10 saker du behöver veta om digital säkerhet

Förra veckan gick hela SecurityWatch-teamet ut över RSA-konferensen för att få det senaste om nya säkerhetsinnovationer, den senaste tekniken och vad säkerhetsgemenskapen verkligen talar om. Eftersom de flesta av er var tillräckliga för att inte tillbringa veckan på en mässa, här är våra tio saker du behöver veta om säkerhet just nu.

10. RSA och NSA

National Security Agency var på allas sinne på årets konferens, och det har varit den största säkerhetshistorien under det senaste året. Och även om RSA-konferensen är en distinkt enhet från företaget RSA Security, var den påstådda förbindelsen med flera miljoner dollar mellan RSA och NSA ett ofta diskussionsämne. RSA-ordföranden Art Coviello avfärdade anklagelserna i sin huvudadress, men krävde reformer inom spionorganet. I skräck kontrast till förra året tog rädsla för Kina tillbaka plats.

9. Buzzwords Killing Words

När ett ord har uppnått statusen för sista ord upphör det att betyda något användbart. Tyvärr fanns det massor av ord som det på RSAC, där alla använde samma ord, men ingen var överens om definitionen. När det gäller hotinformation, pratade vi om indikatorer på kompromiss, eller talade vi om att berika befintlig information med tredjepartskällor? Vad betyder egentligen "nästa gen" ens längre? Vid denna punkt borde vi vara nästa-nästa-gen. Hur kan så många produkter förklara en säkerhetsrevolution? Vet branschen till och med vad den lovar längre?

8. När brödrostar, bilar och kaffemaskiner attackerar

Tingen Internet kröp in i RSA-konferensen i år och alla är oroliga över utsikterna att säkra dem. Den viktigaste uttagningen - ganska oroande - är att vi ännu inte är redo att säkra alla våra enheter, oavsett om vi talar om hushållsapparater, medicintekniska apparater eller bilar. Trots det var vissa inte så berörda och sa att brottslingar inte troligt skulle försöka fjärrkontrollera eller krascha en ansluten bil. Det är mer troligt att kriminella skulle gå "uppströms" för att kompromissa servrar som använder saker, till exempel OnStar-servrar för bilar, och tjäna pengar på det.

7. Kryptera allt

Svaret från alla på hur man kan förbättra säkerheten - särskilt mobilsäkerhet - var kryptering, kryptering, kryptering. Mobilappar flyttar enorma mängder information runt internet, och många utvecklare väljer att inte kryptera dessa transaktioner, vilket ger angripare och nationalstater mycket att titta på. Återigen vänder sig till NSA, Co3 CTO Bruce Schneier hävdade att byrån antagligen har brutit någon form av kryptering men inte kan behandla enorma mängder krypterad data. Han sa att den stora mängden okrypterad information som flyger runt helt enkelt gör det för lätt för alla som vill lagra data.

6. Det finns inga silverkulor

Vi tillbringade mycket tid på att prata om presentationer och individer på RSAC, men vi bör inte glömma att evenemanget är en mässa och att utställningsgolvet är fullt av leverantörer som arbetar för att övertyga köpare om att deras produkt är bäst. Överraskande visade många säkerhetsföretag fortfarande idén om silverkulor - en enda serveringslösning för alla dina säkerhetsproblem. Detta är lite förvånande med tanke på att det senaste året har visat att det finns många vägar för attacker, och att de kan skilja sig beroende på vem som står bakom dem och vad de är ute efter. HP: s Senior VP Art Gilliland föreslog att företag skulle sluta söka efter nya vapen och ta en mer helhetssyn på säkerheten. Viktigast på hans lista över förbättringar? Investera i individer och förbättra säkerhetsutbildningen.

