10 големи идеи в дигиталната сигурност

Не много отдавна новините за сигурност означават неясни уязвимости и вируси, разпространяващи се на настолни компютри. Но сега хората навсякъде се притесняват от подхранването на правителствените агенции, Heartbleed пуска личните си данни в интернет и нарастващите заплахи за мобилни устройства. По дяволите, отразяването на течовете на Едуард Сноудън относно вътрешните усилия на Националната агенция за сигурност шпионира мрежата на Пулицър награди тази година. Тъй като животът ни става все по-фокусиран около дигиталните устройства и Интернет, все повече хора се тревожат за сигурността и с право. Въпросът е какви са истинските проблеми - и какво е само аромат на месечния свръх от масовите медии?

За солиден преглед на това, което наистина има значение, върнете се към миналия февруари, когато хиляди участници се стичаха в Сан Франциско за конференцията на RSA. Сред тях бяха създателите на продукти за сигурност и изследователите, които са нарушили някои от най-големите истории за сигурност. Това е едно от най-големите събирания по рода си, а идеите на RSAC ще имат огромно влияние върху дигиталната сигурност през останалата част от годината.

Snowden и сигурност

Хората се шегуваха, че правителството на САЩ слуша всичко, което всички казват, но никой вече не се смее на това. Предполагаемата сделка между Агенцията за национална сигурност и RSA Security хвърли много усилия над конференцията, която вече не е пряко свързана с компанията RSA.

Изненадващо, НСА реши за пореден път да присъства на шоурума тази година. Дори и да не бяха, беше трудно да се избегне НСА. Някои продавачи раздадоха каботажните кораби с логото на агенцията върху тях, докато други хора се заеха да пишат забележки по снега на публичните дъски. Един продавач явно възрази, че се намира близо до щанда на НСА, докато друг се възползва от възможността да пусне циклични видеоклипове за Snowden.

Някои оратори изнесоха своите презентации в знак на протест и организираха състезателно еднодневно събитие, наречено Trustycon. Това имаше за цел да спомогне за повишаване на осведомеността относно проблемите на личния живот, въпреки че някои хора виждаха това по различен начин.

Китай Кой?

Миналата година бугеджията под леглото на всички беше Китай. Страхът сред инсайдерите в индустрията беше спонсориран от държавата или самотен нападател от Китай, който открадна интелектуалната собственост и или я продаде, или я даде на китайски конкуренти. Съществуваше и заплахата от кибервойна между нациите, станала още по-реална от непрекъснатите доклади за сложни напреднали постоянни заплахи.

Бързо напред към тази година и притесненията са по-смели. Говорителите споменаха „кражба на интелектуална собственост“, но не видяха нуждата да кажат кой ще стои зад нея. Когато миналата година бяха споменати атаките на "национална държава", това почти сигурно означаваше "Китай", но тази година можеше лесно да означава "Съединените американски щати".

Десет неща

Извън тези големи истории в RSA имаше някои обещаващи разработки, нова технология и изпитани съвети. Първо и най-важно? Направете своя софтуер. Имаше и много доставчици, желаещи да преместят минали пароли, които, надяваме се, ще се видят скоро. Също така се надявам всички да прочетете преди шоуто през следващата година.

Това бяха някои от големите истории, по които специалистите по сигурността бръмчат, но те не са единствените. Ето нашите десет големи идеи, които се случват в сигурността в момента.

1 10. Назад в криптиране

Агенцията за национална сигурност беше на вниманието на всички по време на тазгодишната конференция и това беше най-голямата история за сигурността през последната година. И въпреки че Конференцията на RSA е отделна структура от компанията RSA Security, предполагаемата мултимилионна връзка между RSA и NSA беше честа тема на дискусия. Председателят на RSA Art Coviello отхвърли твърденията в своя основен адрес, но призова за реформи в рамките на шпионската агенция. За разлика от миналата година, опасенията за Китай заеха място на опасенията, че криптирането може да не е толкова безопасно, колкото си мислехме.



