10 неща, които трябва да знаете за цифровата сигурност

Миналата седмица целият екип на SecurityWatch се раздели на конференцията на RSA, за да получи най-новото за новите иновации в сигурността, най-новите технологии и това, за което в действителност говори общността за сигурност. Тъй като повечето от вас бяха достатъчно здрави, за да не прекарате седмицата на търговско изложение, ето нашите десет неща, които трябва да знаете за сигурността в момента.

10. RSA и NSA

Агенцията за национална сигурност беше на вниманието на всички по време на тазгодишната конференция и това беше най-голямата история за сигурността през последната година. И въпреки че Конференцията на RSA е отделна структура от компанията RSA Security, предполагаемата мултимилионна връзка между RSA и NSA беше честа тема на дискусия. Председателят на RSA Art Coviello отхвърли твърденията в своя основен адрес, но призова за реформи в рамките на шпионската агенция. За разлика от миналата година страховете за Китай заеха задно място.

9. Buzzwords Killing Words

След като една дума достигне статус на buzzword, тя престава да означава всичко полезно. За съжаление имаше много думи като тази в RSAC, където всички използваха едни и същи думи, но никой не се съгласи с определението. Що се отнася до разузнавателните данни за заплахите, говорихме ли за индикатори за компромис или говорихме за обогатяване на съществуващите данни с трети източници? Какво точно означава още „следващия род“? На този етап трябва да сме в следващия-следващия ген. Как толкова много продукти могат да предвещават революция в сигурността? Дали индустрията дори знае какво обещава вече?

8. Когато тостери, коли и кафе машини нападат

Интернет на нещата попадна в конференцията на RSA тази година и всички се притесняват от перспективата да ги осигурят. Основният проблем - доста притеснително - е, че все още не сме готови да осигурим всички наши устройства, независимо дали говорим за домакински уреди, медицински изделия или автомобили. Въпреки това някои не бяха толкова загрижени, казвайки, че няма вероятност престъпниците да се опитат дистанционно да контролират или да разбият свързан автомобил. По-вероятно е престъпниците да отидат „нагоре по течението“, за да компрометират сървъри, които използват нещата, като OnStar сървъри за автомобили, и да осигурят приходи от това.

7. Криптирайте всичко

Отговорът от всички как да се подобри сигурността - особено мобилната сигурност - беше криптиране, криптиране, криптиране. Мобилните приложения придвижват огромно количество информация в интернет и много разработчици решават да не криптират тези транзакции, което дава на нападателите и националните държави достатъчно да гледат. Брюс Шнайер, Co3, Co3, отново се обърна към NSA, заяви, че агенцията вероятно е нарушила някаква форма на криптиране, но не може да обработва огромни количества шифровани данни. Той каза, че огромното количество незашифрована информация, която лети наоколо, просто го прави твърде лесно за всеки, който иска да събере данни.

6. Няма сребърни куршуми

Прекарахме много време в разговори за презентации и лица в RSAC, но не бива да забравяме, че събитието е търговско изложение и че етажът е пълен с доставчици, които работят, за да убедят купувачите, че техният продукт е най-добрият. Изненадващо, много охранителни компании все още настояват за идеята за сребърни куршуми - еднократно решение за всеки и всичките ви проблеми със сигурността. Това е малко изненадващо, като се има предвид, че миналата година показа, че има много пътища за атаки и че те могат да се различават в зависимост от това кой стои зад тях и какво следват. Старшият вицепрезидент на HP на Gil Artland предложи на компаниите да спрат да търсят нови оръжия и да предприемат по-цялостен подход към сигурността. Най-важното в неговия списък с подобрения? Инвестирайте в отделни лица и подобрете обучението по сигурност.

