Video: Kripto denarnice #0 (SLO) (November 2024)
Prejšnji teden se je celotna skupina SecurityWatch odpravila na konferenco RSA, da bi dobili najnovejše informacije o novih varnostnih inovacijah, najnovejši tehnologiji in o tem, o čem v resnici govori varnostna skupnost. Ker je bila večina od vas dovolj pametna, da tedna niste preživeli na sejmu, je tukaj deset naših stvari, ki jih morate o varnosti takoj vedeti.
10. RSA in NSA
Agencija za nacionalno varnost je bila v mislih na letošnji konferenci in to je bila največja varnostna zgodba v preteklem letu. In čeprav je konferenca RSA ločena od družbe RSA Security, je bila domnevna večmilijonska povezava med RSA in NSA pogosta tema razprav. Predsednik RSA Art Coviello je v svojem glavnem nagovoru zavrnil obtožbe, a pozval k reformam znotraj vohunske agencije. V nasprotju z lanskim letom so bili strahovi pred Kitajsko zadnji sedeži.
9. Buzzwords Killing Words
Ko beseda doseže status buzzword, preneha pomeniti karkoli koristnega. Na žalost je bilo v RSAC tolik takšnih besed, kjer so vsi uporabljali iste besede, vendar se nihče ni strinjal z definicijo. Ali gre za obveščevalne podatke o grožnjah, ali smo govorili o kazalcih kompromisa ali smo govorili o obogatitvi obstoječih podatkov s tretjimi viri? Kaj natančno sploh pomeni "next-gen"? Na tej točki bi morali biti pri naslednjem naslednjem rodu. Kako lahko toliko izdelkov napoveduje varnostno revolucijo? Ali industrija sploh ve, kaj se obeta?
8. Ko napadejo tosterje, avtomobile in kavne avtomate
Internet stvari se je letos povzpel na konferenco RSA in vsi so zaskrbljeni zaradi možnosti, da bi jih zagotovili. Ključna težava - kar je stisko - je, da še nismo pripravljeni zagotoviti vseh svojih naprav, pa naj gre za gospodinjske aparate, medicinske pripomočke ali avtomobile. Kljub temu nekateri niso bili toliko zaskrbljeni, saj pravijo, da kriminalci ne bi poskušali na daljavo nadzorovati ali zrušiti povezanega avtomobila. Bolj verjetno bi bilo, da bi kriminalci šli "navzgor", da bi ogrozili strežnike, ki uporabljajo Stvari, kot so strežniki OnStar za avtomobile, in to zaslužili.
7. Šifrirajte vse
Odgovor vseh o tem, kako izboljšati varnost - zlasti mobilno varnost - je bilo šifriranje, šifriranje, šifriranje. Mobilne aplikacije prenašajo ogromno količin informacij po internetu in mnogi razvijalci se odločijo, da ne bodo šifrirali teh transakcij, kar bi napadalcem in nacionalnim državam dalo veliko pozornosti. Bruce Schneier, direktor C3 Co3, se je spet obrnil na NSA in zatrdil, da je agencija verjetno kršila neke oblike šifriranja, vendar ne more obdelati ogromnih količin šifriranih podatkov. Dejal je, da velika količina nezakodiranih informacij, ki letijo naokoli, preprosto olajša vsakogar, ki želi shraniti podatke.
6. Ni srebrnih nabojev
Veliko časa smo se pogovarjali o predstavitvah in posameznikih v RSAC, vendar ne smemo pozabiti, da je dogodek sejemski sejem in da je razstavni prostor poln prodajalcev, ki kupce prepričajo, da je njihov izdelek najboljši. Presenetljivo je, da so številna varnostna podjetja še vedno potiskala idejo o srebrnih kroglah - rešitvi za enkratno uporabo za vse vaše varnostne težave. To je nekoliko presenetljivo glede na to, da je preteklo leto pokazalo, da so številni načini za napade in da se lahko razlikujejo glede na to, kdo stoji za njimi in za njimi. HP-jev višji VP Art Gilliland je predlagal, naj podjetja prenehajo iskati novo orožje in se bolj zavzemajo za celovit pristop k varnosti. Najpomembnejše na njegovem seznamu izboljšav? Naložite v posameznike in izboljšajte varnostno usposabljanje.