5. Mobil AV fungerar inte

Medan han firade säkerhetsgemenskapen som arbetade med och inom Android för att göra det bättre, tog Googles Lead Engineer för Android Security en svag bild av mobilsäkerhet hittills. Han sa att Googles mål var att ge tyst, osynlig säkerhet och föreslog att säkerhetsföretag handlade mer om att uppmärksamma och öka försäljningen. viaForensics VD och medgrundare Andrew Hoog tog också upp traditionella säkerhetsmodeller på mobilen. Han påpekade att app-sandboxning i mobila operativsystem gör ett bra jobb med att säkra appar men det begränsar också säkerhetsapps förmåga att hantera hot. Hans lösning? Ge säkerhetsutvecklare tillgång till root-privilegier.

Jag håller inte helt med någon av positionerna, men ökande mobilhot kräver nya sätt att säkra enheter. Att skydda mot skadliga appar är inte tillräckligt, och även om verktygen säkerhetsföretag lägger till sina mobilappar är användbara, kommer de inte att vara tillräckligt för alltid.

4. Säkerhet i förarsätet

Vi pratar mycket om hur säkerhet måste vara en del av organisationens DNA, och hur säkerhetsteam inte bara kan reagera på kriser eller i brandbekämpningsläge hela tiden. Den allmänna konsensus verkar komma före hoten, oavsett om det är genom att ha bättre säkerhetspraxis för att stänga möjligheter att attackera eller integrera med andra team för att se till att säkerhetsproblem övervägs redan från början.

3. Vi behöver fler människor i säkerhet

En av de saker som vi fortsatte att höra om var hur det var brist på säkerhetspersonal. Företag som traditionellt inte behövde tänka på säkerhet - skydda deras data eller se till att deras produkter var säkra - kämpar nu för att hitta erfarna säkerhetspersonal. Statliga myndigheter försöker locka de ljusaste hackarna för att fylla sina led. Det finns ett kompetensgap, delvis för att vi inte har tillräckligt med människor som specialiserat sig på säkerhet, men också för att företag inte gör ett bra jobb att rekrytera.

Vi behöver i synnerhet fler kvinnor inom teknik och informationssäkerhet. Sessioner på RSAC fokuserade på att skapa stödstrukturer för att uppmuntra kvinnor som är intresserade av infosec, men också att lyfta fram några av deras prestationer.

2. Läckande appar är sämre än mobil skadlig programvara

Att försvara mot skadlig kod fortsätter att vara ett fokus för många mobila säkerhetsföretag, men det är överlägset inte det enda hotet. Många deltagare på RSAC-konferensen föreslog att läckande appar - det vill säga appar som överför användarnas personuppgifter utan kryptering eller i enorma mängder - är ett mycket större hot för användarna. För läsarna av vår Mobile Threat måndagstäckning borde detta inte bli någon överraskning. I år ser vi fram emot nya verktyg som viaProtect för att hjälpa konsumenterna se vad deras appar egentligen gör. Som sagt, att se någon riva isär, ändra och packa om en Android-app på fem minuter är en påminnelse om att skadlig programvara fortfarande är ett problem.

1. Övervakningen går inte bort

Den nyligen mynta FBI-direktören James Comey klargjorde två saker i sin RSAC 2014-presentation: FBI behöver samarbete från näringslivet för att bekämpa cyberhot, men att elektronisk övervakning är här för att stanna. På en nivå vet vi alla detta. Vi kan inte förvänta oss att spioner och poliser fortsätter att knacka på telefoner när skurkarna kommunicerar med e-post och andra verktyg. Som samhälle måste vi acceptera att digital kommunikation är ett mål och kanske ett legitimt. På samma sätt betonade paneldeltagarna i en fascinerande rundbord av amerikanska underrättelsens insiders att NSA inte är en "skurkbyrå" och att varje annan nationstat deltar i elektronisk övervakning. De sa också att inhemsk spionering måste skapa en bättre balans med integriteten, och att människor inte borde tillåta valda tjänstemän att använda sin "täckhistoria" om sannolik förnöjbarhet för underrättelseaktioner.

Bild via Flickr-användaren Niko Notibär