Włamywacze doskonale potrafią dzielić się informacją o podatnościach, metodach i celach ataków. Z kolei organizacje, które muszą się bronić przed nimi, nie robią tego wcale. Do walki ze zorganizowanymi cyberprzestępcami należy zatem wytoczyć najcięższe działo – informację. Powinna powstać sieć wymiany informacji, w której organizacje odpowiedzialne za bezpieczeństwo mogłyby wymieniać dane na temat stosowanych ataków, ich właściwości i cech, znanych adresów IP lub domen oraz narzędzi i ich sygnatur.
Zmiany muszą być znacznie głębsze, niż się do tej pory wydawało. Należy wzmóc nacisk na monitoring zdarzeń i przygotowanie zawczasu odpowiedzi na zagrożenia. Zamiast pilnować ruchu na zaporze sieciowej i liczyć straty w przypadku przełamania istniejących zabezpieczeń, należy przygotować się na udany atak, na który organizacja odpowie w krótkim czasie. Celem nie jest już tylko sama obrona, by włamywacz się nie dostał do firmy, ale raczej minimalizacja szkód, skrócenie czasu, w którym cyberprzestępca działa w firmowej sieci oraz skuteczna odpowiedź na atak. Za mało środków (środkiem jest także czas, nie tylko pieniądze, bo niezłe narzędzia do monitoringu można mieć za darmo) przykładamy do wykrywania zagrożeń, a jeszcze mniej – do przygotowania odpowiedzi na nie.
Oto rozmowa z Robem Sadowskim, dyrektorem technicznym w firmie RSA, nagrana podczas EMC World 2013.