5. Мобилният AV не работи

Докато той отпразнува общността на сигурността, работеща с Android и в рамките на Android, за да го подобри, водещият инженер на Google за Android Security досега замъгляваше мобилната сигурност. Той каза, че целта на Google е да осигури тиха, невидима сигурност и предложи на охранителните компании да насочат повече внимание и да увеличат продажбите. Изпълнителният директор на ViaForensics и съоснователят Andrew Hoog също се спря на традиционните модели за сигурност на мобилни устройства. Той посочи, че пясъчната работа с приложения в мобилните операционни системи върши добра работа при осигуряването на приложения, но също така ограничава възможността на приложенията за сигурност да се справят със заплахите. Неговото решение? Дайте на разработчиците на сигурност достъп до root права.

Не съм съгласен напълно с нито една позиция, но нарастващите заплахи за мобилни устройства изискват нови начини за осигуряване на устройства. Защитата срещу злонамерените приложения не е достатъчна и въпреки че компаниите, които компаниите за сигурност добавят към мобилните си приложения, са полезни, те няма да са достатъчни завинаги.

4. Сигурност в шофьорското място

Говорим много за това как сигурността трябва да бъде част от ДНК на организацията и как екипите по сигурността не могат просто да реагират на кризи или в режим на пожар през цялото време. Изглежда, че общият консенсус изпреварва заплахите, независимо дали става въпрос за по-добри практики за сигурност, за да се затворят пътищата за атака или да се интегрират с други екипи, за да се гарантира, че проблемите за сигурността се разглеждат още от самото начало.

3. Нуждаем се от повече хора в сигурността

Едно от нещата, за които продължавахме да чуваме, е как има недостиг на специалисти по сигурността. Компаниите, които традиционно не е трябвало да мислят за сигурност - защита на своите данни или гарантиране, че техните продукти са сигурни - сега се борят да намерят опитни професионалисти в областта на сигурността. Правителствените агенции се опитват да привлекат най-ярките хакери, които да попълнят редиците си. Има разлика в уменията, отчасти защото не разполагаме с достатъчно хора, специализирани в областта на сигурността, но и защото компаниите не вършат добра работа по набирането на персонал.

Нуждаем се от повече жени в областта на технологиите и по-специално информационната сигурност. Сесиите в RSAC се фокусираха върху създаването на структури за подкрепа, които да насърчават жените, които се интересуват от инфосек, но и да подчертаят някои от техните постижения.

2. Утечките приложения са по-лоши от мобилния зловреден софтуер

Защитата срещу злонамерен софтуер продължава да е фокус за много компании за мобилна сигурност, но това далеч не е единствената заплаха. Много от присъстващите на конференцията на RSAC предположиха, че пропускливите приложения - тоест приложенията, които предават личните данни на потребителите без криптиране или в огромни количества - са далеч по-голяма заплаха за потребителите. За читателите на нашето покритие в понеделник за мобилни заплахи това не трябва да е изненада. Тази година очакваме нови инструменти като viaProtect, които да помогнат на потребителите да видят какво правят действително техните приложения. Това каза, че гледането на някой, който се разкъсва, променя и преопакова приложение за Android за пет минути, е напомняне, че злонамерен софтуер все още е проблем.

1. Надзорът не заминава

Прясно изсеченият директор на ФБР Джеймс Коми изясни две неща в своята презентация на RSAC 2014: ФБР се нуждае от сътрудничество от бизнеса за борба с кибер заплахите, но електронното наблюдение е тук, за да остане. На едно ниво всички знаем това. Не можем да очакваме шпиони и ченгета да поддържат подслушване на телефони, когато лошите хора общуват с имейл и други инструменти. Като общество трябва да приемем, че цифровите комуникации са цел и може би легитимна. По подобен начин участниците в една завладяваща кръгла маса от американски инсайдъри подчертаха, че НСА не е „измамна агенция“ и че всяка друга национална държава се ангажира с електронно наблюдение. Те също така заявиха, че вътрешното шпиониране трябва да постигне по-добър баланс с неприкосновеността на личния живот и че хората не трябва да позволяват на избраните служители да използват своята „прикриваща история“ за правдоподобна отрицателност за разузнавателни операции.

Изображение чрез потребителя на Flickr Niko Notibär