Video: 7 VINKKIÄ TIETOTURVAAN (Lokakuu 2024)
Viime viikolla koko SecurityWatch-tiimi fanisoi RSA-konferenssissa saadakseen uusimmat tiedot uusista tietoturvainnovaatioista, uusimmasta tekniikasta ja siitä, mistä turvallisuusyhteisö todella puhuu. Koska suurin osa teistä oli niin tervettä, etteivät viettäneet viikkoa messuilla, tässä on kymmenen asiaa, jotka sinun on tietävä turvallisuudesta tällä hetkellä.
10. RSA ja NSA
Kansallinen turvallisuusvirasto oli kaikkien mielessä tämän vuoden konferenssissa, ja se on ollut viime vuoden suurin turvallisuustarina. Ja vaikka RSA-konferenssi on erillinen kokonaisuus RSA Security -yrityksestä, väitetty monen miljoonan dollarin yhteys RSA: n ja NSA: n välillä oli usein keskustelunaihe. RSA: n puheenjohtaja Art Coviello hylkäsi väitteet pääpuheenvuorossaan, mutta kehotti uudistamaan vakoojavirastoa. Selvästi toisin kuin viime vuonna, pelot Kiinasta ottivat takapenkin.
9. Sanat, jotka tappavat sanat
Kun sana saavuttaa sanat-tilan, se lakkaa merkitsemästä mitään hyödyllistä. Valitettavasti RSAC: lla, jossa kaikki käyttivät samoja sanoja, oli tonni sellaisia sanoja, mutta kukaan ei sopinut määritelmästä. Kun kyse on uhatiedoista, puhuimmeko kompromissin indikaattoreista vai nykyisen tiedon rikastamisesta kolmansien lähteiden kanssa? Mitä tarkalleen ottaen "seuraava sukupolvi" edes tarkoittaa? Tässä vaiheessa meidän pitäisi olla seuraavan sukupolven edustajia. Kuinka niin monet tuotteet voivat julistaa turvallisuusvallankumouksen? Tietääkö teollisuus edes sitä, mitä se lupaa enää?
8. Kun leivänpaahtimet, autot ja kahvinkeittimet hyökkäävät
Asioiden Internet liittyi RSA-konferenssiin tänä vuonna, ja kaikki ovat huolissaan mahdollisuuksista turvata ne. Tärkein takeaway - melko huolestuttava - on, että emme ole vielä valmiita turvaamaan kaikkia laitteitamme, puhutaanpa kodinkoneista, lääkinnällisistä laitteista tai autoista. Jopa niin, jotkut eivät olleet kaikessa huolissaan, sanoen, että rikolliset eivät todennäköisesti yrittäneet hallita tai kaataa kytkettyä autoa kauko-ohjauksella. Olisi todennäköisempää, että rikolliset menisivät "ylävirtaan" kompromitoidakseen palvelimia, jotka käyttävät Asioita, kuten OnStar-palvelimia autoihin, ja ansaitsevat sen.
7. Salaa kaikki
Kaikkien vastaus tietoturvan - etenkin mobiiliturvallisuuden - parantamiseen oli salaus, salaus, salaus. Mobiilisovellukset siirtävät valtavia määriä tietoa Internetin välityksellä, ja monet kehittäjät eivät halua salata näitä tapahtumia, antaen hyökkääjille ja kansallisvaltioille paljon katsottavaa. Jälleen kerran kääntyessään NSA: n puoleen, Co3: n tekninen johtaja Bruce Schneier huomautti, että virasto on todennäköisesti rikkonut jonkinlaisen salauksen, mutta ei pysty käsittelemään valtavia määriä salattua tietoa. Hän sanoi, että pelkät määrät salaamatonta tietoa lentävät yksinkertaisesti tekemällä siitä liian helpon kenellekään, joka haluaa varastoida tietoja.
6. Hopea luoteja ei ole
Vietimme paljon aikaa puhuessaan esityksistä ja yksilöistä RSAC: lla, mutta ei pidä unohtaa, että tapahtuma on näyttely ja että näyttelytila on täynnä myyjiä, jotka pyrkivät vakuuttamaan ostajia siitä, että heidän tuotteensa on paras ympärillä. Yllättäen monet turvallisuusyritykset ajavat edelleen ajatusta hopealasista - yhden palvelun ratkaisu kaikille ja kaikille turvallisuusongelmillesi. Tämä on vähän yllättävää, kun otetaan huomioon, että kulunut vuosi on osoittanut, että hyökkäyksille on olemassa lukuisia keinoja ja että ne voivat vaihdella riippuen siitä, ketkä ovat heidän takanaan ja mitä seuraavat. HP: n vanhempi johtaja Art Gilliland ehdotti, että yritykset lopettavat uusien aseiden etsimisen ja käyttävät kokonaisvaltaisempaa lähestymistapaa turvallisuuteen. Tärkein hänen parannusluettelossaan? Sijoita investointeihin ja paranna turvallisuuskoulutusta.
