10 suurta ideaa digitaalisesta turvallisuudesta

Ei kauan sitten, että tietoturvauutiset tarkoittivat hämärtäviä haavoittuvuuksia ja viruksia, jotka leviävät pöytätietokoneisiin. Mutta nyt ihmiset kaikkialla ovat huolissaan valtion virastojen nuuskaamisesta, Heartbleedin antamasta henkilökohtaisten tietojensa löysästä Webissä ja kasvavista mobiiliuhkista. Heck, kattavuus Edward Snowdenin vuodoista kansallisen turvallisuusviraston kotimaan vakoojapyrkimyksistä vei Pulitzer-palkinnot tänä vuonna. Kun elämämme keskittyy entistä enemmän digitaalisiin laitteisiin ja Internetiin, yhä useammat ihmiset ovat huolissaan turvallisuudesta, ja perustellusti. Kysymys kuuluu, mitkä ovat todelliset ongelmat - ja mikä on vain kuukauden maun hype yleisestä mediasta?

Saadaksesi vankan yleiskuvan siitä, mikä todella merkitsee, kelaa taaksepäin tähän viime helmikuuhun, jolloin tuhannet osallistujat lentäivät San Franciscoon RSA-konferenssiin. Heidän joukossaan olivat tietoturvatuotteiden luojat ja tutkijat, jotka ovat rikkoneet joitain suurimmista tietoturvatarinoista. Se on yksi suurimmista laatuaan kokoontumisista, ja RSAC: n ideoilla on valtava vaikutus digitaaliseen turvallisuuteen loppuvuoden ajan.

Snowden ja turvallisuus

Ihmisillä oli tapana vitsailla, että Yhdysvaltain hallitus kuunteli kaikkea mitä kaikki sanoivat, mutta kukaan ei enää naura siitä. Kansallisen turvallisuusviraston ja RSA Securityn väitetty kauppa heikensi konferenssia, joka ei enää ole suoraan sidoksissa RSA-yritykseen.

Yllättäen NSA päätti jälleen kerran olla läsnä näyttelykerroksessa tänä vuonna. Vaikka he eivät olisi, NSA: ta oli vaikea välttää. Jotkut myyjät jakoivat lasinaluset, joissa oli viraston logo, kun taas toiset kirjoittivat leikkomerkkejä julkisille tauluille. Yksi myyjä vastusti ilmeisesti sijaintia NSA: n osastolla, kun taas toinen myyjä käytti tilaisuutta juosta silmukkavideoita Snowdenista.

Jotkut puhujat vetivät esitelmänsä vastalauseena ja järjestivät kilpailevan yhden päivän tapahtuman nimeltä Trustycon. Tämän oli tarkoitus auttaa lisäämään tietoisuutta yksityisyyttä koskevista kysymyksistä, vaikka jotkut ihmiset näkivät sen eri tavalla.

Kiina kuka?

Viime vuonna kaikkien sängyn alla oleva koiramies oli Kiina. Teollisuuden sisäpiiriläisten pelko oli Kiinan valtion tukemia tai yksinäisiä hyökkääjiä, jotka varastavat immateriaalioikeuksia ja joko myivät tai antoivat kiinalaisille kilpailijoille. Kansakuntien välinen kybersota oli myös uhka, jonka teki entistä todellisemmaksi jatkuvien raporttien avulla kehittyneistä pitkälle menevistä pysyvistä uhista.

Siirry eteenpäin tänä vuonna ja huolenaiheet ovat lievempiä. Puhujat mainitsivat "immateriaalioikeuksien varkauksia", mutta eivät nähneet tarvetta sanoa kuka sen takana olisi. Kun "kansallisvaltion" hyökkäykset mainittiin viime vuonna, se tarkoitti melkein varmasti "Kiinaa", mutta tänä vuonna se olisi voinut helposti tarkoittaa "Amerikan yhdysvaltoja".

Kymmenen asiaa

Näiden isojen tarinoiden ulkopuolella RSA: lla oli lupaavia kehityksiä, uutta tekniikkaa ja kokeellisia neuvoja. Ennen kaikkea? Korjaa ohjelmisto. Oli myös monia myyjiä, jotka halusivat siirtää salasanoja, mikä toivottavasti nähdään pian. Toivon myös, että luet kaikki lukemisen ennen ensi vuoden näyttelyä.

Nämä olivat joitain suuria tarinoita, joista tietoturva-asiantuntijat kuulevat, mutta ne eivät ole ainoita. Tässä on kymmenen suurinta ideaamme, jotka tapahtuvat turvallisuudessa parhaillaan.

1 10. Takaovi salauksessa

Kansallinen turvallisuusvirasto oli kaikkien mielessä tämän vuoden konferenssissa, ja se on ollut viime vuoden suurin turvallisuustarina. Ja vaikka RSA-konferenssi on erillinen kokonaisuus RSA Security -yrityksestä, väitetty monen miljoonan dollarin yhteys RSA: n ja NSA: n välillä oli usein keskustelunaihe. RSA: n puheenjohtaja Art Coviello hylkäsi väitteet pääpuheenvuorossaan, mutta kehotti uudistamaan vakoojavirastoa. Selvästi toisin kuin viime vuonna, Kiinan pelot saivat takapenkin huolenaiheista, että salaus ei välttämättä olisi niin turvallista kuin luulimme.