5. Mobilni AV ne deluje
Medtem ko je slavil varnostno skupnost, ki je sodelovala z Androidom in ga izboljševala, je Googlov glavni inženir za Android Security doslej slabo videl varnost mobilnih naprav. Dejal je, da je cilj Googla zagotoviti tiho, nevidno varnost in predlagal, da se varnostna podjetja bolj posvetijo pozornosti in povečajo prodajo. Direktor viaForensics in soustanovitelj Andrew Hoog se je lotil tudi tradicionalnih varnostnih modelov na mobilnih napravah. Izpostavil je, da peskovništvo z aplikacijami v mobilnih operacijskih sistemih dobro deluje pri varovanju aplikacij, hkrati pa omejuje zmožnost varnostnih aplikacij, da se spoprijemajo z grožnjami. Njegova rešitev? Razvijalcem varnosti omogočite dostop do korenskih pravic.
Z nobenim stališčem se ne strinjam popolnoma, vendar naraščajoče mobilne grožnje zahtevajo nove načine zavarovanja naprav. Zaščita pred zlonamernimi aplikacijami ni dovolj, in čeprav orodja, ki jih varnostna podjetja dodajajo v svoje mobilne aplikacije, so uporabna, ne bodo za vedno dovolj.
4. Varnost v voznikovem sedežu
Veliko govorimo o tem, kako mora biti varnost del DNK organizacije in kako varnostne ekipe ves čas ne morejo samo reagirati na krize ali v načinu gašenja. Zdi se, da je splošno soglasje že pred grožnjami, bodisi z boljšimi varnostnimi praksami, da zaprejo napade napada ali se povežejo z drugimi ekipami, da se prepriča, da bodo pomisleki glede varnosti že od samega začetka.
3. Potrebujemo več ljudi v varnosti
Ena izmed stvari, o kateri smo stalno slišali, je, kako je primanjkovalo varnostnih strokovnjakov. Podjetja, ki jim tradicionalno ni bilo treba razmišljati o varnosti - varovanju svojih podatkov ali zagotavljanju, da so njihovi izdelki varni - se zdaj borijo, da bi našli izkušene varnostne strokovnjake. Vladne agencije poskušajo pritegniti najsvetlejše hekerje, da zapolnijo svoje vrste. Obstaja vrzel v usposobljenosti, deloma tudi zato, ker nimamo dovolj ljudi, specializiranih za varnost, pa tudi zato, ker podjetja ne opravljajo dobrega zaposlovanja.
Potrebujemo več žensk v tehniki in še posebej v informacijski varnosti. Na zasedanjih v RSAC so se osredotočili na oblikovanje podpornih struktur za spodbujanje žensk, ki jih zanima infosec, in tudi na poudarjanje nekaterih njihovih dosežkov.
2. Prepuščene aplikacije so slabše od mobilne zlonamerne programske opreme
Zaščita pred zlonamerno programsko opremo še naprej ostaja v središču pozornosti za številna mobilna varnostna podjetja, vendar to še zdaleč ni edina grožnja. Številni udeleženci na konferenci RSAC so predlagali, da so puščajoče aplikacije - torej aplikacije, ki osebne podatke uporabnikov prenašajo brez šifriranja ali v ogromnih količinah - za uporabnike veliko večje grožnje. Za bralce naše oddaje o mobilnih grožnjah ponedeljek to ne sme presenetiti. Letos se veselimo novih orodij, kot je viaProtect, s pomočjo katerih bodo potrošniki videli, kaj v resnici počnejo njihove aplikacije. Kljub temu je gledanje, kako se nekdo raztrga, spreminja in prepakira aplikacijo za Android v petih minutah, opomnik, da je zlonamerna programska oprema še vedno težava.
1. Nadzor ne mine
Sveže kovani direktor FBI-ja James Comey je v svoji predstavitvi RSAC 2014 razjasnil dve stvari: FBI potrebuje sodelovanje pri poslovanju za boj proti kibernetskim grožnjam, toda elektronski nadzor je tu, da ostane. Na eni ravni to vsi vemo. Ne moremo pričakovati, da bodo vohuni in policaji kar naprej prisluškovali telefonom, ko slabi fantje komunicirajo z e-pošto in drugimi orodji. Kot družba se moramo sprijazniti, da so digitalne komunikacije cilj in morda legitimna. Podobno so strokovnjaki na fascinantni okrogli mizi obveščevalcev ameriških obveščevalcev poudarili, da NSA ni "lopovska agencija" in da se vsa druga nacionalna država ukvarja z elektronskim nadzorom. Povedali so tudi, da mora domače vohunjenje doseči boljše ravnovesje z zasebnostjo in da ljudje ne bi smeli dovoliti, da izvoljeni uradniki uporabijo svojo "naslovnico" verjetne zanikljivosti za obveščevalne operacije.
Slika prek uporabnika Flickr Niko Notibär