Video: Webinar: 10 ting du skal vide om persondataforordningen (Oktober 2024)
Sidste uge faldt hele SecurityWatch-teamet ud over RSA-konferencen for at få det nyeste om nye sikkerhedsinnovationer, den nyeste teknologi, og hvad sikkerhedssamfundet virkelig taler om. Da de fleste af jer var tilfredse nok til ikke at tilbringe ugen på en messe, her er vores ti ting, du har brug for at vide om sikkerhed lige nu.
10. RSA og NSA
National Security Agency var på alles tanker på dette års konference, og det har været den største sikkerhedshistorie i det forgangne år. Og selvom RSA-konferencen er en særskilt enhed fra virksomheden RSA Security, var den påståede forbindelse med flere millioner dollars mellem RSA og NSA et hyppigt diskuteret emne. RSA-formand Art Coviello afviste påstandene i sin hovedadresse, men opfordrede til reformer inden for spionagenturet. I skarp kontrast til sidste år tog frygt for Kina plads på bagsiden.
9. Buzzwords Killing Words
Når et ord når status for buzzword, ophører det med at betyde noget nyttigt. Desværre var der masser af ord som det hos RSAC, hvor alle brugte de samme ord, men ingen var enige om definitionen. Når det drejer sig om trusselinformation, talte vi så om indikatorer på kompromis, eller talte vi om at berige eksisterende data med tredjepartskilder? Hvad betyder egentlig "næste-gener" endda længere? På dette tidspunkt skulle vi være næste-næste-gener. Hvordan kan så mange produkter indebære en sikkerhedsrevolution? Ved industrien endda, hvad den lover mere?
8. Når brødristere, biler og kaffemaskiner angriber
Tingenes Internet krøb ind i RSA-konferencen i år, og alle er bekymrede over udsigterne til at sikre dem. Den vigtigste afhentning - ganske foruroligende - er, at vi endnu ikke er klar til at sikre alle vores enheder, hvad enten vi taler om husholdningsapparater, medicinsk udstyr eller biler. Alligevel var nogle ikke så bekymrede og sagde, at kriminelle ikke sandsynligvis ville prøve fjernbetjent kontrol eller nedbrud af en tilsluttet bil. Det ville være mere sandsynligt, at kriminelle vil gå "opstrøms" for at kompromittere servere, der bruger tingene, såsom OnStar-servere til biler, og tjene penge på det.
7. Krypter alt
Svaret fra alle, hvordan man forbedrer sikkerhed - især mobilsikkerhed - var kryptering, kryptering, kryptering. Mobile apps flytter enorme mængder information rundt på Internettet, og mange udviklere vælger ikke at kryptere disse transaktioner, hvilket giver angribere og nationalstater masser at se på. Igen til at vende sig mod NSA, Co3 CTO Bruce Schneier hævdede, at agenturet sandsynligvis har brudt en form for kryptering, men ikke kan behandle enorme mængder krypterede data. Han sagde, at den store mængde ikke-krypterede oplysninger, der flyver rundt, simpelthen gør det for let for alle, der ønsker at lagre data.
6. Der er ingen sølvkugler
Vi brugte meget tid på at tale om præsentationer og enkeltpersoner på RSAC, men vi bør ikke glemme, at begivenheden er et messe, og at showet er fyldt med sælgere, der arbejder for at overbevise købere om, at deres produkt er det bedste. Overraskende, mange sikkerhedsfirmaer skubbede stadig på ideen om sølvkugler - en løsning, der serverer en enkelt løsning for alle dine sikkerhedsproblemer. Dette er lidt overraskende i betragtning af at det forløbne år har vist, at der er adskillige veje til angreb, og at de kan variere afhængigt af, hvem der står bag dem, og hvad de er efter. HPs Senior VP Art Gilliland foreslog, at virksomheder skulle stoppe med at søge efter nye våben og tage en mere holistisk tilgang til sikkerhed. Det vigtigste på hans liste over forbedringer? Invester i enkeltpersoner og forbedrer sikkerhedstræning.
