Video: Slik digitaliserer du bedriften - Se oppskriften på Digitalisering (Oktober 2024)
Forrige uke tappet hele SecurityWatch-teamet ut over RSA-konferansen for å få det siste om nye sikkerhetsinnovasjoner, den nyeste teknologien og hva sikkerhetssamfunnet egentlig snakker om. Siden de fleste av dere var tilfredse nok til å ikke tilbringe uken på messe, er her våre ti ting du trenger å vite om sikkerhet akkurat nå.
10. RSA og NSA
Nasjonalt sikkerhetsbyrå var på alles sinn på årets konferanse, og det har vært den største sikkerhetshistorien det siste året. Og selv om RSA-konferansen er en distinkt enhet fra selskapet RSA Security, var den påståtte forbindelsen på flere millioner dollar mellom RSA og NSA et ofte diskusjonstema. RSA-styreleder Art Coviello avfeide anklagene i hovedadressen hans, men ba om reformer innen spionbyrået. I sterk kontrast til i fjor tok frykten for Kina baksetet.
9. Buzzwords Killing Words
Når et ord når buzzword-status, slutter det å bety noe nyttig. Dessverre var det massevis av ord som det på RSAC, der alle brukte de samme ordene, men ingen var enige om definisjonen. Når det gjelder trusselintelligens, snakket vi da om indikatorer på kompromiss, eller snakket vi om å berike eksisterende data med tredjepartskilder? Hva betyr egentlig "neste gener" lenger? På dette tidspunktet bør vi være neste-neste-gen. Hvordan kan så mange produkter føre til en sikkerhetsrevolusjon? Vet bransjen til og med hva den lover lenger?
8. Når brødristere, biler og kaffemaskiner angriper
Tingenes internett krøp inn i RSA-konferansen i år, og alle er bekymret for utsiktene til å sikre dem. Den viktigste takeaway - ganske urovekkende - er at vi ennå ikke er klare til å sikre alle enhetene våre, enten vi snakker om husholdningsapparater, medisinsk utstyr eller biler. Likevel var det ikke noen som bekymret noen for å si at kriminelle sannsynligvis ikke ville prøve å fjernkontrollere eller krasje en tilkoblet bil. Det vil være mer sannsynlig at kriminelle vil gå "oppstrøms" for å kompromittere servere som bruker tingene, for eksempel OnStar-servere for biler, og tjene penger på det.
7. Krypter alt
Svaret fra alle om hvordan man kan forbedre sikkerheten - spesielt mobilsikkerhet - var kryptering, kryptering, kryptering. Mobilapper flytter enorme mengder informasjon rundt på Internett, og mange utviklere velger å ikke kryptere disse transaksjonene, og gir angripere og nasjonalstater mye å se på. Co3 CTO Bruce Schneier sa igjen at NSA oppga at byrået antagelig har ødelagt en eller annen form for kryptering, men ikke kan behandle enorme mengder kryptert data. Han sa at den store mengden ukryptert informasjon som flyr rundt ganske enkelt gjør det for enkelt for alle som ønsker å lagre data.
6. Det er ingen sølvkuler
Vi brukte mye tid på å snakke om presentasjoner og enkeltpersoner på RSAC, men vi bør ikke glemme at arrangementet er et messe og at showgulvet er fullstappet av leverandører som jobber for å overbevise kjøpere om at deres produkt er det beste. Overraskende nok presset mange sikkerhetsselskaper fremdeles på ideen om sølvkuler - en enkeltservering for alle sikkerhetsproblemene dine. Dette er litt overraskende gitt at det siste året har vist at det er mange veier for angrep, og at de kan variere avhengig av hvem som står bak dem og hva de er ute etter. HPs Senior VP Art Gilliland foreslo at selskaper slutter å søke etter nye våpen og ta en mer helhetlig tilnærming til sikkerhet. Viktigst på listen over forbedringer? Invester i enkeltpersoner og forbedre sikkerhetstrening.