2 9. Buzzwords Killing Words

След като една дума достигне статус на buzzword, тя престава да означава всичко полезно. За съжаление имаше много думи като тази в RSAC, където всички използваха едни и същи думи, но никой не се съгласи с определението. Що се отнася до разузнавателните данни за заплахите, говорихме ли за индикатори за компромис или говорихме за обогатяване на съществуващите данни с трети източници? Какво точно означава още „следващия род“? На този етап трябва да сме в следващия-следващия ген. Как толкова много продукти могат да предвещават революция в сигурността? Дали индустрията дори знае какво обещава вече?

Изображение чрез потребител на Flickr Soumyadeep Paul



3 8. Когато тостери, коли и кафе машини нападат

Интернет на нещата попадна в конференцията на RSA тази година и всички се притесняват от перспективата да ги осигурят. Ключовият процес - доста притеснително - е, че все още не сме готови да осигурим всички наши устройства, независимо дали са домакински уреди, медицински изделия или автомобили. Въпреки това някои не бяха толкова загрижени, казвайки, че няма вероятност престъпниците да се опитат дистанционно да контролират или да разбият свързан автомобил. По-вероятно е престъпниците да отидат "нагоре", за да компрометират сървъри, които използват нещата - като сървърите на OnStar за автомобили - и да ги осигурят.

Интернет на нещата без съмнение ще се появява все повече и повече, тъй като все повече устройства се свързват. Вследствие на Heartbleed, изследователите не бяха загрижени само за сървъри, а за всички и всички свързани устройства.



4 7. Криптирайте всичко

Отговорът от всички как да се подобри сигурността - особено мобилната сигурност - беше криптиране, криптиране, криптиране. Мобилните приложения придвижват огромно количество информация в интернет и много разработчици решават да не криптират тези транзакции, което дава на нападателите и националните държави достатъчно да гледат. Брюс Шнайер, Co3, Co3, отново се обърна към NSA, заяви, че агенцията вероятно е нарушила някаква форма на криптиране, но не може да обработва огромни количества шифровани данни. Той каза, че огромното количество незашифрована информация, която лети наоколо, просто го прави твърде лесно за всеки, който иска да събере данни. Още през февруари опасенията относно криптирането се основаваха на създадени от NSA уязвимости и проблеми с SSL на Apple. Съобщението за Heartbleed е отрезвяващо напомняне, че дори най-добрите инструменти, които все още имаме, не са перфектни.

Изображение чрез анонимен акаунт на потребител на Flickr

• 5 6. Няма сребърни куршуми

  Прекарахме много време в разговори за презентации и лица в RSAC, но не бива да забравяме, че събитието е търговско изложение и че етажът е пълен с доставчици, които работят, за да убедят купувачите, че техният продукт е най-добрият. Изненадващо, много охранителни компании все още настояват за идеята за сребърни куршуми - еднократно решение за всеки и всичките ви проблеми със сигурността. Това е малко изненадващо, като се има предвид, че миналата година показа, че има много пътища за атаки и че те могат да се различават в зависимост от това кой стои зад тях и какво следват. Старшият вицепрезидент на HP на Gil Artland предложи на компаниите да спрат да търсят нови оръжия и да предприемат по-цялостен подход към сигурността. Най-важното в неговия списък с подобрения? Инвестирайте в отделни лица и подобрете обучението по сигурност.



6 5. Мобилният AV не работи

Докато той отпразнува общността на сигурността, работеща с Android и в рамките на Android, за да го подобри, водещият инженер на Google за Android Security досега замъгляваше мобилната сигурност. Той каза, че целта на Google е да осигури тиха, невидима сигурност и предложи на охранителните компании да насочат повече внимание и да увеличат продажбите. Изпълнителният директор на ViaForensics и съоснователят Andrew Hoog също се спря на традиционните модели за сигурност на мобилни устройства. Той посочи, че пясъчната работа с приложения в мобилните операционни системи върши добра работа при осигуряването на приложения, но също така ограничава възможността на приложенията за сигурност да се справят със заплахите. Неговото решение? Дайте на разработчиците на сигурност достъп до root права.

