10 idei mari în securitatea digitală

Nu cu mult timp în urmă, știrile de securitate au însemnat vulnerabilități obscure și viruși răspândiți pe computere desktop. Însă acum oamenii de pretutindeni sunt îngrijorați de suspiciunea agențiilor guvernamentale, de Heartbleed care își lasă datele personale pe Web și de amenințările în creștere cu mobil. Heck, acoperirea scurgerilor lui Edward Snowden în legătură cu eforturile interne de spionare ale Agenției de Securitate Națională, au anulat Premiile Pulitzer în acest an. Pe măsură ce viața noastră devine mai concentrată în jurul dispozitivelor digitale și a internetului, mai multe persoane sunt îngrijorate de securitate, și pe bună dreptate. Întrebarea este: care sunt problemele reale - și care este pur și simplu ardoarea lunii din mass-media?

Pentru o imagine de ansamblu solidă a ceea ce contează cu adevărat, revine la acest februarie trecut, când mii de participanți au participat la San Francisco pentru conferința RSA. Printre aceștia s-au numărat creatorii produselor de securitate și cercetătorii care au spart unele dintre cele mai mari povești de securitate. Este una dintre cele mai mari întâlniri de acest gen, iar ideile de la RSAC vor avea un impact imens asupra securității digitale pentru restul anului.

Snowden și securitate

Oamenii glumeau că Guvernul SUA asculta tot ce spunea toată lumea, dar nimeni nu râde cu adevărat de asta. Presupusa înțelegere dintre Agenția de Securitate Națională și RSA Security a aruncat o amploare asupra conferinței, care nu mai este direct afiliată companiei RSA.

Surprinzător, ANS a decis din nou să aibă o prezență pe platoul emisiunii în acest an. Chiar dacă nu ar fi făcut-o, a fost greu să evite ANS. Unii vânzători au predat montele cu logo-ul agenției pe ei, în timp ce alți oameni au preluat scrisori clare pe tablele publice. Se pare că un vânzător s-a opus că se află în apropierea standului NSA, în timp ce un altul a profitat de ocazie pentru a rula videoclipuri în bucle despre Snowden.

Unii vorbitori și-au tras prezentările la protest și au organizat un eveniment concurent de o zi, numit Trustycon. Acest lucru a fost menit să contribuie la sensibilizarea problemelor de confidențialitate, deși unii au văzut altfel.

China Cine?

Anul trecut, jefuitorul de sub patul tuturor era China. Teama în rândul persoanelor din interiorul industriei era reprezentată de atacatori de stat sau de atacatori singulari din China, care furau proprietatea intelectuală, fie o vindeau, fie o dădea concurenților chinezi. A existat, de asemenea, amenințarea cibernetică între națiuni, făcută cu atât mai reală prin raportări continue ale amenințărilor sofisticate avansate avansate.

Rapid înainte pentru acest an, iar preocupările sunt mai blânde. Vorbitorii au menționat „furtul de proprietate intelectuală”, dar nu au văzut nevoia să spună cine va fi în spatele acestuia. Când au fost menționate atacurile „statului național” anul trecut, aceasta a însemnat aproape sigur „China”, dar anul acesta ar fi putut însemna cu ușurință „Statele Unite ale Americii”.

Zece lucruri

În afara acestor povești mari, au fost câteva evoluții promițătoare, tehnologie nouă și sfaturi încercate și adevărate la RSA. Primul si cel mai important? Plasează software-ul. Au existat, de asemenea, mulți vânzători dornici să treacă de parolele anterioare, pe care sperăm să le vedem în curând. De asemenea, sper să faceți toate lecturile înainte de spectacolul de anul viitor.

Acestea au fost câteva dintre marile povești despre care buzele experții în securitate, dar nu sunt singurele. Iată principalele noastre zece idei mari care se întâmplă în securitate chiar acum.

1 10. În aer liber în criptare

Agenția de Securitate Națională a fost în mintea tuturor la conferința din acest an și a fost cea mai mare poveste de securitate din anul trecut. Și chiar dacă Conferința RSA este o entitate distinctă de compania RSA Security, presupusa conexiune de milioane de dolari între RSA și NSA a fost un subiect frecvent de discuție. Președintele RSA, Art Coviello, a respins acuzațiile în adresa sa principală, dar a solicitat reforme în cadrul agenției de spionaj. Spre deosebire de anul trecut, temerile față de China s-au așezat în spate pentru a se preocupa că criptarea nu poate fi atât de sigură cum am crezut.



