Зміст:
- 1 10. На задньому плані в шифруванні
- 2 9. Казкові слова вбивства слів
- 3 8. Коли тостери, машини та кавомашини атакують
- 4 7. Зашифруйте все
- 5 6. Срібних куль немає
- 6 5. Мобільний AV не працює
- 7 4. Безпека в сидінні водія
- 8 3. Нам потрібно більше людей у безпеці
- 9 2. Пропускні програми гірші, ніж мобільні зловмисні програми
- 10 1. Нагляд не проходить
Відео: ÐÑÐ¸ÐºÐ¾Ð»Ñ Ñ ÐºÐ¾Ñками и коÑами (Листопад 2024)
Не так давно новини безпеки означали неясні вразливості та віруси, що поширюються на настільних комп'ютерах. Але зараз люди скрізь переживають про вислуховування урядових установ, Heartbleed - це звільнення своїх особистих даних в Інтернеті та зростання мобільних загроз. Хек, висвітлення витоків Едварда Сноудена про внутрішні шпигунські зусилля Агенції національної безпеки привело до цього року Пулітцерівські премії. Оскільки наше життя стає все більш зосередженим навколо цифрових пристроїв та Інтернету, все більше людей турбуються про безпеку, і це правильно. Питання полягає в тому, які реальні проблеми - і що є лише розмаїттям аромату місяця від медіа-медіа?
Щоб отримати ґрунтовний огляд того, що насправді має важливе значення, поверніться до минулого лютого, коли тисячі відвідувачів приїхали до Сан-Франциско на конференцію RSA. Серед них були творці продуктів безпеки та дослідники, які порушили деякі найбільші історії безпеки. Це одне з найбільших подібних зборів, і ідеї RSAC матимуть величезний вплив на цифрову безпеку протягом останнього року.
Сноуден і безпека
Люди звикли жартувати, що уряд США прислухається до всього, що всі говорять, але вже ніхто над цим не сміється. Передбачувана угода між Агенцією національної безпеки та RSA Security призвела до значної участі в конференції, яка більше не пов'язана безпосередньо з компанією RSA.
Дивно, але цього року НСА вирішила знову присутні на шоу-шоу. Навіть якби вони цього не зробили, важко уникнути АНБ. Деякі продавці роздавали пристани з логотипом агентства, а інші люди брали участь у написанні зауважень на сніданках на громадських дошках. Один продавець, мабуть, заперечував, що він розташований біля кабінки АНБ, а інший скористався можливістю робити циклічні відео про Сноудена.
Деякі спікери виступили з доповідями на знак протесту та організували змагальний одноденний захід під назвою Trustycon. Це мало на меті сприяти підвищенню обізнаності з питаннями конфіденційності, хоча деякі люди бачили це інакше.
Китай Хто?
Минулого року бугеном під кожним ліжком був Китай. Страх серед інсайдерів промисловості полягав у спонсоруванні державою або самотніх нападників з Китаю, які крали інтелектуальну власність і продавали її, або віддавали її китайським конкурентам. Існувала також загроза кібервійни між націями, яка стала ще більш реальною завдяки постійним повідомленням про складні передові стійкі загрози.
Швидкий перехід до цього року та проблеми є більш м'якими. Доповідачі згадували про "крадіжку інтелектуальної власності", але не бачили потреби в тому, щоб сказати, хто буде за цим. Коли минулого року згадувались напади на "національну державу", це майже напевно означало "Китай", але цього року це могло легко означати "Сполучені Штати Америки".
Десять речей
Поза цими великими історіями в RSA з'явилися багатообіцяючі розробки, нові технології та перевірені поради. В першу чергу? Виправити програмне забезпечення. Було також багато постачальників, бажаючих перенести минулі паролі, які, сподіваємось, побачимося незабаром. Крім того, я сподіваюся, що ви все прочитаєте перед шоу наступного року.
Це були деякі великі історії, про які гудуть експерти з безпеки, але вони не єдині. Ось наша десятка найбільших ідей, які зараз відбуваються в галузі безпеки.
