10 velikih ideja u digitalnoj sigurnosti

Ne tako davno vijesti o sigurnosti značile su nejasne ranjivosti i viruse koji se šire preko stolnih računala. Ali sada su ljudi svugdje zabrinuti zbog saslušavanja vladinih agencija, Heartbleed puštanjem svojih osobnih podataka na Internet i rastućim mobilnim prijetnjama. K vragu, pokrivenost Edwarda Snowdena puštala je podatke o domaćim špijunskim naporima Nacionalne agencije za zaštitu ove godine koji su priskrbili Pulitzerove nagrade. Kako se naši životi više fokusiraju oko digitalnih uređaja i interneta, više ljudi se brine o sigurnosti, i to s pravom. Pitanje je koja su prava pitanja - i što je samo hype od mjeseca koji dopire iz glavnih medija?

Da biste dobili jasan pregled onoga što je doista važno, vratite se na prošlu veljaču, kada je na tisuće sudionika doputovalo u San Francisco na konferenciju RSA. Među njima su bili kreatori sigurnosnih proizvoda i istraživači koji su razbili neke od najvećih sigurnosnih priča. Riječ je o jednom od najvećih takvih skupova, a ideje RSAC-a imat će ogroman utjecaj na digitalnu sigurnost za ostatak godine.

Snowden i sigurnost

Ljudi su se šalili da američka vlada sluša sve što svi kažu, ali nitko se više ne smije zbog toga. Navodni dogovor između Agencije za nacionalnu sigurnost i RSA Security doveo je do sukoba na konferenciji koja više nije izravno povezana sa kompanijom RSA.

Iznenađujuće, NSA je još jednom odlučila biti prisutna na izložbenom podiju ove godine. Čak i da nisu, bilo je teško izbjeći NSA. Neki su dobavljači dijelili podmornice s logotipom agencije na njima, dok su drugi ljudi napisali snajperske primjedbe na javnim tablama. Očito je jedan prodavač prigovorio da se nalazi u blizini kabineta NSA-e, dok je drugi iskoristio priliku za puštanje petlja o videozapisima o Snowdenu.

Neki su govornici izvukli svoja izlaganja u znak protesta i organizirali natjecateljski jednodnevni događaj pod nazivom Trustycon. To je trebalo pomoći povećanju svijesti o problemima privatnosti, iako su neki ljudi vidjeli drugačije.

Kina Tko?

Prošle godine, plijen ispod kreveta svih ljudi bila je Kina. Strah među insajderima bili su sponzorirani od strane države ili usamljeni napadači iz Kine koji su krali intelektualno vlasništvo i prodavali ga ili dali kineskim konkurentima. Postojala je i prijetnja cyber rata među narodima, što je postalo sve stvarnijim stalnim izvještajima o sofisticiranim naprednim upornim prijetnjama.

Brzo naprijed u ovu godinu i zabrinutosti su više blage. Govornici su spomenuli "krađu intelektualnog vlasništva", ali nisu vidjeli potrebe da kažu tko će biti iza toga. Kada su se spominjali napadi "nacionalne države" prošle godine, to je gotovo sigurno značilo "Kinu", ali ove godine je to lako moglo značiti "Sjedinjene Države".

Deset stvari

Izvan ovih velikih priča bilo je nekih obećavajućih razvoja, nove tehnologije i oprobanih savjeta na RSA-i. Prije svega? Patch vašeg softvera. Bilo je i mnogih dobavljača koji su željeli prenijeti prošle lozinke, za koje se nadamo da će se uskoro dogoditi. Također, nadam se da ćete svi čitati prije emisije sljedeće godine.

Ovo su neke od velikih priča o kojima se zaljubljuju sigurnosni stručnjaci, ali nisu jedine. Evo naših deset najboljih ideja koje se trenutno događaju u sigurnosti.

1 10. Natrag u šifriranje

Agencija za nacionalnu sigurnost bila je svatko na umu na ovogodišnjoj konferenciji i to je bila najveća sigurnosna priča u protekloj godini. Iako je RSA konferencija poseban subjekt od tvrtke RSA Security, navodna višemilionska veza između RSA i NSA bila je česta tema razgovora. Predsjedavajući RSA Art Coviello u svom je glavnom obraćanju odbacio navode, ali pozvao na reforme u okviru špijunske agencije. U suprotnosti s prošlom godinom, strahovi zbog Kine povukli su nasuprot zabrinutostima da šifriranje možda neće biti tako sigurno kao što smo mislili.



