10 nagy ötlet a digitális biztonságban

Nem is olyan régen, hogy a biztonsági hírek homályos sebezhetőségeket és az asztali számítógépeken terjedő vírusokat jelentettek. De most az emberek mindenhol aggódnak amiatt, hogy a kormányzati szerveket leskelődik, a Heartbleed elengedi személyes adataikat az interneten, és a növekvő mobilfenyegetés. A fenébe is, Edward Snowdennek a Nemzetbiztonsági Ügynökség hazai kémkedéseiről szóló kiszivárogtatásai miatt idén Pulitzer-díjat nyert. Ahogy életünk egyre inkább a digitális eszközökre és az internetre összpontosul, egyre többen aggódnak a biztonság miatt, és ez jogosan is így van. A kérdés az, hogy mik a valódi problémák – és mi az, ami csak a hónap íze a mainstream médiából?



Ha áttekintést szeretne kapni arról, hogy mi számít igazán, ugorjon vissza az elmúlt februárba, amikor több ezer résztvevő özönlött San Franciscóba az RSA konferenciára. Köztük voltak a biztonsági termékek megalkotói és a kutatók, akik megtörték a legnagyobb biztonsági sztorikat. Ez az egyik legnagyobb ilyen jellegű összejövetel, és az RSAC ötletei óriási hatással lesznek a digitális biztonságra az év hátralévő részében.

Snowden és a biztonság
Az emberek azzal vicceltek, hogy az Egyesült Államok kormánya mindent meghallgatott, amit mindenki mondott, de ezen már senki sem nevet. A Nemzetbiztonsági Ügynökség és az RSA Security között létrejött állítólagos ügylet felháborította a konferenciát, amely már nem áll közvetlenül kapcsolatban az RSA céggel.





Meglepő módon az NSA ismét a jelenlét mellett döntött idén a kiállításon . Még ha nem is, nehéz volt elkerülni az NSA-t. Egyes eladók az ügynökség logójával ellátott poháralátéteket osztottak ki, míg mások írni kezdtek sunyi megjegyzések nyilvános táblákon . Az egyik eladó nyilvánvalóan tiltakozott, hogy az NSA standja közelében legyen, míg egy másik megragadta az alkalmat, hogy hurkolt videókat futtasson Snowdenről.

Néhány előadó tiltakozásul meghúzta előadását, és versenytárs egynapos rendezvényt szervezett Trustycon néven. Ennek az volt a célja, hogy felhívja a figyelmet az adatvédelmi problémákra, bár egyesek ezt másként látták .



Kína Ki?
Tavaly mindenki ágya alatt a buzi Kína volt. Az iparági bennfentesek attól tartanak, hogy az államilag támogatott vagy magányos kínai támadók szellemi tulajdont lopnak el, és vagy eladják, vagy átadják kínai versenytársaknak. Fennállt a nemzetek közötti kiberháború veszélye is, amelyet a kifinomult, tartós fenyegetésekről szóló folyamatos jelentések még valóságosabbá tettek.

Gyorsan előre az évre, és az aggodalmak enyhébbek. A felszólalók „a szellemi tulajdon ellopását” említették, de nem látták szükségesnek megmondani, ki állhat mögötte. Amikor tavaly „nemzetállami” támadásokat emlegettek, az szinte biztosan „Kínát” jelentett, idén viszont könnyen lehetett volna „az Amerikai Egyesült Államokat”.

Tíz dolog
Ezeken a nagy történeteken kívül volt néhány ígéretes fejlesztés, új technológia és bevált tanácsok az RSA-nál. Elsősorban? Javítsa meg a szoftvert. Sok árus is érdeklődött átlép a jelszavak mögé , ami remélhetőleg hamarosan megtörténik. Továbbá, remélem, mindenki elolvassa a jövő évi bemutató előtt.

Ezek voltak azok a nagy történetek, amelyekről a biztonsági szakértők zúgnak, de nem ők az egyetlenek. Íme a tíz legfontosabb ötletünk, amelyek jelenleg a biztonság területén zajlanak.

Hirdetés

1. 10. Hátsó ajtók a titkosításban

10. Hátsó ajtók a titkosításbanAz idei konferencián mindenki a Nemzetbiztonsági Ügynökségre gondolt, és ez volt az elmúlt év legnagyobb biztonsági sztorija. És annak ellenére, hogy az RSA konferencia az RSA Security cégtől elkülönülő entitás, az RSA és az NSA közötti állítólagos több millió dolláros kapcsolat gyakori vitatéma volt. Art Coviello, az RSA elnöke vitaindító beszédében visszautasította a vádakat, de reformokra szólított fel a kémügynökségen belül. A tavalyi évtől éles ellentétben a Kínával kapcsolatos félelmek háttérbe szorultak azon aggodalmak mellett, hogy a titkosítás esetleg nem olyan biztonságos, mint gondoltuk.