5. Mobil AV fungerer ikke
Mens han feiret sikkerhetssamfunnet som jobbet med og i Android for å gjøre det bedre, tok Googles ledende ingeniør for Android Security et svakt syn på mobilsikkerhet så langt. Han sa at Googles mål var å gi stille, usynlig sikkerhet og antydet at sikkerhetsselskapene handlet mer om å få oppmerksomhet og øke salget. viaForensics administrerende direktør og medgründer Andrew Hoog tok også problem med tradisjonelle sikkerhetsmodeller på mobil. Han påpekte at app-sandboksing i mobile operativsystemer gjør en god jobb med å sikre apper, men det begrenser også muligheten for sikkerhetsapper til å håndtere trusler. Hans løsning? Gi sikkerhetsutviklere tilgang til root-rettigheter.
Jeg er ikke helt enig i noen av posisjonene, men økende mobiltrusler krever nye måter å sikre enheter. Å beskytte seg mot ondsinnede apper er ikke nok, og selv om verktøyene sikkerhetsselskapene legger til mobilappene sine er nyttige, vil de ikke være nok for alltid.
4. Sikkerhet i førersetet
Vi snakker mye om hvordan sikkerhet må være en del av organisasjonens DNA, og hvordan sikkerhetsteam ikke bare kan reagere på kriser eller i brannslukkingsmodus hele tiden. Den generelle konsensus ser ut til å komme foran truslene, enten det er ved å ha bedre sikkerhetspraksis for å stenge angrepsmuligheter eller integrere seg med andre team for å sikre at sikkerhetsproblemer blir vurdert helt fra starten.
3. Vi trenger flere mennesker i sikkerhet
Noe av det vi fortsatte å høre om var hvordan det var mangel på sikkerhetsfagfolk. Bedrifter som tradisjonelt ikke trengte å tenke på sikkerhet - beskytte dataene deres eller sørge for at produktene deres var sikre - sliter nå med å finne erfarne sikkerhetsfagfolk. Offentlige etater prøver å tiltrekke seg de lyseste hackere for å fylle sine rekker. Det er et kompetansegap, delvis fordi vi ikke har nok mennesker som spesialiserer seg på sikkerhet, men også fordi selskaper ikke gjør en god jobb med å rekruttere.
Vi trenger flere kvinner innen teknologi og informasjonssikkerhet. Møter på RSAC fokuserte på å lage støttestrukturer for å oppmuntre kvinner som er interessert i infosec, men også for å synliggjøre noen av deres prestasjoner.
2. Lekkøse apper er verre enn mobil skadelig programvare
Forsvar mot malware fortsetter å være et fokus for mange mobilsikkerhetsselskaper, men det er langt på vei ikke den eneste trusselen. Mange fremmøtte på RSAC-konferansen antydet at lekker apper - det vil si apper som overfører brukernes personopplysninger uten kryptering eller i enorme mengder - er en langt større trussel for brukerne. For leserne av vår dekning av Mobile Threat Mandag, bør dette ikke være noen overraskelse. I år gleder vi oss til nye verktøy som viaProtect for å hjelpe forbrukerne å se hva appene deres virkelig gjør. Når det er sagt, å se noen rive i stykker, endre og pakke en Android-app på fem minutter er en påminnelse om at malware fortsatt er et problem.
1. Overvåkning går ikke unna
Ferske myntet FBI-direktør James Comey gjorde to ting klart i sin presentasjon av RSAC 2014: FBI trenger samarbeid fra næringslivet for å bekjempe cybertrusler, men at elektronisk overvåking er her for å bli. På ett plan vet vi alle dette. Vi kan ikke forvente at spioner og politiet fortsetter å trykke på telefoner når skurkene kommuniserer med e-post og andre verktøy. Som samfunn må vi akseptere at digital kommunikasjon er et mål, og kanskje et legitimt. På samme måte understreket paneldeltakerne i en fascinerende rundbord av amerikanske etterretningsinnsidere at NSA ikke er et "useriøst byrå" og at alle andre nasjonalstater driver elektronisk overvåking. De sa også at innenlandske spioneringer trenger å oppnå en bedre balanse med personvernet, og at folk ikke bør la valgte tjenestemenn bruke sin "cover-historie" om plausibel denierbarhet for etterretningsoperasjoner.
Bilde via Flickr-bruker Niko Notibär