2 9. Buzzwords Killing Words

Nakon što riječ dosegne status buzzword, ona prestaje značiti sve korisno. Nažalost, bilo je tona riječi poput one na RSAC-u, gdje su svi koristili iste riječi, ali nitko se nije složio s definicijom. Kada je riječ o obavještajnim podacima o prijetnjama, govorili smo o pokazateljima kompromisa ili smo govorili o obogaćivanju postojećih podataka trećim izvorima? Što točno uopće znači "next-gen"? U ovom trenutku, trebali bismo biti sljedeće generacije. Kako toliko proizvoda može navesti sigurnosnu revoluciju? Zna li industrija uopće što više obećava?

Slika putem korisnika Flickr Soumyadeep Paul



3 8. Kada napadnu tostere, automobile i kava

Internet stvari se uvukao u RSA konferenciju ove godine i svi su zabrinuti zbog mogućnosti da ih se osigura. Ključni korak - prilično uznemirujuće - jest to što još nismo spremni osigurati sve svoje uređaje, bilo da su to kućanski aparati, medicinski uređaji ili automobili. Unatoč tome, neki nisu bili zabrinuti, rekavši da kriminalci neće vjerojatno pokušati daljinski upravljati ili srušiti povezani automobil. Bilo bi vjerojatnije da će kriminalci ići "uzvodno" da kompromitiraju poslužitelje koji koriste stvari - poput OnStar poslužitelja za automobile - i unovče ih.

Internet stvari bez sumnje će se pojavljivati ​​sve više i više kako se više uređaja povezuje. U jeku Heartbleeda, istraživači nisu bili zabrinuti samo za poslužitelje, već za sve povezane uređaje.



4 7. Šifrirajte sve

Odgovor svih o tome kako poboljšati sigurnost - posebno sigurnost mobilnih uređaja - bila je enkripcija, enkripcija, enkripcija. Mobilne aplikacije prebacuju ogromne količine informacija diljem Interneta, a mnogi programeri odlučuju ne kriptirati te transakcije, što napadačima i nacionalnim državama daje puno pogleda. Bruce Schneier, C3 službenika Co3, ponovno se obratio NSA-i, izjavio je kako je agencija vjerojatno prekršila neki oblik šifriranja, ali ne može obraditi ogromne količine šifriranih podataka. Rekao je da sama količina nekodiranih informacija koje lete uokolo jednostavno čini previše jednostavnim za one koji žele prikupiti podatke. U veljači su se zabrinutosti oko šifriranja temeljile na ranjivosti koje stvaraju NSA i Apple-ove SSL probleme. Najava Heartbleeda je otrežnjujući podsjetnik da čak ni najbolji alati koje još imamo nisu savršeni.

Slika putem anonimnog računa korisnika Flickr

• 5 6. Nema srebrnih metaka

  Proveli smo dosta vremena razgovarajući o prezentacijama i pojedincima na RSAC-u, ali ne treba zaboraviti da je događaj sajamski salon i da je izložbeni podrum prepun prodavača koji rade kako bi uvjerili kupce da je njihov proizvod najbolji. Iznenađujuće je što su mnoge zaštitarske tvrtke još uvijek gurale ideju o srebrnim metcima - rješenjem za jednu uslugu za sve i sve vaše sigurnosne probleme. Ovo je malo iznenađujuće s obzirom na to da je protekla godina pokazala da postoje brojni načini za napade i da se oni mogu razlikovati ovisno o tome tko je iza njih i što slijede. HP-ov stariji VP Art Gilliland predložio je da kompanije prestanu tražiti novo oružje i prikupe cjelovitiji pristup sigurnosti. Najvažnija na njegovom popisu poboljšanja? Uložite u pojedince i poboljšajte sigurnosnu obuku.



6 5. Mobilni AV ne radi

Dok je slavio sigurnosnu zajednicu radeći s Androidom i u njemu kako bi ga poboljšao, Googleov vodeći inženjer za Android Security dosad je nejasno gledao na sigurnost mobilnih uređaja. Rekao je da je Googleov cilj pružiti tihu, nevidljivu sigurnost i sugerirao da zaštitarske kompanije više privuku pažnju i povećaju prodaju. Izvršni direktor viaForensics i suosnivač Andrew Hoog također su pokrenuli tradicionalne sigurnosne modele na mobilnim uređajima. Istaknuo je da sigurnosni program s peskom u mobilnim operativnim sustavima čini dobar posao osiguranja aplikacija, ali također ograničava sposobnost sigurnosnih aplikacija da se bave prijetnjama. Njegovo rješenje? Dajte programerima sigurnosti pristup korijenskim povlasticama.