Не съм съгласен напълно с нито една позиция, но нарастващите заплахи за мобилни устройства изискват нови начини за осигуряване на устройства. Защитата срещу злонамерените приложения не е достатъчна и въпреки че компаниите, които компаниите за сигурност добавят към мобилните си приложения, са полезни, те няма да са достатъчни завинаги.

Изображение чрез потребителя на Flickr Tiago A. Pereira



7 4. Сигурност в мястото на водача

Говорим много за това как сигурността трябва да бъде част от ДНК на организацията и как екипите по сигурността не могат просто да реагират на кризи или в режим на пожар през цялото време. Изглежда, че общият консенсус изпреварва заплахите, независимо дали става въпрос за по-добри практики за сигурност, за да се затворят пътищата за атака или да се интегрират с други екипи, за да се гарантира, че проблемите за сигурността се разглеждат още от самото начало.



8 3. Нуждаем се от повече хора в сигурността

Едно от нещата, за които продължавахме да чуваме, е как има недостиг на професионалисти по сигурността. Компаниите, които по традиция не е трябвало да мислят за сигурността - защита на своите данни или гарантиране, че техните продукти са сигурни - сега се борят да намерят опитни професионалисти в областта на сигурността. Правителствените агенции се опитват да привлекат най-ярките хакери, които да попълнят редиците си. Има разлика в уменията, отчасти защото не разполагаме с достатъчно хора, специализирани в областта на сигурността, но и защото компаниите не вършат добра работа по набирането на персонал.

Нуждаем се от повече жени в областта на технологиите и по-специално информационната сигурност. Сесиите в RSAC се фокусираха върху създаването на структури за подкрепа, за да се насърчат жените, които се интересуват от инфосек, но и да подчертаят някои от техните постижения.



9 2. Пропускливите приложения са по-лоши от мобилния зловреден софтуер

Защитата срещу злонамерен софтуер продължава да е фокус за много компании за мобилна сигурност, но това далеч не е единствената заплаха. Много от присъстващите на конференцията на RSAC предположиха, че пропускливите приложения - тоест приложенията, които предават личните данни на потребителите без криптиране или в огромни количества - са далеч по-голяма заплаха за потребителите. За читателите на нашето покритие в понеделник за мобилни заплахи това не трябва да е изненада. Тази година очакваме нови инструменти като viaProtect, които да помогнат на потребителите да видят какво правят действително техните приложения. Това каза, че гледането на някой, който се разкъсва, променя и преопакова приложение за Android за пет минути, е напомняне, че злонамерен софтуер все още е проблем.

Изображение чрез потребител на Flickr Grotuk

• 10 1. Надзорът не заминава

  Прясно изсеченият директор на ФБР Джеймс Коми изясни две неща в своята презентация на RSAC 2014: ФБР се нуждае от сътрудничество от бизнеса за борба с кибер заплахите, но електронното наблюдение е тук, за да остане. На едно ниво всички знаем това. Не можем да очакваме шпиони и ченгета да поддържат подслушване на телефони, когато лошите хора общуват с имейл и други инструменти. Като общество трябва да приемем, че цифровите комуникации са цел и може би легитимна. По подобен начин участниците в една завладяваща кръгла маса от американски инсайдъри подчертаха, че НСА не е „измамна агенция“ и че всяка друга национална държава се ангажира с електронно наблюдение. Те също така заявиха, че вътрешното шпиониране трябва да постигне по-добър баланс с неприкосновеността на личния живот и че хората не трябва да позволяват на избраните служители да използват своята „прикриваща история“ за правдоподобна отрицателност за разузнавателни операции.