RSA-konferansen blir større for hvert år, med flere selskaper å møte, flere teknologidemonstrasjoner å se på og mer innsiktsfulle økter å delta på. Men en av hovedårsakene til at jeg trekker rundt i landet hvert år er på grunn av samtalene utenfor konferansens formelle rammer. Utkastet til uttalelsen over frokosten, den korte gangen samtalen om noe noen så eller hørte, eller den livlige debatten på en av de mange sosiale begivenhetene i løpet av uken.
Her er et raskt øyeblikksbilde av hvordan den bærbare datamaskinen min så ut på slutten av dagen mandag 24. februar.
Opptatt, opptatt, opptatt
Konferansen starter offisielt ikke før Art Coviellos åpningsnote på tirsdag, men det er mange som snakker og tenker på sikkerhet rundt Moscone Center i San Francisco. Faktisk er det 400 leverandører som sponser eller stiller ut på showet, mer enn 500 foredragsholdere, og omtrent 25 000 deltagere. Jeg aner ikke hvor noe er lenger, og trenger å lære opp RSAC-geografien på nytt. Kanskje er det noe å si for mindre, regionale og mer intime forestillinger.
Sikkerhetskoding
Open Web Application Security Project (OWASP) holdt en gratis treningssamling om sikker kodingspraksis på Jillian's (en bar i nærheten av Moscone) som enhver RSAC-deltaker kunne delta på. Økten var full av generell informasjon om hva slags netttrusler utviklere trenger å forsvare seg mot. Enda bedre tilbød kapitellederne Jim Manico og Eoin Keary veldig praktiske kodingstips for flere store språk og rammer, inkludert Ruby, Java, Cold Fusion og Perl. Jeg lurer på om bartenderne faktisk var oppmerksom på økten, eller om de bare var fokusert på å holde drinkene flyte.
Automatiserte skannere kan hjelpe med å finne sårbarheter i kode. Det er flott, ikke sant? Ikke nødvendigvis, siden automatiserte skannere ikke kan ta hensyn til forretningssammenheng eller alltid håndtere spesialiserte brukssaker. Med en kodegjennomgang har du noen andre som går gjennom programlogikken og bruker saker om forretningsbruk. Dette får Apples nylige SSL-sårbarhet i iOS og Mac OS X i tankene. Gotofail-feilen var en feil, men en kodeanmeldelse kan ha fanget den før den ble et potensielt problem for brukere.
Fra OWASP-økten: "Roboter oppdager kjente ukjente. Mennesker oppdager ukjente ukjente."
Beste Hacker-filmer
Etter at Rick Howard, CSO fra Palo Alto Networks, og jeg snakket om bøker fagfolk som informasjonssikkerhet burde lese, kjørte vi utenfor temaet til film. Howard diskuterer dette temaet på torsdag.
Så hva er tidenes beste informasjonssikkerhetsfilm?
Hvilken film som er toppen har mye å gjøre med generasjonen personen mest identifiserer seg med, sa Howard. Toppfilmen, så vidt han angår, var War Games . Neste generasjon fagfolk innen infosec vil sannsynligvis hevde at hackere var de beste. Og de som er enda yngre, vil ha større sannsynlighet for å navngi en Matrix- film. Å være fast i Hackers- leiren, selv om jeg elsker War Games , virker The Matrix litt malplassert.
Fra Twitter
Et av panelene jeg savnet var det som ble moderert av Javvad Malik, senioranalytikeren med 451 Research, om å lukke mangelen på cybersikkerhet. Twitter har følgende perle fra panelet: Jane Lute, president og administrerende direktør i Council on Cybersecurity, og sier: "Vi skriver stillingsbeskrivelser som er urealistiske."
Rekrutterere klager ofte over ferdighetsgapet, at de ikke finner kandidater som passer jobbkravene. Men problemet er egentlig ikke mangelen på kvalifiserte søkere, men snarere at rekrutterere ber om ferdigheter som 15 års erfaring med å sikre Windows 7.
Det brennende spørsmålet
Vil Art Coviello ta for seg den hemmelige kontrakten på 10 millioner dollar som RSA Security angivelig hadde hatt med Nasjonalt sikkerhetsbyrå i åpningsnokollen på tirsdag?