5. Mobiili-AV ei toimi
Samalla kun hän juhlii Androidin kanssa työskentelevää tietoturvayhteisöä parantamaan sitä, Googlen Android Securityn johtava insinööri otti tähän asti hämärän kuvan mobiiliturvallisuudesta. Hän kertoi, että Googlen tavoitteena oli tarjota hiljainen, näkymätön tietoturva ja ehdotti, että turvayhtiöt pyrkivät kiinnittämään enemmän huomiota ja lisäämään myyntiä. viaForensicsin toimitusjohtaja ja perustaja Andrew Hoog ottivat myös yhteyttä perinteisiin matkaviestinmalleihin. Hän huomautti, että mobiili-käyttöjärjestelmien sovellusten hiekkalaatikko tekee hyvää työtä sovellusten turvaamisessa, mutta se myös rajoittaa tietoturvasovellusten kykyä käsitellä uhkia. Hänen ratkaisunsa? Anna tietoturvakehittäjille pääsy juurioikeuksiin.
En ole täysin samaa mieltä kummastakaan kannasta, mutta kasvavat mobiiliuhat vaativat uusia tapoja turvata laitteet. Suojaaminen haitallisilta sovelluksilta ei riitä, ja vaikka työkalut, joita tietoturvayritykset lisäävät mobiilisovelluksiinsa, ovat hyödyllisiä, ne eivät riitä ikuisesti.
4. Kuljettajan istuimen turvallisuus
Puhumme paljon siitä, kuinka turvallisuuden on oltava osa organisaation DNA: ta ja kuinka turvallisuusjoukot eivät voi vain reagoida kriiseihin tai palontorjuntatoimintaan koko ajan. Yleinen yksimielisyys näyttää nousevan uhkien edelle, joko parantamalla turvallisuuskäytäntöjä lopettaaksesi hyökkäystapahtumat tai integroitumalla muihin joukkueisiin varmistaakseen, että turvallisuusongelmia otetaan huomioon alusta alkaen.
3. Tarvitsemme enemmän ihmisiä turvallisuudessa
Yksi niistä asioista, joista kuulimme jatkuvasti, oli se, kuinka turvallisuusammattilaisista oli pulaa. Yritykset, joiden ei perinteisesti tarvinnut miettiä tietoturvaa - suojata tietojaan tai varmistaa tuotteidensa turvallisuuden - yrittävät nyt löytää kokeneita turvallisuusammattilaisia. Valtion virastot yrittävät houkutella kirkkaimpia hakkereita täyttämään joukkonsa. Osaamisvaje on osittain siksi, että meillä ei ole tarpeeksi turvallisuuteen erikoistuneita ihmisiä, mutta myös siksi, että yritykset eivät tee hyvää työhönottoa.
Tarvitsemme enemmän naisia tekniikan ja erityisesti tietoturvan aloilla. RSAC: n kokouksissa keskityttiin tukemaan rakenteiden luomista naisista, jotka ovat kiinnostuneita infosektoinnista, mutta myös korostamaan joitain heidän saavutuksistaan.
2. Leaky-sovellukset ovat pahempaa kuin mobiilihaittaohjelmat
Haittaohjelmien torjuminen on edelleen monien mobiiliturvayritysten painopistealue, mutta se ei ole ylivoimaisesti ainoa uhka. Monet RSAC-konferenssin osallistujat ehdottivat, että vuotavat sovellukset - ts. Sovellukset, jotka lähettävät käyttäjien henkilökohtaisia tietoja ilman salausta tai suuria määriä - ovat huomattavasti suurempi uhka käyttäjille. Mobile Threat Monday -lehden lukijoille tämän ei pitäisi tulla yllätyksenä. Tänä vuonna odotamme uusia työkaluja, kuten viaProtect, jotta kuluttajat näkevät, mitä heidän sovelluksensa todella tekevät. Se, että joku erottaa, muokata ja pakata Android-sovellus viidessä minuutissa on muistutus siitä, että haittaohjelmat ovat edelleen ongelma.
1. Valvonta ei ole menossa
Äskettäin verrattu FBI: n johtaja James Comey teki RSAC 2014 -esityksessään kaksi asiaa selväksi: FBI tarvitsee yritystoiminnan yhteistyötä kyberuhkien torjumiseksi, mutta sähköinen valvonta on täällä pysyäkseen. Yhdessä tasolla me kaikki tiedämme tämän. Emme voi odottaa, että vakoojat ja poliisit jatkavat napauttamista puhelimissa, kun pahat pojat kommunikoivat sähköpostin ja muiden työkalujen kanssa. Yhteiskunnana meidän on hyväksyttävä, että digitaalinen viestintä on tavoite ja ehkä laillinen. Samoin mielenkiintoisen Yhdysvaltain tiedustelupalvelun sisäpiiriläisen pyöreän pöydän keskustelulautakunnan edustajat korostivat, että NSA ei ole "epärehellinen virasto" ja että kaikki muut kansallisvaltiot harjoittavat sähköistä valvontaa. He sanoivat myös, että kotimaisen vakoilun on löydettävä parempi tasapaino yksityisyyden kanssa ja että ihmisten ei pitäisi sallia vaaleilla valittujen virkamiesten käyttävän "peitetarinaa" todennäköisestä kieroutumisesta tiedustelutoimiin.
Kuva Flickrin käyttäjän Niko Notibärin kautta