2 9. Cuvinte cheie Ucigând cuvinte

Odată ce un cuvânt atinge statutul de cuvinte cheie, acesta nu mai înseamnă nimic util. Din păcate, au existat o mulțime de cuvinte de genul acela la RSAC, unde toată lumea folosea aceleași cuvinte, dar nimeni nu a fost de acord cu definiția. Când vine vorba de informații despre amenințări, vorbim despre indicatori de compromis sau vorbim despre îmbogățirea datelor existente cu surse terțe? Ce înseamnă mai exact „genul următor”? În acest moment, ar trebui să fim la next-next-gen. Cum pot face atât de multe produse să revoluționeze securitatea? Mai știe industrie ce promite?

Imagine prin intermediul utilizatorului Flickr, Soumyadeep Paul



3 8. Atunci când prăjitoarele, mașinile și mașinile de cafea atacă

Internet of Things a intrat în Conferința RSA din acest an și toată lumea este îngrijorată de perspectiva securizării lor. A lua o cheie - destul de chinuitoare - este că nu suntem încă pregătiți să ne securizăm toate dispozitivele, indiferent dacă sunt electrocasnice, dispozitive medicale sau mașini. Chiar și așa, unii nu au fost cu toții în cauză, spunând că infractorii nu ar putea încerca să controleze de la distanță sau să prăbușească o mașină conectată. Ar fi mult mai probabil ca infractorii să meargă „în amonte” pentru a compromite serverele care folosesc lucrurile - cum ar fi serverele OnStar pentru mașini - și să le monetizeze.

Internet of Things va crește fără îndoială din ce în ce mai mult pe măsură ce mai multe dispozitive devin conectate. În urma lui Heartbleed, cercetătorii nu s-au preocupat doar de servere, ci de toate dispozitivele conectate.



4 7. Criptați totul

Răspunsul tuturor pentru a îmbunătăți securitatea - în special securitatea mobilă - a fost criptarea, criptarea, criptarea. Aplicațiile mobile mută cantități uriașe de informații pe Internet și mulți dezvoltatori aleg să nu cripteze acele tranzacții, oferind atacatorilor și statelor naționale o mulțime de aspecte. Din nou apelând la NSA, CTO C3, Bruce Schneier, a afirmat că agenția a rupt probabil o formă de criptare, dar nu poate procesa cantități imense de date criptate. El a spus că cantitatea mare de informații necriptate care zboară în jur simplifică simplitatea pentru oricine caută să stocheze date. În februarie, preocupările legate de criptare s-au bazat în jurul vulnerabilităților create de NSA și a problemelor SSL ale Apple. Anunțul Heartbleed este un memento amețitor că chiar și cele mai bune instrumente pe care le avem încă nu sunt perfecte.

Imagine prin cont anonim utilizator Flickr

• 5 6. Nu există gloanțe de argint

  Am petrecut mult timp vorbind despre prezentări și persoane fizice la RSAC, dar nu trebuie să uităm că evenimentul este o expoziție comercială și că platoul de spectacole este plin de vânzători care lucrează pentru a convinge cumpărătorii că produsul lor este cel mai bun din jur. Surprinzător, multe companii de securitate au continuat să împingă ideea de gloanțe de argint - o soluție de servire unică pentru toate problemele de securitate. Acest lucru este puțin surprinzător, dat fiind faptul că anul trecut a demonstrat că există numeroase căi pentru atacuri și că acestea pot diferi în funcție de cine se află în spatele lor și de ce urmează. Vicepremierul senior HP Art Gilliland a sugerat companiilor să nu mai caute arme noi și să adopte o abordare mai holistică a securității. Cel mai important pe lista sa de îmbunătățiri? Investește în persoane fizice și îmbunătățește pregătirea pentru securitate.



6 5. AV mobil nu funcționează

În timp ce a sărbătorit comunitatea de securitate care lucrează cu și în interiorul Android pentru a o îmbunătăți, Google Lead Engineer pentru Android Security a avut o vedere slabă asupra securității mobile până acum. El a spus că obiectivul Google a fost să ofere o securitate liniștită, invizibilă și a sugerat companiile de securitate să se concentreze mai mult asupra atenției și stimulării vânzărilor. CEO-ul viaForensics și cofondatorul Andrew Hoog s-au ocupat și de modelele tradiționale de securitate pe mobil. El a subliniat că aplicația sandboxing în sistemele de operare mobile face o treabă bună în securizarea aplicațiilor, dar limitează și capacitatea aplicațiilor de securitate de a face față amenințărilor. Soluția lui? Oferă-le dezvoltatorilor de securitate acces la privilegiile root.

