Innehållsförteckning:
- 1 10. Bakdörrar i kryptering
- 2 9. Buzzwords Killing Words
- 3 8. När brödrost, bilar och kaffemaskiner attackerar
- 4 7. Kryptera allt
- 5 6. Det finns inga silverkulor
- 6 5. Mobil AV fungerar inte
- 7 4. Säkerhet i förarsätet
- 8 3. Vi behöver fler människor i säkerhet
- 9 2. Läckande appar är värre än mobil skadlig programvara
- 10 1. Övervakningen går inte bort
Video: CREATE YOUR DREAM HOME! 😍 | Home Designer Trailer | Toca Life: World (September 2024)
Det var inte länge sedan att säkerhetsnyheter innebar dunkla sårbarheter och virus som sprider sig över stationära datorer. Men nu är människor överallt oroliga för att smyga regeringsorgan, Heartbleed släpper sin personliga information på webben och ökade mobila hot. Heck, täckningen av Edward Snowdens läckor om National Security Agency: s inhemska spioneringsinsatser nettodelt Pulitzer-priser i år. När våra liv blir mer fokuserade på digitala enheter och Internet, blir fler människor oroliga för säkerhet, och med rätta. Frågan är, vilka är de verkliga frågorna - och vad är bara smaken av månadens hype från mainstream media?
För en solid överblick över vad som verkligen betyder, spola tillbaka till den senaste februari, då tusentals deltagare flockade till San Francisco för RSA-konferensen. Bland dem var skaparna av säkerhetsprodukter och forskarna som har brutit några av de största säkerhetsberättelserna. Det är en av de största sammankomsterna i sitt slag, och idéerna från RSAC kommer att ha en enorm inverkan på digital säkerhet för resten av året.
Snowden och säkerhet
Folk brukade skämta med att den amerikanska regeringen lyssnade på allt som alla sa, men ingen skrattar verkligen av det längre. Den påstådda överenskommelsen mellan National Security Agency och RSA Security kastade en aning över konferensen, som inte längre är direkt kopplad till RSA-företaget.
Överraskande beslutade NSA ännu en gång att ha en närvaro på showgolvet i år. Även om de inte hade gjort det, var det svårt att undvika NSA. Vissa leverantörer delade ut kustfartyg med byråns logotyp på sig, medan andra tog sig till att skriva noter på offentliga whiteboards. En säljare gjorde tydligen invändningar mot att vara belägen nära NSA: s monter, medan en annan tog tillfället i akt att driva slingfilmer om Snowden.
Vissa talare drog sina presentationer i protest och organiserade ett konkurrerande evenemang med en dag som heter Trustycon. Detta var avsett att hjälpa till att öka medvetenheten om integritetsfrågor, även om vissa människor såg det annorlunda.
Kina vem?
Förra året var boogeyman under allas säng Kina. Rädslan bland industrins insiders var statssponserade eller ensamma angripare från Kina som stjal immateriell egendom och antingen säljer den eller gav den till kinesiska konkurrenter. Det fanns också hotet om cyberwar mellan nationerna, vilket blev desto mer verkligt genom fortsatta rapporter om sofistikerade avancerade, vedvarande hot.
Snabbspolning fram till i år och bekymmer är mer mjuka. Talarna nämnde "stöld av immateriell egendom", men såg inte behovet av att säga vem som skulle stå bakom det. När "nationalstat" -attacker nämndes förra året betydde det nästan säkert "Kina" men i år kunde det lätt ha betydd "Amerikas förenta stater."
Tio saker
Utanför dessa stora berättelser fanns det några lovande utvecklingar, ny teknik och beprövade råd hos RSA. Först och främst? Lappa din programvara. Det var också många leverantörer som var intresserade av att flytta förbi lösenord, som vi förhoppningsvis kommer att hända snart. Jag hoppas också att ni alla läser innan nästa års show.
Dessa var några av de stora berättelserna som säkerhetsexperter surrar om, men de är inte de enda. Här är våra topp tio stora idéer som händer i säkerhet just nu.