2. 9. Gyilkos szavak

9. Buzzwords Killing WordsAmint egy szó eléri a hívószó státuszt, már nem jelent semmi hasznosat. Sajnos rengeteg ilyen szó volt az RSAC-ban, ahol mindenki ugyanazokat a szavakat használta, de senki sem értett egyet a meghatározással. Amikor a fenyegetésekkel kapcsolatos hírszerzésről van szó, akkor a kompromisszum mutatóiról beszéltünk, vagy a meglévő adatok harmadik féltől származó forrásokkal való gazdagításáról? Pontosan mit jelent a „next-gen”? Ezen a ponton a next-next-gennél kell lennünk. Hogyan hirdethet ennyi termék biztonsági forradalmat? Tudja egyáltalán az iparág, hogy mit ígér?

Kép a Flickr felhasználón, Soumyadeep Paulon keresztül

3. 8. Amikor kenyérpirítók, autók és kávéfőzők támadnak

8. Amikor kenyérpirítók, autók és kávéfőzők támadnakAz Internet of Things belopakodott az RSA konferenciájába ebben az évben, és mindenki aggódik a biztonságuk kilátása miatt. A legfontosabb dolog – eléggé lehangoló –, hogy még nem állunk készen arra, hogy minden eszközünket biztonságossá tegyük, legyen szó háztartási gépekről, orvosi eszközökről vagy autókról. Ennek ellenére néhányan nem aggódtak annyira, mondván, hogy a bűnözők valószínűleg nem próbálják meg távirányítani vagy összetörni egy csatlakoztatott autót. Valószínűbb lenne, hogy a bûnözõk „felfelé” feltörjék a Things-t használó szervereket – például az autókhoz való OnStar-szervereket – és bevételt szerezzenek azokkal.

A dolgok internete kétségtelenül egyre gyakrabban fog megjelenni, ahogy egyre több eszköz csatlakozik. A Heartbleed nyomán a kutatók nem csak a szerverek miatt aggódtak, hanem minden és minden csatlakoztatott eszköz .

4. 7. Mindent titkosít

7. Mindent titkosítMindenki válasza a biztonság – különösen a mobilbiztonság – javítására a titkosítás, titkosítás, titkosítás volt. A mobilalkalmazások hatalmas mennyiségű információt mozgatnak meg az interneten, és sok fejlesztő úgy dönt, hogy nem titkosítja ezeket a tranzakciókat, így a támadók és a nemzetállamok bőven nézhetik meg őket. Ismét az NSA-hoz fordulva, a Co3 műszaki igazgatója, Bruce Schneier azt állította, hogy az ügynökség valószínűleg feltört valamilyen titkosítást, de nem tud hatalmas mennyiségű titkosított adatot feldolgozni. Azt mondta, hogy a rengeteg titkosítatlan információ egyszerűen túlságosan megkönnyíti az adatok tárolását. Februárban a titkosítással kapcsolatos aggodalmak az NSA által létrehozott sebezhetőségeken és az Apple SSL-problémáin alapultak. A bejelentése Szívvérzés kijózanító emlékeztető, hogy még a legjobb eszközeink sem tökéletesek.

Kép a Flickr felhasználói névtelen fiókján keresztül

5. 6. Nincsenek ezüstgolyók

Sok időt töltöttünk azzal, hogy az RSAC-nál prezentációkról és személyekről beszéljünk, de nem szabad megfeledkeznünk arról, hogy az esemény egy kereskedelmi kiállítás, és a bemutatóterem zsúfolásig megtelt árusokkal, akik igyekeznek meggyőzni a vásárlókat arról, hogy az ő termékük a legjobb. Meglepő módon sok biztonsági cég még mindig az ezüstgolyók ötletét szorgalmazta – ez egy egyetlen megoldást jelent bármely biztonsági problémára. Ez kissé meglepő, tekintve, hogy az elmúlt év bebizonyította, hogy a támadásoknak számos módja van, és ezek eltérőek lehetnek attól függően, hogy ki áll mögöttük, és mit keresnek. A HP vezető alelnöke, Art Gilliland azt javasolta, hogy a vállalatok ne keressenek új fegyvereket, és holisztikusabb megközelítést alkalmazzanak a biztonság terén. A legfontosabb a fejlesztések listáján? Fektessen be egyénekbe, és javítsa a biztonsági képzést.

6. 5. A mobil AV nem működik

5. Mobil AV nemMíg ő ünnepelte a biztonsági közösséget, amely az Androiddal és az Androidon belül dolgozik annak jobbá tételén, a Google Android biztonságért felelős vezető mérnöke halványan szemlélte a mobilbiztonságot. Elmondta, hogy a Google célja az volt, hogy csendes, láthatatlan biztonságot nyújtson, és azt javasolta, hogy a biztonsági cégek inkább a figyelem felkeltésére és az eladások fellendítésére törekedjenek. A viaForensics vezérigazgatója és társalapítója, Andrew Hoog szintén megkérdőjelezte a hagyományos mobilbiztonsági modelleket. Rámutatott, hogy a mobil operációs rendszerekben az alkalmazások sandboxa jó munkát végez az alkalmazások védelmében, de korlátozza a biztonsági alkalmazások fenyegetésekkel szembeni leküzdését is. Az ő megoldása? Adjon biztonsági fejlesztőknek hozzáférés a root jogosultságokhoz .