2 9. Sanat, jotka tappavat sanat

Kun sana saavuttaa sanat-tilan, se lakkaa merkitsemästä mitään hyödyllistä. Valitettavasti RSAC: lla, jossa kaikki käyttivät samoja sanoja, oli tonni sellaisia ​​sanoja, mutta kukaan ei sopinut määritelmästä. Kun kyse on uhatiedoista, puhuimmeko kompromissin indikaattoreista vai nykyisen tiedon rikastamisesta kolmansien lähteiden kanssa? Mitä tarkalleen ottaen "seuraava sukupolvi" edes tarkoittaa? Tässä vaiheessa meidän pitäisi olla seuraavan sukupolven edustajia. Kuinka niin monet tuotteet voivat julistaa turvallisuusvallankumouksen? Tietääkö teollisuus edes mitä se lupaa?

Kuva Flickrin käyttäjän Soumyadeep Paul kautta



3 8. Kun leivänpaahtimet, autot ja kahvinkeittimet hyökkäävät

Asioiden Internet liittyi RSA-konferenssiin tänä vuonna, ja kaikki ovat huolissaan mahdollisuuksista turvata ne. Tärkein takeaway - melko huolestuttava - on, että emme ole vielä valmiita turvaamaan kaikkia laitteitamme, olivatpa ne sitten kodinkoneita, lääkinnällisiä laitteita tai autoja. Jopa niin, jotkut eivät olleet kaikessa huolissaan, sanoen, että rikolliset eivät todennäköisesti yrittäneet hallita tai kaataa kytkettyä autoa kauko-ohjauksella. Olisi todennäköisempää, että rikolliset menisivät "ylävirtaan" kompromitoimaan palvelimia, jotka käyttävät Asioita - kuten autojen OnStar-palvelimia - ja ansaitsevat ne.

Asioiden Internet tulee epäilemättä kasvamaan yhä enemmän, kun enemmän laitteita kytkeytyy. Heartbleedin jälkeen tutkijat eivät olleet pelkästään huolissaan palvelimista, vaan kaikista liitetyistä laitteista.



4 7. Salaa kaikki

Kaikkien vastaus tietoturvan - etenkin mobiiliturvallisuuden - parantamiseen oli salaus, salaus, salaus. Mobiilisovellukset siirtävät valtavia määriä tietoa Internetin välityksellä, ja monet kehittäjät eivät halua salata näitä tapahtumia, antaen hyökkääjille ja kansallisvaltioille paljon katsottavaa. Jälleen kerran kääntyessään NSA: n puoleen, Co3: n tekninen johtaja Bruce Schneier huomautti, että virasto on todennäköisesti rikkonut jonkinlaisen salauksen, mutta ei pysty käsittelemään valtavia määriä salattua tietoa. Hän sanoi, että pelkät määrät salaamatonta tietoa lentävät yksinkertaisesti tekemällä siitä liian helpon kenellekään, joka haluaa varastoida tietoja. Helmikuussa salausa koskevat huolet perustuivat NSA: n luomiin haavoittuvuuksiin ja Applen SSL-ongelmiin. Heartbleedin ilmoitus on raitistava muistutus siitä, että edes parhaat meillä olevat työkalut eivät ole vielä täydellisiä.

Kuva Flickr-käyttäjän anonyymin tilin kautta

• 5 6. Hopea luoteja ei ole

  Vietimme paljon aikaa puhuessaan esityksistä ja yksilöistä RSAC: lla, mutta ei pidä unohtaa, että tapahtuma on näyttely ja että näyttelytila ​​on täynnä myyjiä, jotka pyrkivät vakuuttamaan ostajia siitä, että heidän tuotteensa on paras ympärillä. Yllättäen monet turvallisuusyritykset ajavat edelleen ajatusta hopealasista - yhden palvelun ratkaisu kaikille ja kaikille turvallisuusongelmillesi. Tämä on vähän yllättävää, kun otetaan huomioon, että kulunut vuosi on osoittanut, että hyökkäyksille on olemassa lukuisia keinoja ja että ne voivat vaihdella riippuen siitä, ketkä ovat heidän takanaan ja mitä seuraavat. HP: n vanhempi johtaja Art Gilliland ehdotti, että yritykset lopettavat uusien aseiden etsimisen ja käyttävät kokonaisvaltaisempaa lähestymistapaa turvallisuuteen. Tärkein hänen parannusluettelossaan? Sijoita investointeihin ja paranna turvallisuuskoulutusta.



