Відео: Настя и сборник весёлых историй (Листопад 2024)
Минулого тижня ціла команда SecurityWatch розмовляла над конференцією RSA, щоб дізнатись про нові інновації в галузі безпеки, новітні технології та те, про що насправді говорить спільнота безпеки. Оскільки більшість із вас були достатньо здоровими, щоб не провести тиждень на виставці, ось десять речей, які вам потрібно знати про безпеку прямо зараз.
10. РДА та АНБ
Агентство національної безпеки було на увазі всіх на цьогорічній конференції, і це була найбільша історія безпеки минулого року. І хоча конференція RSA відрізняється від компанії RSA Security, передбачувана багатомільйонна зв'язок між RSA та АНБ була частою дискусією. Голова РДА Арт Ков'єлло відхилив звинувачення у своєму виступі, але закликав до проведення реформ у шпигунській агенції. На відміну від минулого року, побоювання з приводу Китаю зайняли місце.
9. Казкові слова вбивства слів
Як тільки слово набуває статусу словника, воно перестає означати все корисне. На жаль, у RSAC було багато таких слів, як усі вживали однакові слова, але ніхто не погодився з цим визначенням. Якщо мова йде про розвідку про загрози, ми говорили про показники компромісу чи говорили про збагачення наявних даних сторонніми джерелами? Що саме ще означає «наступний рід»? На цьому етапі ми повинні бути у наступному наступному поколінні. Як так багато продуктів може передвістити революцію безпеки? Хіба галузь навіть більше не знає, що вона перспективна?
8. Коли нападають тостери, машини та кавові машини
Цього року Інтернет речей прокрався на конференцію RSA, і всі стурбовані перспективою їх забезпечення. Ключовий випадок - досить неприємно - полягає в тому, що ми ще не готові забезпечити всі наші пристрої, будь то мова про побутову техніку, медичні пристрої чи автомобілі. Незважаючи на це, деякі не були все, що стосувалося, заявляючи, що злочинці, швидше за все, не намагаються дистанційно керувати або розбивати пов'язаний автомобіль. Більш ймовірно, що злочинці підуть "вище за течію", щоб компрометувати сервери, які використовують речі, такі як OnStar-сервери для автомобілів, і монетизують це.
7. Зашифруйте все
Відповідь усіх про те, як поліпшити безпеку, особливо мобільну безпеку, - це шифрування, шифрування, шифрування. Мобільні додатки переміщують величезну кількість інформації по Інтернету, і багато розробників вирішують не шифрувати ці транзакції, даючи зловмисникам та національним державам багато на що подивитися. Знову звернувшись до АНБ, КТ Co3 Брюс Шнейер заявив, що агентство, ймовірно, порушило певну форму шифрування, але не може обробити величезну кількість зашифрованих даних. Він сказав, що велика кількість незашифрованої інформації, що летить навколо, просто робить це занадто простою для всіх, хто хоче зібрати дані.
6. Срібних куль немає
Ми витратили багато часу, розмовляючи про презентації та людей на RSAC, але не слід забувати, що подія є виставковою виставкою та що шоу-майданчик переповнений повними постачальниками, які переконують покупців у тому, що їхній товар найкращий. Дивно, але багато охоронних компаній все ще підштовхували ідею про срібні кулі - єдине рішення для будь-яких ваших проблем із безпекою. Це трохи дивно, враховуючи те, що минулий рік продемонстрував, що для атак є численні шляхи, і вони можуть відрізнятися залежно від того, хто за ними стоїть і за чим вони йдуть. Старший представник HP Art Art Gilliland запропонував компаніям припинити пошук нової зброї та скористатися більш цілісним підходом до безпеки. Найголовніше в його списку поліпшень? Інвестуйте в осіб та вдосконалюйте навчання з безпеки.
