10 больших идей в области цифровой безопасности

Не так давно новости о безопасности означали скрытые уязвимости и вирусы, распространяющиеся по настольным компьютерам. Но теперь люди повсюду обеспокоены тем, что они могут подслушивать правительственные учреждения, из-за того, что Heartbleed выпускает свои личные данные в Интернет и растут угрозы для мобильных устройств. Черт, освещение в этом году сообщений Эдварда Сноудена о внутренних шпионских усилиях Агентства национальной безопасности принесло Пулитцеровскую премию. Поскольку наша жизнь становится все более сфокусированной на цифровых устройствах и Интернете, все больше людей начинают беспокоиться о безопасности, и это справедливо. Вопрос состоит в том, каковы реальные проблемы - и что является просто обманом месяца популярными СМИ?

Чтобы получить представление о том, что действительно имеет значение, вернитесь к февралю прошлого года, когда тысячи участников собрались в Сан-Франциско на конференцию RSA. Среди них были создатели продуктов безопасности и исследователи, которые взломали некоторые из самых больших историй безопасности. Это одно из крупнейших собраний в своем роде, и идеи RSAC окажут огромное влияние на цифровую безопасность до конца года.

Сноуден и Безопасность

Раньше люди шутили, что правительство США слушает все, что все говорят, но никто больше не смеется над этим. Предполагаемая сделка между Агентством национальной безопасности и RSA Security положила конец конференции, которая больше не связана напрямую с компанией RSA.

Удивительно, но АНБ в очередной раз решило присутствовать на выставочной площадке в этом году. Даже если бы они этого не сделали, было трудно избежать АНБ. Некоторые поставщики раздавали подставки с логотипом агентства, в то время как другие люди писали непристойные замечания на общественных досках. Один продавец явно возражал против того, чтобы находиться возле стенда АНБ, в то время как другой воспользовался возможностью запустить зацикленное видео о Сноудене.

Некоторые выступавшие в знак протеста провели свои презентации и организовали одноименное соревновательное мероприятие под названием Trustycon. Это должно было помочь повысить осведомленность о проблемах конфиденциальности, хотя некоторые люди видели это по-другому.

Китай Кто?

В прошлом году бугменом у всех на ногах был Китай. Страх среди инсайдеров отрасли был спонсируемый государством или одинокий злоумышленник из Китая, крадущий интеллектуальную собственность и либо продающий ее, либо передающий ее китайским конкурентам. Существовала также угроза кибервойны между странами, которая стала еще более реальной благодаря постоянным сообщениям о сложных современных устойчивых угрозах.

Перенесемся в этот год, и проблемы более мягкие. Спикеры упоминали «кражу интеллектуальной собственности», но не видели необходимости говорить, кто за этим стоит. Когда в прошлом году упоминались атаки на «национальное государство», это почти наверняка означало «Китай», но в этом году это могло легко означать «Соединенные Штаты Америки».

Десять вещей

Помимо этих больших историй, в RSA были некоторые многообещающие разработки, новые технологии и проверенные советы. В первую очередь? Обновите ваше программное обеспечение. Было также много поставщиков, стремящихся пройти мимо паролей, которые, мы надеемся, скоро увидят. Кроме того, я надеюсь, что вы все прочитаете перед шоу следующего года.

Это были некоторые из больших историй, которые обсуждают эксперты по безопасности, но они не единственные. Вот наша десятка важных идей, которые сейчас происходят в сфере безопасности.

1 10. Бэкдоры в Шифровании

Агентство национальной безопасности было в голове у всех на конференции этого года, и это была самая большая история безопасности в прошлом году. И хотя конференция RSA отличается от компании RSA Security, предполагаемая многомиллионная связь между RSA и АНБ была частой темой для обсуждения. Председатель RSA Арт Ковиелло отклонил обвинения в своем основном обращении, но призвал к проведению реформ в шпионском агентстве. В отличие от прошлого года, опасения по поводу Китая уступили место опасениям, что шифрование может быть не таким безопасным, как мы думали.