-
5 6. Срібних куль немає
Ми витратили багато часу, розмовляючи про презентації та людей на RSAC, але не слід забувати, що подія є виставковою виставкою та що шоу-майданчик переповнений повними постачальниками, які переконують покупців у тому, що їхній товар найкращий. Дивно, але багато охоронних компаній все ще підштовхували ідею про срібні кулі - єдине рішення для будь-яких ваших проблем із безпекою. Це трохи дивно, враховуючи те, що минулий рік продемонстрував, що для атак є численні шляхи, і вони можуть відрізнятися залежно від того, хто за ними стоїть і за чим вони йдуть. Старший представник HP Art Art Gilliland запропонував компаніям припинити пошук нової зброї та скористатися більш цілісним підходом до безпеки. Найголовніше в його списку поліпшень? Інвестуйте в осіб та вдосконалюйте навчання з безпеки. -
10 1. Нагляд не проходить
Свіжовичавлений директор ФБР Джеймс Комі зрозумів дві речі у своїй презентації RSAC 2014: ФБР потребує співпраці бізнесу з метою боротьби з кіберзагрозами, але електронне спостереження тут залишається. На одному рівні ми всі це знаємо. Ми не можемо сподіватися, що шпигуни та поліцейські підтримуватимуть прослуховування телефонів, коли погані хлопці спілкуються електронною поштою та іншими інструментами. Як суспільство, ми повинні визнати, що цифровий зв’язок є цільовою, а може бути, і законною. Аналогічно, учасники дискусії на захоплюючому круглому столі інсайдерів американської розвідки підкреслили, що АНБ не є "шахрайським агентством" і що кожна інша національна держава бере участь в електронному спостереженні. Вони також сказали, що внутрішній шпигун повинен досягти кращого балансу з приватним життям, і що люди не повинні дозволяти обраним чиновникам використовувати свою "обкладинку" правдоподібної заперечуваності для розвідувальних дій.
1 10. На задньому плані в шифруванні
Агентство національної безпеки було на увазі всіх на цьогорічній конференції, і це була найбільша історія безпеки минулого року. І хоча конференція RSA відрізняється від компанії RSA Security, передбачувана багатомільйонна зв'язок між RSA та АНБ була частою дискусією. Голова РДА Арт Ков'єлло відхилив звинувачення у своєму виступі, але закликав до проведення реформ у шпигунській агенції. На відміну від минулого року побоювання з приводу Китаю посіли місце задля занепокоєння, що шифрування може бути не таким безпечним, як ми думали.
2 9. Казкові слова вбивства слів
Як тільки слово набуває статусу словника, воно перестає означати все корисне. На жаль, у RSAC було багато таких слів, як усі вживали однакові слова, але ніхто не погодився з цим визначенням. Якщо мова йде про розвідку про загрози, ми говорили про показники компромісу чи говорили про збагачення наявних даних сторонніми джерелами? Що саме ще означає «наступний рід»? На цьому етапі ми повинні бути у наступному наступному поколінні. Як так багато продуктів може передвістити революцію безпеки? Чи індустрія навіть більше знає, що вона перспективна?
Зображення через користувача Flickr Soumyadeep Paul
3 8. Коли тостери, машини та кавомашини атакують
Цього року Інтернет речей прокрався на конференцію RSA, і всі стурбовані перспективою їх забезпечення. Ключовий випадок - досить важко - полягає в тому, що ми ще не готові забезпечити всі наші пристрої, будь то побутова техніка, медичні пристрої чи автомобілі. Незважаючи на це, деякі не були все, що стосувалося, заявляючи, що злочинці, швидше за все, не намагаються дистанційно керувати або розбивати пов'язаний автомобіль. Більш імовірно, що злочинці підуть "вище за течію", щоб скомпрометувати сервери, які використовують речі - наприклад, сервери OnStar для автомобілів - і монетизують їх.
Інтернет речей, без сумніву, з'являється все більше і більше, коли все більше пристроїв підключаються. На хвилі Heartbleed, дослідників хвилювали не лише сервери, а будь-які та всі підключені пристрої.