5. Мобільний AV не працює
Поки він відзначав спільноту безпеки, працюючи з Android і в межах Android, щоб покращити її, провідний інженер Google з питань безпеки Android дотепер неясно бачив мобільну безпеку. Він зазначив, що метою Google є забезпечення спокійної, невидимої безпеки та запропонував охоронним компаніям більше привернути увагу та збільшити продажі. Генеральний директор viaForensics і співзасновник Ендрю Хуг також взяли на озброєння традиційні моделі безпеки на мобільних пристроях. Він зазначив, що пісочниця додатків у мобільних операційних системах виконує хорошу роботу із забезпечення додатків, але також обмежує можливість додатків безпеки боротися із загрозами. Його рішення? Надайте розробникам безпеки доступ до root права.
Я не згоден з жодною позицією, але зростаючі загрози для мобільних пристроїв вимагають нових способів захисту пристроїв. Захист від шкідливих додатків недостатній, і хоча компанії, що охороняють інструменти, додають до своїх мобільних додатків, корисні, їх назавжди не вистачить.
4. Безпека на сидінні водія
Ми багато говоримо про те, як безпека повинна бути частиною ДНК організації, і як команди безпеки не можуть просто реагувати на кризи або в режимі пожеж весь час. Загальний консенсус, здається, випереджає загрози, будь то вдосконалення практик безпеки для закриття проспектів нападу або інтеграції з іншими командами, щоб переконатися, що проблеми з безпекою розглядаються з самого початку.
3. Нам потрібно більше людей у безпеці
Однією з речей, про які ми постійно чули, було те, як бракує фахівців з безпеки. Компанії, яким традиційно не доводилося думати про безпеку - захищаючи свої дані або переконуючись, що їх продукція є безпечною, зараз намагаються знайти досвідчених фахівців із безпеки. Урядові установи намагаються залучити найяскравіших хакерів, щоб поповнити свої ряди. Існує розрив у кваліфікаціях, частково тому, що у нас недостатньо людей, що спеціалізуються на галузі безпеки, а також тому, що компанії не дуже добре набирають роботу.
Нам потрібно більше жінок у галузі технологій, зокрема інформаційної безпеки. Сесії в RSAC були зосереджені на створенні структур підтримки, щоб заохотити жінок, зацікавлених у інфосеку, а також висвітлити деякі їх досягнення.
2. Пропускні програми гірші, ніж мобільні зловмисні програми
Захист від зловмисного програмного забезпечення продовжує залишатись у центрі уваги багатьох компаній, що займаються мобільною охороною, але це далеко не єдина загроза. Багато присутніх на конференції RSAC припустили, що пропускні програми - тобто додатки, які передають особисті дані користувачів без шифрування або у величезних кількостях - є значно більшою загрозою для користувачів. Для читачів нашого висвітлення понеділка на мобільних пристроях це не повинно стати несподіванкою. Цього року ми з нетерпінням чекаємо нових інструментів, таких як viaProtect, щоб допомогти споживачам побачити, що їх додатки насправді роблять. Це означає, що спостереження за тим, як хтось розривається, змінює та перепаковує додаток Android за п’ять хвилин, - це нагадування про те, що зловмисне програмне забезпечення все ще є проблемою.
1. Спостереження не проходить
Свіжовичавлений директор ФБР Джеймс Комі зрозумів дві речі у своїй презентації RSAC 2014: ФБР потребує співпраці бізнесу з метою боротьби з кіберзагрозами, але електронне спостереження тут залишається. На одному рівні ми всі це знаємо. Ми не можемо сподіватися, що шпигуни та поліцейські підтримуватимуть прослуховування телефонів, коли погані хлопці спілкуються електронною поштою та іншими засобами. Як суспільство, ми повинні визнати, що цифровий зв’язок є цільовою, а може бути, і законною. Аналогічно, учасники дискусії на захоплюючому круглому столі інсайдерів американської розвідки підкреслили, що АНБ не є "шахрайським агентством" і що кожна інша національна держава бере участь в електронному спостереженні. Вони також сказали, що внутрішній шпигун повинен досягти кращого балансу з приватним життям, і що люди не повинні дозволяти обраним чиновникам використовувати свою "обкладинку" правдоподібної заперечуваності для розвідувальних дій.
Зображення через користувача Flickr Niko Notibär