Nu sunt de acord pe deplin cu ambele poziții, dar amenințările în creștere mobilă necesită noi modalități de securizare a dispozitivelor. Protejarea împotriva aplicațiilor dăunătoare nu este suficientă și, deși companiile de securitate care adaugă securitate la aplicațiile mobile sunt utile, nu vor fi suficiente pentru totdeauna.

Imagine prin intermediul utilizatorului Flickr Tiago A. Pereira



7 4. Securitate pe scaunul șoferului

Vorbim mult despre cum securitatea trebuie să facă parte din ADN-ul organizației și despre cum echipele de securitate nu pot reacționa pur și simplu la crize sau în modul de stingere a incendiilor tot timpul. Consensul general pare să fie în fața amenințărilor, fie că este vorba de o mai bună practică de securitate pentru a închide căile de atac sau de a se integra cu alte echipe pentru a se asigura că problemele de securitate sunt considerate chiar de la început.



8 3. Avem nevoie de mai mulți oameni în securitate

Unul dintre lucrurile despre care am auzit a fost cum a existat un deficit de profesioniști în securitate. Companiile care în mod tradițional nu trebuiau să se gândească la securitate - protejarea datelor sau asigurarea produselor lor sigure - se luptă acum să găsească profesioniști cu experiență în securitate. Agențiile guvernamentale încearcă să atragă cei mai strălucitori hackeri care să-și umple rândurile. Există un decalaj în competențe, parțial pentru că nu avem suficientă lume specializată în securitate, dar și pentru că companiile nu fac o muncă de recrutare bună.

Avem nevoie de mai multe femei în domeniul tehnologiei și în special a securității informațiilor. Ședințele de la RSAC s-au concentrat pe crearea de structuri de sprijin pentru a încuraja femeile interesate de infosec, dar și pentru a evidenția unele dintre realizările lor.



9 2. Aplicațiile Leaky sunt mai rău decât programele malware

Apărarea împotriva programelor malware continuă să fie un obiectiv pentru multe companii de securitate mobilă, dar aceasta nu este de departe singura amenințare. Mulți participanți la conferința RSAC au sugerat că aplicațiile cu scurgere - adică aplicațiile care transmit datele personale ale utilizatorilor fără criptare sau în cantități uriașe - reprezintă o amenințare mult mai mare pentru utilizatori. Pentru cititorii acoperirii noastre despre amenințarea mobilă de luni, acest lucru nu ar trebui să fie o surpriză. În acest an, așteptăm cu nerăbdare noi instrumente precum viaProtect pentru a ajuta consumatorii să vadă ce fac cu adevărat aplicațiile lor. Acestea fiind spuse, vizionarea cuiva de rupere, modificarea și reambalarea unei aplicații Android în cinci minute este un memento care malware este încă o problemă.

Imagine prin intermediul utilizatorului Flickr Grotuk

• 10 1. Supravegherea nu merge departe

  Directorul FBI, proaspăt menționat, James Comey, a prezentat două lucruri clare în prezentarea sa RSAC 2014: FBI are nevoie de cooperare din partea întreprinderilor pentru a lupta împotriva amenințărilor cibernetice, dar că supravegherea electronică este aici pentru a rămâne. La un nivel, știm cu toții acest lucru. Nu ne putem aștepta ca spionii și polițiștii să țină cont de telefoane atunci când oamenii răi comunică prin e-mail și alte instrumente. Ca societate, trebuie să acceptăm că comunicațiile digitale sunt o țintă și poate o legitimitate. În mod similar, comisarii dintr-o masă rotundă fascinantă a informațiilor din informații din SUA au subliniat că ANS nu este o „agenție necinstită” și că orice alt stat național se angajează în supraveghere electronică. Aceștia au mai spus că spionajul intern trebuie să ajungă la un echilibru mai bun cu confidențialitatea și că oamenii nu ar trebui să permită funcționarilor aleși să își folosească „povestea de acoperire” a denaturării plauzibile pentru operațiunile de informații.