5. Mobile AV fungerer ikke
Mens han fejrede sikkerhedsfællesskabet, der arbejdede med og inden for Android for at gøre det bedre, tog Googles Lead Engineer for Android Security et svagt syn på mobilsikkerheden indtil videre. Han sagde, at Googles mål var at give stille, usynlig sikkerhed og foreslog, at sikkerhedsfirmaer mere handlede om at få opmærksomhed og øge salget. viaForensics administrerende direktør og medstifter Andrew Hoog tog også udgangspunkt i traditionelle sikkerhedsmodeller på mobil. Han påpegede, at app-sandboxing i mobile operativsystemer gør et godt stykke arbejde med at sikre apps, men det begrænser også sikkerhedsapps evne til at håndtere trusler. Hans løsning? Giv sikkerhedsudviklere adgang til rodrettigheder.
Jeg er ikke helt enig i nogen af positionerne, men stigende mobiltrusler kræver nye måder at sikre enheder på. Det er ikke nok at beskytte mod ondsindede apps, og selvom værktøjer, som sikkerhedsfirmaer tilføjer til deres mobilapper, er nyttige, er de ikke nok for evigt.
4. Sikkerhed i førersædet
Vi taler meget om, hvordan sikkerhed skal være en del af organisationens DNA, og hvordan sikkerhedsteam ikke bare kan reagere på kriser eller i brandmandstilstand hele tiden. Den generelle konsensus ser ud til at komme foran truslerne, uanset om det er ved at have bedre sikkerhedspraksis for at lukke angrebsmuligheder eller integrere sig med andre hold for at sikre, at sikkerhedsproblemer overvejes lige fra starten.
3. Vi har brug for flere mennesker i sikkerhed
En af de ting, vi fortsatte med at høre om, var, hvordan der var mangel på sikkerhedsfolk. Virksomheder, der traditionelt ikke skulle tænke på sikkerhed - beskytte deres data eller sørge for, at deres produkter var sikre - kæmper nu for at finde erfarne sikkerhedsfolk. Regeringsorganer forsøger at tiltrække de lyseste hackere for at udfylde deres rækker. Der er en kompetencegap, delvis fordi vi ikke har nok mennesker, der specialiserer sig i sikkerhed, men også fordi virksomheder ikke gør et godt job med at rekruttere.
Vi har brug for flere kvinder inden for teknologi og informationssikkerhed. Møder på RSAC fokuserede på at skabe støttestrukturer for at opmuntre kvinder, der er interesseret i infosec, men også at fremhæve nogle af deres præstationer.
2. Lækrige apps er værre end mobil malware
Forsvar mod malware er fortsat et fokus for mange mobile sikkerhedsfirmaer, men det er langtfra den eneste trussel. Mange deltagere på RSAC-konferencen antydede, at utætte apps - det vil sige apps, der overfører brugernes personlige data uden kryptering eller i enorme mængder - er en langt større trussel for brugerne. For læsere af vores Mobile Threat Mandag-dækning bør dette ikke komme som nogen overraskelse. I år ser vi frem til nye værktøjer som viaProtect for at hjælpe forbrugere med at se, hvad deres apps virkelig laver. Når det er sagt, er det en påmindelse om at se nogen rive i stykker, ændre og pakke en Android-app på fem minutter på, at malware stadig er et problem.
1. Overvågning går ikke væk
Den friskprægede FBI-direktør James Comey gjorde to ting tydelige i sin RSAC 2014-præsentation: FBI har brug for samarbejde fra erhvervslivet for at bekæmpe cybertrusler, men at elektronisk overvågning er her for at blive. På et niveau ved vi alle dette. Vi kan ikke forvente, at spioner og politiet fortsætter med at trykke på telefoner, når de onde kommunikerer med e-mail og andre værktøjer. Som samfund er vi nødt til at acceptere, at digital kommunikation er et mål og måske et legitimt. Tilsvarende understregede paneldeltagere i en fascinerende rundbord af amerikanske efterretningsinsidere, at NSA ikke er et "skurpt bureau", og at enhver anden nationstat udøver elektronisk overvågning. De sagde også, at indenlandske spionage er nødt til at skabe en bedre balance med privatlivets fred, og at folk ikke bør tillade valgte embedsmænd at bruge deres "dækningshistorie" om troværdig fornægtelse for efterretningsoperationer.
Billede via Flickr-bruger Niko Notibär
