RSA-konferensen blir större varje år, med fler företag att träffas, fler teknologidemonstrationer att titta på och mer insiktsfulla sessioner att delta. Men en av de främsta anledningarna till att jag vandrar över hela landet varje år är på grund av konversationerna utanför konferensens formella ramar. Utkastet uttalat över frukosten, den korta korridoren i korridoren om något som någon såg eller hörde eller den livliga debatten vid en av de många sociala evenemangen under veckan.
Här är en snabb bild av hur min anteckningsbok såg ut i slutet av dagen på måndag 24 februari.
Upptagen, upptagen, upptagen
Konferensen startar inte officiellt förrän Art Coviellos öppningsnyckel på tisdag, men det är många som pratar och tänker om säkerhet runt Moscone Center i San Francisco. Det finns faktiskt 400 säljare som sponsrar eller ställer ut på utställningen, mer än 500 högtalare och cirka 25 000 deltagare. Jag har ingen aning om någonting längre och behöver lära igenom RSAC-geografin igen. Kanske finns det något att säga för mindre, regionala, mer intima shower.
Säkerhetskodning
Open Web Application Security Project (OWASP) höll en gratis träningssession om säker kodningspraxis på Jillian's (en bar nära Moscone) som alla RSAC-deltagare kunde delta i. Sessionen var full av allmän information om vilken typ av webbhot som utvecklare behöver försvara sig mot. Ännu bättre erbjöd kapitelledarna Jim Manico och Eoin Keary mycket praktiska kodningstips för flera stora språk och ramverk, inklusive Ruby, Java, Cold Fusion och Perl. Jag undrar om bartendrarna faktiskt uppmärksammade sessionen eller om de bara var fokuserade på att hålla drinkarna flödande.
Automatiserade skannrar kan hjälpa till att hitta sårbarheter i kod. Det är bra, eller hur? Inte nödvändigtvis eftersom automatiserade skannrar inte kan ta hänsyn till affärssammanhang eller alltid hantera specialiserade användningsfall. Med en kodgranskning har du någon annan som går igenom programlogiken och tillämpar fall för affärsanvändning. Det tänker på Apples senaste SSL-sårbarhet i iOS och Mac OS X. Gotofail-felet var ett misstag, men en kodgranskning kan ha tagit det innan det blev ett potentiellt problem för användare.
Från OWASP-sessionen: "Roboter upptäcker kända okända. Människor upptäcker okända okända."
Bästa hackerfilmer
Efter att Rick Howard, CSO för Palo Alto Networks, och jag pratade om böcker som informationssäkerhetspersonal bör läsa, drev vi utanför ämnet till filmer. Howard diskuterar detta ämne på torsdag.
Så, vad är den bästa informationssäkerhetsfilmen genom tiderna?
Vilken film som är toppen har mycket att göra med den generation som personen mest identifierar sig med, sa Howard. Den bästa filmen, när det gäller honom, var War Games . Nästa generation av infosec-proffs skulle troligtvis hävda att hackare var bäst. Och de som är ännu yngre skulle vara mer benägna att namnge en Matrix- film. Att vara fast i Hackers- lägret, även om jag älskar krigsspel , verkar The Matrix lite på sin plats.
Från Twitter
En av panelerna som jag saknade var den som modererades av Javvad Malik, senioranalytikern med 451 Research, om att stänga klyftan inom cybersäkerhet. Twitter har följande pärla från panelen: Jane Lute, VD och koncernchef för Council on Cybersecurity och säger, "Vi skriver jobbbeskrivningar som är orealistiska."
Rekryterare klagar ofta på kompetensgapet, att de inte kan hitta kandidater som passar jobbkraven. Men problemet är egentligen inte bristen på kvalificerade sökande, utan snarare att rekryterare frågar efter färdigheter som 15 års erfarenhet av att säkra Windows 7.
Den brinnande frågan
Kommer Art Coviello att adressera det hemliga kontraktet på 10 miljoner dollar som RSA Security påstås ha haft med National Security Agency i öppningsnyckeln på tisdagen?
