUA, прожили достатньо довго, щоб грати добре. Щоб належним чином забезпечити безпеку, потрібен час і купа грошей, а також невелика кількість технічних талантів, які бажають взятися за повсякденну роботу з невдячно недоспіваною частиною підтримки роботи програмного забезпечення, не кажучи вже про безпеку.

Оскільки ставки на захист даних людей стають вищими – у світлі зростаючої кількості медичних записів, фінансових транзакцій і, в основному, більшості того, що забезпечує роботу нашого повсякденного цифрового та фізичного життя – також зростає важливість правильного програмного забезпечення безпеки, помиляючись сторона обережності. PUA та обережність часто не зустрічаються в одному реченні.

Зараз дуже пізня ніч (я написав це в четвер увечері), і бар нарешті вгамував атмосферне пульсування приглушених техно-мелодій (чи це моя голова?), коли люди починають згасати в коридорах готелю, щоб ненадовго відпочити, готуючись до ще один (чудовий) день конференції. Тут, у Лондоні VB2023, було приємно бачити людей, які роблять важку роботу, захищаючи те, що цінують усі, включно з нами. Мені останній раз махають руки від співробітників відділу відповідності, коли вони зникають коридорами. Можливо, я знову побачу їх на наступній конференції.

У нас завжди будуть хороші та погані технології та багато відтінків сірого. Сірий колір - це складна частина.