Ne slažem se u potpunosti s bilo kojom pozicijom, ali rastuće prijetnje mobilnim uređajima traže nove načine osiguranja uređaja. Zaštita od zlonamjernih aplikacija nije dovoljna, a iako ih alate koje zaštitarske tvrtke dodaju u svoje mobilne aplikacije korisne, neće ih zauvijek biti dovoljno.

Slika putem korisnika Flickr Tiago A. Pereira



7 4. Sigurnost na vozačkom sjedalu

Mnogo razgovaramo o tome kako sigurnost mora biti dio DNK organizacije i kako sigurnosni timovi ne mogu stalno reagirati na krize ili u načinu vatrogastva. Čini se da opći konsenzus ide ispred prijetnji, bilo da je boljim sigurnosnim praksama moguće zatvoriti aveniju napada ili integrirati se s drugim timovima kako bi bili sigurni da se sigurnosna pitanja razmatraju od samog početka.



8 3. Trebamo više ljudi u sigurnosti

Jedna od stvari o kojoj smo čuli bilo je kako postoji manjak sigurnosnih stručnjaka. Tvrtke koje tradicionalno nisu morale razmišljati o sigurnosti - štiteći svoje podatke ili osiguravajući da su njihovi proizvodi sigurni - sada se bore da pronađu iskusne sigurnosne stručnjake. Vladine agencije pokušavaju privući najsjajnije hakere da popune svoje redove. Postoji jaz u vještinama, dijelom i zato što nemamo dovoljno ljudi specijaliziranih za sigurnost, ali i zato što tvrtke ne rade dobro zapošljavanje.

Potrebno nam je više žena u području tehnologije, a posebno informacijske sigurnosti. Sjednice u RSAC-u bile su usredotočene na stvaranje potpornih struktura koje bi potaknule žene zainteresirane za infosec, ali i istaknule neke od njihovih dostignuća.



9 2. Propuste aplikacije su lošije od mobilnog zlonamjernog softvera

Zaštita od zlonamjernog softvera i dalje je fokus mnogih mobilnih tvrtki za zaštitu, ali to daleko nije jedina prijetnja. Mnogi sudionici na konferenciji RSAC sugerirali su da su nepropusne aplikacije, to jest aplikacije koje prenose osobne podatke korisnika bez šifriranja ili u ogromnim količinama, puno veća prijetnja korisnicima. Čitateljima naše pokrivenosti u ponedjeljak za mobilne uređaje ovo ne bi trebalo biti iznenađenje. Ove godine radujemo se novim alatima poput viaProtect-a koji će pomoći potrošačima da vide što njihove aplikacije zaista rade. Međutim, gledanje nekoga kako se razdvaja, mijenja i prepakira Android aplikaciju za pet minuta podsjetnik je da je zlonamjerni softver i dalje problem.

Slika putem korisnika Flickr Grotuk

• 10 1. Nadzor ne odlazi

  Svježe isječeni direktor FBI-ja James Comey u svojoj je prezentaciji RSAC-a 2014 pojasnio dvije stvari: FBI-u je potrebna suradnja poslovnih ljudi za borbu protiv cyber prijetnji, ali elektronički nadzor ostaje ovdje. Na jednoj razini to svi znamo. Ne možemo očekivati ​​da špijuni i policajci drže telefonske pozive dok negativci komuniciraju s e-poštom i drugim alatima. Kao društvo moramo prihvatiti da su digitalne komunikacije cilj, a možda i legitimna. Slično tome, panelisti na fascinantnom okruglom stolu američkih obavještajnih insajdera istaknuli su da NSA nije "skitnička agencija" i da se svaka druga nacionalna država uključuje u elektronički nadzor. Također su rekli da domaće špijuniranje treba postići bolju ravnotežu s privatnošću, te da ljudi ne bi trebali dopustiti da izabrani dužnosnici koriste svoju "naslovnu priču" vjerojatne negiranja za obavještajne operacije.