Будинки Securitywatch Зошит rsac: понеділок

Зошит rsac: понеділок

Відео: Red Samara Automobile Club - Настоящие Чувства (Листопад 2024)

Відео: Red Samara Automobile Club - Настоящие Чувства (Листопад 2024)
Anonim

Конференція RSA з кожним роком стає все більшою, з тим більше компаній, які збираються, більше демонстрацій технологій для перегляду та більше проникливих сесій. Але одна з головних причин, що я щороку походжу по країні, - це розмови поза межами офіційної межі конференції. Заява про викидання, зроблена за сніданком, коротка розмова передпокою про те, що хтось бачив чи чув, або жвава дискусія на одному з багатьох соціальних подій протягом тижня.

Ось короткий знімок того, як виглядав мій блокнот наприкінці дня в понеділок, 24 лютого.

Зайнятий, зайнятий, зайнятий

Конференція офіційно не розпочинається, поки у вівторок не відкриється головний запис Art Coviello, але навколо Центру Москоне в Сан-Франциско багато людей розмовляють і думають про безпеку. Насправді на виставці спонсорують або виставляють 400 постачальників, понад 500 спікерів та близько 25 000 відвідувачів. Я поняття не маю, де щось більше, і мені потрібно знову вивчати географію RSAC. Можливо, є що сказати для менших, регіональних, більш інтимних шоу.

Кодування безпеки

Проект з безпеки веб-додатків (OWASP) провів безкоштовне заняття з практик безпечного кодування в Джилліані (бар поблизу Москоне), на якому міг відвідувати будь-який учасник RSAC. Сесія була наповнена загальною інформацією про тип веб-загроз, які розробники повинні захищати. Ще краще, що керівники глав Джим Маніко та Еоін Кірі запропонували дуже практичні поради щодо кодування для декількох основних мов та рамок, включаючи Ruby, Java, Cold Fusion та Perl. Цікаво, чи справді бармени звертали увагу на сеанс чи вони просто зосереджені на підтримці течії напоїв.

Автоматизовані сканери можуть допомогти знайти вразливості в коді. Це чудово, правда? Це не обов'язково, оскільки автоматизовані сканери не можуть враховувати бізнес-контекст або завжди обробляти спеціалізовані випадки використання. Переглядаючи код, у вас є хтось інший, який проходить логіку програми та застосовує випадки використання бізнесу. Це враховує недавню вразливість Apple в SSOS в iOS та Mac OS X. Помилка gotofail була помилкою, але огляд коду, можливо, виявив її, перш ніж вона стала потенційною проблемою для користувачів.

З сесії OWASP: "Роботи виявляють відомі невідомі. Люди виявляють невідомі невідомі".

Кращі хакерські фільми

Після того, як Рік Говард, ОГС компанії «Пало Альто Мережі», і я говорив про книги, які повинні читати професіонали інформаційної безпеки, ми перейшли поза темою до фільмів. Говард обговорює цю тему в четвер.

Отже, що є найвищим фільмом із захисту інформації всіх часів?

Голос, зазначає, який фільм є верхнім, має багато спільного з поколінням, з яким людина найбільше ототожнюється. Топ-фільм, на його думку, - Військові ігри . Наступне покоління професіоналів з інсекцій, ймовірно, стверджує, що хакери були найкращими А ті, хто навіть молодший, швидше назвуть фільм « Матриця» . Перебуваючи твердо в таборі хакерів, хоча я люблю військові ігри, "Матриця" здається трохи поза місцем.

З Twitter

Одну з панелей, яку я пропустив, була та, яку модерував Javvad Malik, старший аналітик 451 Research, щодо подолання розриву в навичках кібербезпеки. У Twitter є така дорогоцінний камінь з панелі: Джейн Люта, президент і генеральний директор Ради з питань кібербезпеки, кажучи: "Ми пишемо посадові інструкції, які нереально".

Рекрутери часто скаржаться на розрив кваліфікації, що вони не можуть знайти кандидатів, які відповідають вимогам роботи. Але проблема насправді не у відсутності кваліфікованих претендентів, а у тому, що рекрутери просять навичок, як 15-річний досвід забезпечення Windows 7.

Актуальне питання

Чи звернеться Art Coviello до секретного контракту на суму 10 мільйонів доларів США, який, як стверджується, утримував RSA Security з Агентством національної безпеки у вступному слові у вівторок?

Зошит rsac: понеділок