-
5 6. Det finns inga silverkulor
Vi tillbringade mycket tid på att prata om presentationer och individer på RSAC, men vi bör inte glömma att evenemanget är en mässa och att utställningsgolvet är fullt av leverantörer som arbetar för att övertyga köpare om att deras produkt är bäst. Överraskande visade många säkerhetsföretag fortfarande idén om silverkulor - en enda serveringslösning för alla dina säkerhetsproblem. Detta är lite förvånande med tanke på att det senaste året har visat att det finns många vägar för attacker, och att de kan skilja sig beroende på vem som står bakom dem och vad de är ute efter. HP: s Senior VP Art Gilliland föreslog att företag skulle sluta söka efter nya vapen och ta en mer helhetssyn på säkerheten. Viktigast på hans lista över förbättringar? Investera i individer och förbättra säkerhetsutbildningen. -
10 1. Övervakningen går inte bort
Den nyligen mynta FBI-direktören James Comey klargjorde två saker i sin RSAC 2014-presentation: FBI behöver samarbete från näringslivet för att bekämpa cyberhot, men att elektronisk övervakning är här för att stanna. På en nivå vet vi alla detta. Vi kan inte förvänta oss att spioner och poliser fortsätter att knacka på telefoner när skurkarna kommunicerar med e-post och andra verktyg. Som samhälle måste vi acceptera att digital kommunikation är ett mål och kanske ett legitimt. På samma sätt betonade paneldeltagarna i en fascinerande rundbord av amerikanska underrättelsens insiders att NSA inte är en "skurkbyrå" och att varje annan nationstat deltar i elektronisk övervakning. De sa också att inhemsk spionering måste skapa en bättre balans med integriteten, och att människor inte borde tillåta valda tjänstemän att använda sin "täckhistoria" om sannolik förnöjbarhet för underrättelseaktioner.
1 10. Bakdörrar i kryptering
National Security Agency var på allas sinne på årets konferens, och det har varit den största säkerhetshistorien under det senaste året. Och även om RSA-konferensen är en distinkt enhet från företaget RSA Security, var den påstådda förbindelsen med flera miljoner dollar mellan RSA och NSA ett ofta diskussionsämne. RSA-ordföranden Art Coviello avfärdade anklagelserna i sin huvudadress, men krävde reformer inom spionorganet. I skarp kontrast till förra året tog rädsla för Kina en plats bakom oro för att kryptering kanske inte är så säker som vi trodde.
2 9. Buzzwords Killing Words
När ett ord har uppnått statusen för sista ord upphör det att betyda något användbart. Tyvärr fanns det massor av ord som det på RSAC, där alla använde samma ord, men ingen var överens om definitionen. När det gäller hotinformation, pratade vi om indikatorer på kompromiss, eller talade vi om att berika befintlig information med tredjepartskällor? Vad betyder egentligen "nästa gen" ens längre? Vid denna punkt borde vi vara nästa-nästa-gen. Hur kan så många produkter förklara en säkerhetsrevolution? Vet branschen till och med vad den lovar längre?Bild via Flickr-användaren Soumyadeep Paul
3 8. När brödrost, bilar och kaffemaskiner attackerar
Tingen Internet kröp in i RSA-konferensen i år och alla är oroliga över utsikterna att säkra dem. Den viktigaste uttagningen - ganska olyckligt - är att vi ännu inte är redo att säkra alla våra enheter, oavsett om det är hushållsapparater, medicintekniska produkter eller bilar. Trots det var vissa inte så berörda och sa att brottslingar inte troligt skulle försöka fjärrkontrollera eller krascha en ansluten bil. Det är mer troligt att kriminella skulle gå "uppströms" för att kompromissa med servrar som använder saker - som OnStar-servrar för bilar - och tjäna pengar på dessa.Tingenes Internet kommer utan tvekan att växa upp mer och mer när fler enheter ansluts. I kölvattnet av Heartbleed var forskarna inte bara oroliga för servrar utan alla anslutna enheter.