2 9. Модные слова Killing Words

Как только слово достигает статуса модного слова, оно перестает означать что-либо полезное. К сожалению, было много таких слов в RSAC, где все использовали одни и те же слова, но никто не согласился с определением. Когда речь заходит об анализе угроз, речь идет о показателях компромисса или об обогащении существующих данных сторонними источниками? Что именно означает «следующий поколение»? На данный момент, мы должны быть в следующем следующем поколении. Как столько продуктов может предвещать революцию в сфере безопасности? Знает ли отрасль, что она обещает?

Изображение через пользователя Flickr Soumyadeep Paul



3 8. Когда атакуют тостеры, автомобили и кофемашины

В этом году Интернет вещей закрался на конференцию RSA, и все обеспокоены перспективой их обеспечения. Главное, что печально, - это то, что мы еще не готовы обезопасить все наши устройства, будь то бытовые приборы, медицинские приборы или автомобили. Несмотря на это, некоторые не были обеспокоены этим, говоря, что преступники вряд ли будут пытаться дистанционно управлять или разбить подключенную машину. Более вероятно, что преступники пойдут «вверх по течению», чтобы скомпрометировать серверы, которые используют Вещи, такие как серверы OnStar для автомобилей, и монетизировать их.

Интернет вещей, без сомнения, будет возникать все больше и больше, когда подключается все больше устройств. Вслед за Heartbleed исследователи были обеспокоены не только серверами, но и всеми подключенными устройствами.



4 7. Зашифруйте все

Ответ всех на вопрос о том, как повысить безопасность, особенно безопасность мобильных устройств, был шифрованием, шифрованием, шифрованием. Мобильные приложения перемещают огромные объемы информации по Интернету, и многие разработчики предпочитают не шифровать эти транзакции, что дает злоумышленникам и национальным государствам возможность на многое взглянуть. Снова обращаясь к АНБ, технический директор Co3 Брюс Шнайер заявил, что агентство, вероятно, нарушило некоторую форму шифрования, но не может обрабатывать огромные объемы зашифрованных данных. Он сказал, что огромное количество незашифрованной информации, летающей вокруг, просто делает слишком легким для любого, кто хочет накапливать данные. Еще в феврале опасения по поводу шифрования были основаны на уязвимостях, созданных АНБ, и проблемах Apple с SSL. Объявление Heartbleed - отрезвляющее напоминание о том, что даже самые лучшие инструменты, которые у нас есть, не идеальны.

Изображение через пользователя Flickr Анонимный аккаунт

• 5 6. Серебряных пуль нет

  Мы провели много времени, рассказывая о презентациях и отдельных лицах в RSAC, но мы не должны забывать, что это мероприятие является торговой выставкой и что в выставочном зале полно продавцов, работающих над тем, чтобы убедить покупателей в том, что их продукт лучший. Удивительно, но многие охранные компании все еще выдвигали идею серебряных пуль - единого решения для любых проблем безопасности. Это немного удивительно, учитывая, что прошедший год показал, что существует множество путей для атак, и что они могут различаться в зависимости от того, кто стоит за ними и что они преследуют. Старший вице-президент HP Арт Гиллилэнд предложил компаниям прекратить поиск нового оружия и использовать более целостный подход к безопасности. Самое главное в его списке улучшений? Инвестируйте в людей и улучшайте обучение безопасности.



6 5. Мобильный AV не работает

В то время как он отметил, что сообщество безопасности работает с Android и внутри Android, чтобы улучшить его, ведущий инженер Google по безопасности Android до сих пор слабо смотрел на безопасность мобильных устройств. Он сказал, что цель Google заключается в обеспечении тихой, невидимой безопасности, и предположил, что охранные компании больше внимания уделяют привлечению внимания и увеличению продаж. Генеральный директор и соучредитель viaForensics Эндрю Хуг также высказался по поводу традиционных моделей безопасности на мобильных устройствах. Он отметил, что «песочница» приложений в мобильных операционных системах хорошо защищает приложения, но также ограничивает возможности приложений по защите от угроз. Его решение? Предоставьте разработчикам безопасности доступ к корневым привилегиям.