4 7. Зашифруйте все
Відповідь усіх про те, як поліпшити безпеку, особливо мобільну безпеку, - це шифрування, шифрування, шифрування. Мобільні додатки переміщують величезну кількість інформації по Інтернету, і багато розробників вирішують не шифрувати ці транзакції, даючи зловмисникам та національним державам багато на що подивитися. Знову звернувшись до АНБ, КТ Co3 Брюс Шнейер заявив, що агентство, ймовірно, порушило певну форму шифрування, але не може обробити величезну кількість зашифрованих даних. Він сказав, що велика кількість незашифрованої інформації, що летить навколо, просто робить це занадто простою для всіх, хто хоче зібрати дані. Ще в лютому стурбованість шифруванням ґрунтувалася на створених NSA вразливості та проблемах з SSL Apple. Анонс Heartbleed - це тверезо нагадування про те, що навіть найкращі інструменти, які ми маємо, ще не є ідеальними.
Зображення через анонімний обліковий запис користувача Flickr
6 5. Мобільний AV не працює
Поки він відзначав спільноту безпеки, працюючи з Android і в межах Android, щоб покращити її, провідний інженер Google з питань безпеки Android дотепер неясно бачив мобільну безпеку. Він зазначив, що метою Google є забезпечення спокійної, невидимої безпеки та запропонував охоронним компаніям більше привернути увагу та збільшити продажі. Генеральний директор viaForensics і співзасновник Ендрю Хуг також взяли на озброєння традиційні моделі безпеки на мобільних пристроях. Він зазначив, що пісочниця додатків у мобільних операційних системах виконує хорошу роботу із забезпечення додатків, але також обмежує можливість додатків безпеки боротися із загрозами. Його рішення? Надайте розробникам безпеки доступ до root права.
Я не згоден з жодною позицією, але зростаючі загрози для мобільних пристроїв вимагають нових способів захисту пристроїв. Захист від шкідливих додатків недостатній, і хоча компанії, що охороняють інструменти, додають до своїх мобільних додатків, корисні, їх назавжди не вистачить.
Зображення через користувача Flickr Тіаго А. Перейра
7 4. Безпека в сидінні водія
Ми багато говоримо про те, як безпека повинна бути частиною ДНК організації, і як команди безпеки не можуть просто реагувати на кризи або в режимі пожеж весь час. Загальний консенсус, здається, випереджає загрози, будь то вдосконалення практик безпеки для закриття проспектів нападу або інтеграції з іншими командами, щоб переконатися, що питання безпеки пов'язані з самого початку.
8 3. Нам потрібно більше людей у безпеці
Однією з речей, про які ми постійно чули, було те, як бракує фахівців з безпеки. Компанії, яким традиційно не доводилося думати про безпеку - захищаючи свої дані або переконуючись у безпеці їхньої продукції, зараз борються за те, щоб знайти досвідчених фахівців із безпеки. Урядові установи намагаються залучити найяскравіших хакерів, щоб поповнити свої ряди. Існує розрив у кваліфікаціях, частково тому, що у нас недостатньо людей, що спеціалізуються на галузі безпеки, а також тому, що компанії не дуже добре набирають роботу.
Нам потрібно більше жінок у галузі технологій, зокрема інформаційної безпеки. Сесії в RSAC були зосереджені на створенні структур підтримки, щоб заохотити жінок, зацікавлених у інфосеку, а також висвітлити деякі їх досягнення.
9 2. Пропускні програми гірші, ніж мобільні зловмисні програми
Захист від зловмисного програмного забезпечення продовжує залишатись у центрі уваги багатьох компаній, що займаються мобільною охороною, але це далеко не єдина загроза. Багато присутніх на конференції RSAC припустили, що пропускні програми - тобто додатки, які передають особисті дані користувачів без шифрування або у величезних кількостях - є значно більшою загрозою для користувачів. Для читачів нашого висвітлення понеділка на мобільних пристроях це не повинно стати несподіванкою. Цього року ми з нетерпінням чекаємо нових інструментів, таких як viaProtect, щоб допомогти споживачам побачити, що їх додатки насправді роблять. Це означає, що спостереження за тим, як хтось розривається, змінює та перепаковує додаток Android за п’ять хвилин, - це нагадування про те, що зловмисне програмне забезпечення все ще є проблемою.
Зображення через користувача Flickr Grotuk