10 Store ideer innen digital sikkerhet

Det var ikke lenge siden sikkerhetsnyheter betydde uklare sårbarheter og virus som spredte seg på stasjonære datamaskiner. Men nå er mennesker overalt bekymret for å snuse regjeringsbyråer, Heartbleed slipper personopplysningene sine på nettet og øker mobiltrusler. Heck, dekningen av Edward Snowdens lekkasjer om National Security Agency's innenlandske spioneringsinnsats nettet Pulitzer-priser i år. Etter hvert som livene våre blir mer fokuserte rundt digitale enheter og Internett, blir flere bekymret for sikkerhet, og med rette. Spørsmålet er, hva er de virkelige problemene - og hva er bare smaks-av-månedens hype fra mainstream media?

For en solid oversikt over hva som virkelig betyr noe, spoler du tilbake til siste februar da tusenvis av deltagere strømmet til San Francisco for RSA-konferansen. Blant dem var skaperne av sikkerhetsprodukter og forskerne som har brutt noen av de største sikkerhetshistoriene. Det er en av de største samlingene i sitt slag, og ideene fra RSAC vil ha stor innvirkning på digital sikkerhet resten av året.

Snowden og sikkerhet

Folk pleide å spøke med at den amerikanske regjeringen hørte på alt alle sa, men ingen lo egentlig mer av det. Den påståtte avtalen mellom Nasjonalt sikkerhetsbyrå og RSA Security kastet en pall over konferansen, som ikke lenger er direkte tilknyttet RSA-selskapet.

Overraskende besluttet NSA nok en gang å ha en tilstedeværelse i utstillingsgulvet i år. Selv om de ikke hadde gjort det, var det vanskelig å unngå NSA. Noen leverandører delte ut coasters med byråets logo på seg, mens andre tok til orde for å skrive snide-kommentarer på offentlige tavler. En leverandør motsatte seg tilsynelatende å være lokalisert i nærheten av NSAs stand, mens en annen benyttet anledningen til å kjøre loopingvideoer om Snowden.

Noen foredragsholdere trakk presentasjonene sine i protest og arrangerte en konkurrerende en dagers begivenhet kalt Trustycon. Dette var ment å bidra til å øke bevisstheten om personvernproblemer, selv om noen mennesker så det annerledes.

Kina Hvem?

I fjor var boogeymannen under alles seng Kina. Frykten blant industriinnsidere var statssponsorerte eller ensomme angripere fra Kina som stjal intellektuell eiendom og enten solgte den eller ga den til kinesiske konkurrenter. Det var også trusselen om cyberwar mellom nasjoner, gjort desto mer ekte ved fortsatte rapporter om sofistikerte avanserte vedvarende trusler.

Spol frem til i år, og bekymringene er mer myke. Foredragsholdere nevnte "tyveri av åndsverk", men så ikke behovet for å si hvem som ville stå bak det. Da "nasjonalstat" -angrep ble nevnt i fjor betydde det nesten "Kina", men i år kunne det lett betydd "Amerikas forente stater."

Ti ting

Utenfor disse store historiene var det noen lovende utviklinger, ny teknologi og velprøvde råd hos RSA. Først og fremst? Lapp programvaren din. Det var også mange leverandører opptatt av å flytte forbi passord, som vi forhåpentligvis vil se skje snart. Også, jeg håper dere alle leser før neste års show.

Dette var noen av de store historiene som sikkerhetseksperter surrer om, men de er ikke de eneste. Her er de ti største ideene våre som skjer i sikkerhet akkurat nå.

1 10. Bakdører i kryptering

Nasjonalt sikkerhetsbyrå var på alles sinn på årets konferanse, og det har vært den største sikkerhetshistorien det siste året. Og selv om RSA-konferansen er en distinkt enhet fra selskapet RSA Security, var den påståtte forbindelsen på flere millioner dollar mellom RSA og NSA et ofte diskusjonstema. RSA-styreleder Art Coviello avfeide anklagene i hovedadressen hans, men ba om reformer innen spionbyrået. I sterk kontrast til i fjor, tok frykten for Kina baksetet med bekymring for at kryptering kanskje ikke var så sikker som vi trodde.