Я не полностью согласен с любой из этих позиций, но растущие угрозы для мобильных устройств требуют новых способов защиты устройств. Защитить от вредоносных приложений недостаточно, и хотя инструменты, которые компании по обеспечению безопасности добавляют в свои мобильные приложения, полезны, их не будет достаточно вечно.

Изображение через пользователя Flickr Tiago A. Pereira



7 4. Безопасность в сиденье водителя

Мы много говорим о том, что безопасность должна быть частью ДНК организации, и как команды безопасности не могут просто реагировать на кризисы или в режиме пожаротушения все время. Похоже, что общий консенсус опережает угрозы, будь то с помощью более эффективных методов обеспечения безопасности, чтобы перекрыть пути атаки, или интеграции с другими командами, чтобы с самого начала рассматривать проблемы безопасности.



8 3. Нам нужно больше людей в безопасности

Мы постоянно слышали о том, что нехватка специалистов по безопасности. Компании, которые традиционно не должны были думать о безопасности - защите своих данных или обеспечении безопасности своих продуктов, - сейчас пытаются найти опытных специалистов по безопасности. Правительственные учреждения пытаются привлечь самых ярких хакеров, чтобы пополнить их ряды. Существует нехватка навыков, частично потому, что у нас недостаточно людей, специализирующихся на безопасности, но также и потому, что компании не выполняют хорошую работу по подбору персонала.

Нам нужно больше женщин в сфере технологий, в частности, в сфере информационной безопасности. Сессии в RSAC были сосредоточены на создании структур поддержки, чтобы поощрять женщин, заинтересованных в infosec, но также чтобы подчеркнуть некоторые из их достижений.



9 2. Грязные приложения хуже мобильных вредоносных программ

Защита от вредоносного ПО продолжает оставаться в центре внимания многих компаний, занимающихся мобильной безопасностью, но это далеко не единственная угроза. Многие участники конференции RSAC предположили, что неплотные приложения, то есть приложения, которые передают личные данные пользователей без шифрования или в огромных количествах, представляют гораздо большую угрозу для пользователей. Для читателей нашего репортажа о мобильных угрозах в понедельник это не должно вызывать удивления. В этом году мы с нетерпением ждем новых инструментов, таких как viaProtect, которые помогут потребителям увидеть, что на самом деле делают их приложения. Тем не менее, наблюдение за тем, как кто-то разрывает, модифицирует и переупаковывает приложение Android за пять минут, является напоминанием о том, что вредоносное ПО по-прежнему остается проблемой.

Изображение через пользователя Flickr Grotuk

• 10 1. Наблюдение не уходит

  Новоиспеченный директор ФБР Джеймс Коми в своей презентации на RSAC 2014 прояснил две вещи: ФБР нуждается в сотрудничестве со стороны бизнеса для борьбы с киберугрозами, но электронное наблюдение здесь, чтобы остаться. На одном уровне мы все это знаем. Мы не можем ожидать, что шпионы и полицейские будут продолжать прослушивать телефоны, когда плохие парни общаются с помощью электронной почты и других инструментов. Как общество, мы должны признать, что цифровая связь является целью и, возможно, законной. Точно так же участники дискуссии на увлекательном круглом столе американских специалистов по разведке подчеркнули, что АНБ не является "агентом-изгоем" и что каждое другое государство нации занимается электронным наблюдением. Они также заявили, что шпионажу внутри страны необходимо найти лучший баланс с неприкосновенностью частной жизни, и что люди не должны позволять выборным должностным лицам использовать свою «историю прикрытия» правдоподобного отрицания для разведывательных операций.