Egyik állásponttal sem értek teljesen egyet, de a növekvő mobilfenyegetések új módszereket követelnek meg az eszközök védelmében. A rosszindulatú alkalmazások elleni védekezés nem elég, és bár a biztonsági cégek által mobilalkalmazásaikhoz hozzáadott eszközök hasznosak, nem lesznek örökké elegendőek.

Kép a Flickr-felhasználóról, Tiago A. Pereiráról

7. 4. Biztonság a vezetőülésben

4. Biztonság az illesztőprogrambanSokat beszélünk arról, hogy a biztonságnak a szervezet DNS-ébe kell tartoznia, és hogy a biztonsági csapatok nem tudnak mindig csak válságokra reagálni vagy tűzoltó üzemmódban. Úgy tűnik, hogy az általános konszenzus megelőzi a fenyegetéseket, legyen szó akár jobb biztonsági gyakorlattal a támadási utak lezárásáról, akár más csapatokkal való integrációról, hogy a biztonsági aggályokat már a kezdetektől figyelembe vegyék.

8. 3. Több biztonsági emberre van szükségünk

3. Több biztonsági emberre van szükségünkAz egyik dolog, amiről folyamatosan hallottunk, az volt, hogy hiány van a biztonsági szakemberekből. Azok a cégek, amelyeknek hagyományosan nem kellett a biztonságra gondolniuk – adataik védelmére vagy termékeik biztonságára –, most tapasztalt biztonsági szakembereket találnak. A kormányhivatalok a legokosabb hackereket próbálják bevonzani, hogy betöltsék soraikat. Szakértelem hiányzik, részben azért, mert nincs elég biztonsági szakemberünk, de azért is, mert a vállalatok nem végeznek jó munkát a toborzás során.

Több nőre van szükségünk a technológia, és különösen az információbiztonság területén. Az RSAC ülésein olyan támogató struktúrák létrehozására összpontosítottak, amelyek ösztönzik az infosec iránt érdeklődő nőket, de kiemelik néhány teljesítményüket.

9. 2. A szivárgó alkalmazások rosszabbak, mint a mobil rosszindulatú programok

2. A szivárgó alkalmazások rosszabbak, mint a mobil rosszindulatú programokA rosszindulatú programok elleni védekezés továbbra is sok mobilbiztonsági cég középpontjában áll, de messze nem ez az egyetlen fenyegetés. Az RSAC konferencián sok résztvevő felvetette, hogy a szivárgó alkalmazások – vagyis azok, amelyek titkosítás nélkül vagy hatalmas mennyiségben továbbítják a felhasználók személyes adatait – sokkal nagyobb veszélyt jelentenek a felhasználókra. A Mobile Threat hétfői tudósításunk olvasói számára ez nem meglepő. Idén már alig várjuk az olyan új eszközöket, mint a viaProtect, amelyek segítségével a fogyasztók láthatják, mit csinálnak valójában alkalmazásaik. Ennek ellenére, ha valaki öt perc alatt széttép, módosít és újracsomagol egy Android-alkalmazást, az emlékeztet arra, hogy a rosszindulatú programok továbbra is problémát jelentenek.

Kép a Flickr Grotuk felhasználón keresztül

10. 1. A megfigyelés nem szűnik meg

James Comey, az FBI frissen kidolgozott igazgatója két dolgot világossá tett az RSAC 2014-es prezentációjában: Az FBI-nak együttműködésre van szüksége az üzleti élettől a kiberfenyegetések leküzdéséhez, de az elektronikus felügyelet itt marad. Egy szinten ezt mindannyian tudjuk. Nem várhatjuk el, hogy a kémek és rendőrök folyamatosan lehallgatják a telefonokat, amikor a rosszfiúk e-mailekkel és egyéb eszközökkel kommunikálnak. Társadalomként el kell fogadnunk, hogy a digitális kommunikáció cél, és talán legitim is. Hasonlóképpen, az amerikai hírszerzés bennfenteseiből álló lenyűgöző kerekasztal panel résztvevői hangsúlyozták, hogy az NSA nem egy „gazember ügynökség”, és minden más nemzetállam részt vesz az elektronikus megfigyelésben. Azt is elmondták, hogy a belföldi kémkedésnek jobb egyensúlyt kell találnia a magánélettel, és hogy az emberek ne engedjék meg, hogy a választott tisztségviselők titkosszolgálati műveletekre használják fel a valószínű tagadhatóságú „fedősztorijukat”.
Ajánlott