RSA-konferencen bliver større for hvert år med flere virksomheder at mødes, flere teknologidemonstrationer at se og flere indsigtsfulde sessioner at deltage i. Men en af de vigtigste grunde til at jeg trækker rundt i landet hvert år er på grund af samtalerne uden for de formelle rammer for konferencen. Den bortkastede erklæring fremsat over morgenmaden, den korte gang i samtalen om noget, som nogen så eller hørte, eller den livlige debat på en af de mange sociale begivenheder i løbet af ugen.
Her er et hurtigt øjebliksbillede af, hvordan min notesbog så ud i slutningen af dagen mandag, den 24. februar.
Travlt, travlt, travlt
Konferencen starter ikke officielt, indtil Art Coviellos åbningskodenote tirsdag, men der er mange mennesker, der taler og tænker på sikkerhed omkring Moscone Center i San Francisco. Der er faktisk 400 sælgere, der sponsorerer eller udstiller på udstillingen, mere end 500 højttalere og omkring 25.000 deltagere. Jeg har ingen idé om, hvor noget mere er, og har brug for at læse RSAC-geografien igen. Der er måske noget at sige til mindre, regionale og mere intime shows.
Sikkerhedskodning
Open Web Application Security Project (OWASP) afholdt en gratis træningssession om sikker kodningspraksis i Jillian's (en bar nær Moscone), som enhver RSAC-deltager kunne deltage i. Sessionen var fyldt med generelle oplysninger om den type webtrusler, som udviklere har brug for at forsvare sig mod. Endnu bedre tilbød kapitellederne Jim Manico og Eoin Keary meget praktiske kodningstips til adskillige større sprog og rammer, herunder Ruby, Java, Cold Fusion og Perl. Jeg spekulerer på, om bartendere faktisk var opmærksomme på sessionen, eller om de bare var fokuseret på at holde drikkevarer flyde.
Automatiske scannere kan hjælpe med at finde sårbarheder i kode. Det er fantastisk, ikke? Ikke nødvendigvis, da automatiserede scannere ikke kan tage forretningssammenhæng i betragtning eller altid håndtere specialiserede brugssager. Med en kodegennemgang har du en anden, der gennemgår programlogikken og anvender sager til forretningsbrug. Det husker Apples nylige SSL-sårbarhed i iOS og Mac OS X. Gotofail-fejlen var en fejl, men en kodegennemgang kunne have fanget den, før den blev et potentielt problem for brugerne.
Fra OWASP-sessionen: "Robotter opdager kendte ukendte. Mennesker opdager ukendte ukendte."
Bedste hacker-film
Efter Rick Howard, CSO for Palo Alto Networks, og jeg talte om bøger, som informationssikkerhedsfolk burde læse, gik vi uden for emnet til film. Howard diskuterer dette emne på torsdag.
Så hvad er tidenes bedste informationssikkerhedsfilm?
Hvilken film der er toppen har meget at gøre med den generation, den person, der mest identificerer sig med, sagde Howard. Den største film, for hans vedkommende, var War Games . Den næste generation af infosec-fagfolk ville sandsynligvis hævde, at hackere var den bedste. Og de endnu yngre ville være mere tilbøjelige til at navngive en Matrix- film. At være fast i Hackers lejren, selvom jeg elsker War Games , virker Matrix lidt ude af sted.
Fra Twitter
Et af de paneler, jeg savnede, var det, der blev modereret af Javvad Malik, senioranalytikeren med 451 Research, om at lukke kløften for cybersikkerhed. Twitter har følgende perle fra panelet: Jane Lute, præsident og administrerende direktør for Council on Cybersecurity, der siger: "Vi skriver jobbeskrivelser, der er urealistiske."
Rekrutterere klager ofte over kvalifikationsgabet, at de ikke kan finde kandidater, der passer til jobkravene. Men problemet er egentlig ikke manglen på kvalificerede ansøgere, men snarere at rekrutterere beder om færdigheder som 15 års erfaring med at sikre Windows 7.
Det brændende spørgsmål
Vil Art Coviello adressere den hemmelige kontrakt på 10 millioner dollars, som RSA Security angiveligt havde haft med det nationale sikkerhedsagentur i åbningskoden på tirsdag?