2 9. Buzzwords Killing Words

Når et ord når buzzword-status, slutter det å bety noe nyttig. Dessverre var det massevis av ord som det på RSAC, der alle brukte de samme ordene, men ingen var enige om definisjonen. Når det gjelder trusselintelligens, snakket vi da om indikatorer på kompromiss, eller snakket vi om å berike eksisterende data med tredjepartskilder? Hva betyr egentlig "neste gener" lenger? På dette tidspunktet bør vi være neste-neste-gen. Hvordan kan så mange produkter føre til en sikkerhetsrevolusjon? Vet bransjen selv hva den lover lenger?

Bilde via Flickr-bruker Soumyadeep Paul



3 8. Når brødristere, biler og kaffemaskiner angriper

Tingenes internett krøp inn i RSA-konferansen i år, og alle er bekymret for utsiktene til å sikre dem. Den viktigste takeaway - ganske urovekkende - er at vi ennå ikke er klare til å sikre alle enhetene våre, enten det er husholdningsapparater, medisinsk utstyr eller biler. Likevel var det ikke noen som bekymret noen for å si at kriminelle sannsynligvis ikke ville prøve å fjernkontrollere eller krasje en tilkoblet bil. Det vil være mer sannsynlig at kriminelle vil gå "oppstrøms" for å kompromittere servere som bruker tingene - for eksempel OnStar-servere for biler - og tjene penger på disse.

Tingenes internett vil uten tvil vokse opp mer og mer etter hvert som flere enheter kobles til. I kjølvannet av Heartbleed var forskerne ikke bare opptatt av servere, men alle tilkoblede enheter.



4 7. Krypter alt

Svaret fra alle om hvordan man kan forbedre sikkerheten - spesielt mobilsikkerhet - var kryptering, kryptering, kryptering. Mobilapper flytter enorme mengder informasjon rundt på Internett, og mange utviklere velger å ikke kryptere disse transaksjonene, og gir angripere og nasjonalstater mye å se på. Co3 CTO Bruce Schneier sa igjen at NSA oppga at byrået antagelig har ødelagt en eller annen form for kryptering, men ikke kan behandle enorme mengder kryptert data. Han sa at den store mengden ukryptert informasjon som flyr rundt ganske enkelt gjør det for enkelt for alle som ønsker å lagre data. Tilbake i februar var bekymringene for kryptering basert på NSA-skapte sårbarheter og Apples SSL-problemer. Kunngjøringen av Heartbleed er en nøktern påminnelse om at selv de beste verktøyene vi fremdeles ikke er perfekte.

Bilde via Flickr-brukerens anonyme konto

• 5 6. Det er ingen sølvkuler

  Vi brukte mye tid på å snakke om presentasjoner og enkeltpersoner på RSAC, men vi bør ikke glemme at arrangementet er et messe og at showgulvet er fullstappet av leverandører som jobber for å overbevise kjøpere om at deres produkt er det beste. Overraskende nok presset mange sikkerhetsselskaper fremdeles på ideen om sølvkuler - en enkeltservering for alle sikkerhetsproblemene dine. Dette er litt overraskende gitt at det siste året har vist at det er mange veier for angrep, og at de kan variere avhengig av hvem som står bak dem og hva de er ute etter. HPs Senior VP Art Gilliland foreslo at selskaper slutter å søke etter nye våpen og ta en mer helhetlig tilnærming til sikkerhet. Viktigst på listen over forbedringer? Invester i enkeltpersoner og forbedre sikkerhetstrening.