6 5. Mobiili-AV ei toimi

Samalla kun hän juhlii Androidin kanssa työskentelevää tietoturvayhteisöä parantamaan sitä, Googlen Android Securityn johtava insinööri otti tähän asti hämärän kuvan mobiiliturvallisuudesta. Hän kertoi, että Googlen tavoitteena oli tarjota hiljainen, näkymätön tietoturva ja ehdotti, että turvayhtiöt pyrkivät kiinnittämään enemmän huomiota ja lisäämään myyntiä. viaForensicsin toimitusjohtaja ja perustaja Andrew Hoog ottivat myös yhteyttä perinteisiin matkaviestinmalleihin. Hän huomautti, että mobiili-käyttöjärjestelmien sovellusten hiekkalaatikko tekee hyvää työtä sovellusten turvaamisessa, mutta se myös rajoittaa tietoturvasovellusten kykyä käsitellä uhkia. Hänen ratkaisunsa? Anna tietoturvakehittäjille pääsy juurioikeuksiin.

En ole täysin samaa mieltä kummastakaan kannasta, mutta kasvavat mobiiliuhat vaativat uusia tapoja turvata laitteet. Suojaaminen haitallisilta sovelluksilta ei riitä, ja vaikka työkalut, joita tietoturvayritykset lisäävät mobiilisovelluksiinsa, ovat hyödyllisiä, ne eivät riitä ikuisesti.

Kuva Flickrin käyttäjän Tiago A. Pereiran kautta



7 4. Kuljettajan istuimen turvallisuus

Puhumme paljon siitä, kuinka turvallisuuden on oltava osa organisaation DNA: ta ja kuinka turvallisuusjoukot eivät voi vain reagoida kriiseihin tai palontorjuntatoimintaan koko ajan. Yleinen yksimielisyys näyttää nousevan uhkien edelle, joko parantamalla turvallisuuskäytäntöjä lopettaaksesi hyökkäystapahtumat tai integroitumalla muihin joukkueisiin varmistaakseen, että turvallisuusongelmia otetaan huomioon alusta alkaen.



8 3. Tarvitsemme lisää ihmisiä turvallisuudessa

Yksi niistä asioista, joista kuulimme jatkuvasti, oli se, kuinka turvallisuusammattilaisista oli pulaa. Yritykset, joiden ei perinteisesti tarvinnut miettiä turvallisuutta - suojata tietojaan tai varmistaa tuotteidensa turvallisuuden - yrittävät nyt löytää kokeneita turvallisuusammattilaisia. Valtion virastot yrittävät houkutella kirkkaimpia hakkereita täyttämään joukkonsa. Osaamisvaje on osittain siksi, että meillä ei ole tarpeeksi turvallisuuteen erikoistuneita ihmisiä, mutta myös siksi, että yritykset eivät tee hyvää työhönottoa.

Tarvitsemme enemmän naisia ​​tekniikan ja erityisesti tietoturvan aloilla. RSAC: n kokouksissa keskityttiin tukemaan rakenteiden luomista naisista, jotka ovat kiinnostuneita infosektoinnista, mutta myös korostamaan joitain heidän saavutuksistaan.



9 2. Leaky-sovellukset ovat pahempaa kuin mobiilihaittaohjelmat

Haittaohjelmien torjuminen on edelleen monien mobiiliturvayritysten painopistealue, mutta se ei ole ylivoimaisesti ainoa uhka. Monet RSAC-konferenssin osallistujat ehdottivat, että vuotavat sovellukset - ts. Sovellukset, jotka lähettävät käyttäjien henkilökohtaisia ​​tietoja ilman salausta tai suuria määriä - ovat huomattavasti suurempi uhka käyttäjille. Mobile Threat Monday -lehden lukijoille tämän ei pitäisi tulla yllätyksenä. Tänä vuonna odotamme uusia työkaluja, kuten viaProtect, jotta kuluttajat näkevät, mitä heidän sovelluksensa todella tekevät. Se, että joku erottaa, muokata ja pakata Android-sovellus viidessä minuutissa on muistutus siitä, että haittaohjelmat ovat edelleen ongelma.

Kuva Flickrin käyttäjän Grotukin kautta

• 10 1. Valvonta ei ole menossa

  Äskettäin verrattu FBI: n johtaja James Comey teki RSAC 2014 -esityksessään kaksi asiaa selväksi: FBI tarvitsee yritystoiminnan yhteistyötä kyberuhkien torjumiseksi, mutta sähköinen valvonta on täällä pysyäkseen. Yhdessä tasolla me kaikki tiedämme tämän. Emme voi odottaa, että vakoojat ja poliisit jatkavat napauttamista puhelimissa, kun pahat pojat kommunikoivat sähköpostin ja muiden työkalujen kanssa. Yhteiskunnana meidän on hyväksyttävä, että digitaalinen viestintä on tavoite ja ehkä laillinen. Samoin mielenkiintoisen Yhdysvaltain tiedustelupalvelun sisäpiiriläisen pyöreän pöydän keskustelulautakunnan edustajat korostivat, että NSA ei ole "epärehellinen virasto" ja että kaikki muut kansallisvaltiot harjoittavat sähköistä valvontaa. He sanoivat myös, että kotimaisen vakoilun on löydettävä parempi tasapaino yksityisyyden kanssa ja että ihmisten ei pitäisi sallia vaaleilla valittujen virkamiesten käyttävän "peitetarinaa" todennäköisestä kieroutumisesta tiedustelutoimiin.