4 7. Kryptera allt
Svaret från alla på hur man kan förbättra säkerheten - särskilt mobilsäkerhet - var kryptering, kryptering, kryptering. Mobilappar flyttar enorma mängder information runt internet, och många utvecklare väljer att inte kryptera dessa transaktioner, vilket ger angripare och nationalstater mycket att titta på. Återigen vänder sig till NSA, Co3 CTO Bruce Schneier hävdade att byrån antagligen har brutit någon form av kryptering men inte kan behandla enorma mängder krypterad data. Han sa att den stora mängden okrypterad information som flyger runt helt enkelt gör det för lätt för alla som vill lagra data. Tillbaka i februari baserade sig bekymmer på kryptering kring NSA-skapade sårbarheter och Apples SSL-problem. Tillkännagivandet av Heartbleed är en nykterande påminnelse om att även de bästa verktygen vi har fortfarande inte är perfekta.Bild via Flickr-användarens anonyma konto
6 5. Mobil AV fungerar inte
Medan han firade säkerhetsgemenskapen som arbetade med och inom Android för att göra det bättre, tog Googles Lead Engineer för Android Security en svag bild av mobilsäkerhet hittills. Han sa att Googles mål var att ge tyst, osynlig säkerhet och föreslog att säkerhetsföretag handlade mer om att uppmärksamma och öka försäljningen. viaForensics VD och medgrundare Andrew Hoog tog också upp traditionella säkerhetsmodeller på mobilen. Han påpekade att app-sandboxning i mobila operativsystem gör ett bra jobb med att säkra appar men det begränsar också säkerhetsapps förmåga att hantera hot. Hans lösning? Ge säkerhetsutvecklare tillgång till root-privilegier.Jag håller inte helt med någon av positionerna, men ökande mobilhot kräver nya sätt att säkra enheter. Att skydda mot skadliga appar är inte tillräckligt, och även om verktygen säkerhetsföretag lägger till sina mobilappar är användbara, kommer de inte att vara tillräckligt för alltid.
Bild via Flickr-användaren Tiago A. Pereira
7 4. Säkerhet i förarsätet
Vi pratar mycket om hur säkerhet måste vara en del av organisationens DNA, och hur säkerhetsteam inte bara kan reagera på kriser eller i brandbekämpningsläge hela tiden. Den allmänna konsensus verkar komma före hoten, oavsett om det är genom att ha bättre säkerhetspraxis för att stänga möjligheter att attackera eller integrera med andra team för att se till att säkerhetsproblem övervägs redan från början.
8 3. Vi behöver fler människor i säkerhet
En av de saker som vi fortsatte att höra om var hur det var brist på säkerhetspersonal. Företag som traditionellt inte behövde tänka på säkerhet - skydda deras data eller se till att deras produkter var säkra - kämpar nu för att hitta erfarna säkerhetspersonal. Statliga myndigheter försöker locka de ljusaste hackarna för att fylla sina led. Det finns ett kompetensgap, delvis för att vi inte har tillräckligt med människor som specialiserat sig på säkerhet, men också för att företag inte gör ett bra jobb att rekrytera.Vi behöver i synnerhet fler kvinnor inom teknik och informationssäkerhet. Sessioner på RSAC fokuserade på att skapa stödstrukturer för att uppmuntra kvinnor som är intresserade av infosec, men också för att lyfta fram några av deras prestationer.
9 2. Läckande appar är värre än mobil skadlig programvara
Att försvara mot skadlig kod fortsätter att vara ett fokus för många mobila säkerhetsföretag, men det är överlägset inte det enda hotet. Många deltagare på RSAC-konferensen föreslog att läckande appar - det vill säga appar som överför användarnas personuppgifter utan kryptering eller i enorma mängder - är ett mycket större hot för användarna. För läsarna av vår Mobile Threat måndagstäckning borde detta inte bli någon överraskning. I år ser vi fram emot nya verktyg som viaProtect för att hjälpa konsumenterna se vad deras appar egentligen gör. Som sagt, att se någon riva isär, ändra och packa om en Android-app på fem minuter är en påminnelse om att skadlig programvara fortfarande är ett problem.Bild via Flickr-användaren Grotuk