6 5. Mobil AV fungerer ikke

Mens han feiret sikkerhetssamfunnet som jobbet med og innenfor Android for å gjøre det bedre, tok Googles ledende ingeniør for Android Security så langt et lite syn på mobilsikkerhet. Han sa at Googles mål var å gi stille, usynlig sikkerhet og antydet at sikkerhetsselskapene handlet mer om å få oppmerksomhet og øke salget. viaForensics administrerende direktør og medgründer Andrew Hoog tok også problem med tradisjonelle sikkerhetsmodeller på mobil. Han påpekte at app-sandboksing i mobile operativsystemer gjør en god jobb med å sikre apper, men det begrenser også sikkerhetsapps muligheten til å håndtere trusler. Hans løsning? Gi sikkerhetsutviklere tilgang til root-rettigheter.

Jeg er ikke helt enig i noen av posisjonene, men økende mobiltrusler krever nye måter å sikre enheter. Å beskytte seg mot ondsinnede apper er ikke nok, og selv om verktøyene sikkerhetsselskapene legger til mobilappene sine er nyttige, vil de ikke være nok for alltid.

Bilde via Flickr-bruker Tiago A. Pereira



7 4. Sikkerhet i førersetet

Vi snakker mye om hvordan sikkerhet må være en del av organisasjonens DNA, og hvordan sikkerhetsteam ikke bare kan reagere på kriser eller i brannslukkingsmodus hele tiden. Den generelle konsensus ser ut til å komme foran truslene, enten det er ved å ha bedre sikkerhetspraksis for å stenge angrepsmuligheter eller integrere seg med andre team for å sikre at sikkerhetsproblemer blir vurdert helt fra starten.



8 3. Vi trenger flere mennesker i sikkerhet

Noe av det vi fortsatte å høre om var hvordan det var mangel på sikkerhetsfagfolk. Bedrifter som tradisjonelt ikke trengte å tenke på sikkerhet - beskytte dataene deres eller sørge for at produktene deres var sikre - sliter nå med å finne erfarne sikkerhetsfagfolk. Offentlige etater prøver å tiltrekke seg de lyseste hackere for å fylle sine rekker. Det er et kompetansegap, delvis fordi vi ikke har nok folk som spesialiserer seg på sikkerhet, men også fordi selskaper ikke gjør en god jobb med å rekruttere.

Vi trenger flere kvinner innen teknologi og informasjonssikkerhet. Møter på RSAC fokuserte på å lage støttestrukturer for å oppmuntre kvinner som er interessert i infosec, men også for å løfte frem noen av deres prestasjoner.



9 2. Lekkete apper er verre enn mobil skadelig programvare

Forsvar mot malware fortsetter å være et fokus for mange mobilsikkerhetsselskaper, men det er langt på vei ikke den eneste trusselen. Mange fremmøtte på RSAC-konferansen antydet at lekker apper - det vil si apper som overfører brukernes personopplysninger uten kryptering eller i enorme mengder - er en langt større trussel for brukerne. For leserne av vår dekning av Mobile Threat Mandag, bør dette ikke være noen overraskelse. I år gleder vi oss til nye verktøy som viaProtect for å hjelpe forbrukerne å se hva appene deres virkelig gjør. Når det er sagt, å se noen rive i stykker, endre og pakke en Android-app på fem minutter er en påminnelse om at malware fortsatt er et problem.

Bilde via Flickr-bruker Grotuk

• 10 1. Overvåkning går ikke unna

  Ferske myntet FBI-direktør James Comey gjorde to ting klart i sin presentasjon av RSAC 2014: FBI trenger samarbeid fra næringslivet for å bekjempe cybertrusler, men at elektronisk overvåking er her for å bli. På ett plan vet vi alle dette. Vi kan ikke forvente at spioner og politiet fortsetter å trykke på telefoner når skurkene kommuniserer med e-post og andre verktøy. Som samfunn må vi akseptere at digital kommunikasjon er et mål, og kanskje et legitimt. På samme måte understreket paneldeltakerne i en fascinerende rundbord av amerikanske etterretningsinnsidere at NSA ikke er et "useriøst byrå" og at alle andre nasjonalstater driver elektronisk overvåking. De sa også at innenlandske spioneringer trenger å oppnå en bedre balanse med personvernet, og at folk ikke bør la valgte tjenestemenn bruke sin "cover-historie" om plausibel denierbarhet for etterretningsoperasjoner.