Видео: whatsaper ru ÐедеÑÑкие анекдоÑÑ Ð¿Ñо ÐовоÑÐºÑ (Ноябрь 2024)
На прошлой неделе вся команда SecurityWatch собралась на конференцию RSA, чтобы получить последние новости о новых инновациях в области безопасности, новейших технологиях и о том, о чем действительно говорит сообщество безопасности. Поскольку большинство из вас были достаточно здравомыслящими, чтобы не проводить неделю на выставках, вот наши десять вещей, которые вы должны знать о безопасности прямо сейчас.
10. ОГА и АНБ
Агентство национальной безопасности было в голове у всех на конференции этого года, и это была самая большая история безопасности в прошлом году. И хотя конференция RSA отличается от компании RSA Security, предполагаемая многомиллионная связь между RSA и АНБ была частой темой для обсуждения. Председатель RSA Арт Ковиелло отклонил обвинения в своем основном обращении, но призвал к проведению реформ в шпионском агентстве. В отличие от прошлого года, опасения по поводу Китая отошли на второй план.
9. Модные слова, убивающие слова
Как только слово достигает статуса модного слова, оно перестает означать что-либо полезное. К сожалению, было много таких слов в RSAC, где все использовали одни и те же слова, но никто не согласился с определением. Когда речь заходит об анализе угроз, речь идет о показателях компромисса или об обогащении существующих данных сторонними источниками? Что именно означает «следующий поколение»? На данный момент, мы должны быть в следующем следующем поколении. Как столько продуктов может предвещать революцию в сфере безопасности? Знает ли отрасль, что она обещает?
8. Когда тостеры, машины и кофемашины атакуют
В этом году Интернет вещей закрался на конференцию RSA, и все обеспокоены перспективой их обеспечения. Главное, что печально, - это то, что мы еще не готовы обезопасить все наши устройства, независимо от того, идет ли речь о бытовой технике, медицинских устройствах или автомобилях. Несмотря на это, некоторые не были обеспокоены этим, говоря, что преступники вряд ли будут пытаться дистанционно управлять или разбить подключенную машину. Более вероятно, что преступники пойдут «вверх по течению», чтобы скомпрометировать серверы, которые используют Вещи, такие как серверы OnStar для автомобилей, и монетизировать это.
7. Зашифруйте все
Ответ всех на вопрос о том, как повысить безопасность, особенно безопасность мобильных устройств, был шифрованием, шифрованием, шифрованием. Мобильные приложения перемещают огромные объемы информации по Интернету, и многие разработчики предпочитают не шифровать эти транзакции, что дает злоумышленникам и национальным государствам возможность на многое взглянуть. Снова обращаясь к АНБ, технический директор Co3 Брюс Шнайер заявил, что агентство, вероятно, нарушило некоторую форму шифрования, но не может обрабатывать огромные объемы зашифрованных данных. Он сказал, что огромное количество незашифрованной информации, летающей вокруг, просто делает слишком легким для любого, кто хочет накапливать данные.
6. Там нет серебряных пуль
Мы провели много времени, рассказывая о презентациях и отдельных лицах в RSAC, но мы не должны забывать, что это мероприятие является торговой выставкой и что в выставочном зале полно продавцов, работающих над тем, чтобы убедить покупателей в том, что их продукт лучше всех. Удивительно, но многие охранные компании все еще выдвигали идею серебряных пуль - единого решения для любых проблем безопасности. Это немного удивительно, учитывая, что прошедший год показал, что существует множество путей для атак, и что они могут различаться в зависимости от того, кто стоит за ними и что они преследуют. Старший вице-президент HP Арт Гиллилэнд предложил компаниям прекратить поиск нового оружия и использовать более целостный подход к безопасности. Самое главное в его списке улучшений? Инвестируйте в людей и улучшайте обучение безопасности.
5. Мобильный AV не работает
В то время как он отметил, что сообщество безопасности работает с Android и внутри Android, чтобы улучшить его, ведущий инженер Google по безопасности Android до сих пор слабо смотрел на безопасность мобильных устройств. Он сказал, что цель Google заключается в обеспечении тихой, невидимой безопасности, и предположил, что охранные компании больше внимания уделяют привлечению внимания и увеличению продаж. Генеральный директор и соучредитель viaForensics Эндрю Хуг также высказался по поводу традиционных моделей безопасности на мобильных устройствах. Он отметил, что «песочница» приложений в мобильных операционных системах хорошо защищает приложения, но также ограничивает возможности приложений по защите от угроз. Его решение? Предоставьте разработчикам безопасности доступ к корневым привилегиям.
Я не полностью согласен с любой из этих позиций, но растущие угрозы для мобильных устройств требуют новых способов защиты устройств. Защитить от вредоносных приложений недостаточно, и хотя инструменты, которые компании по обеспечению безопасности добавляют в свои мобильные приложения, полезны, их не будет достаточно вечно.
4. Безопасность в водительском кресле
Мы много говорим о том, что безопасность должна быть частью ДНК организации, и как команды безопасности не могут просто реагировать на кризисы или в режиме пожаротушения все время. Общий консенсус, похоже, опережает угрозы, будь то с помощью более эффективных методов обеспечения безопасности, чтобы перекрыть пути атаки, или интеграции с другими командами, чтобы убедиться, что проблемы безопасности рассматриваются с самого начала.
3. Нам нужно больше людей в безопасности
Мы постоянно слышали о том, что нехватка специалистов по безопасности. Компании, которые традиционно не должны были думать о безопасности - защите своих данных или обеспечении безопасности своих продуктов - сейчас пытаются найти опытных специалистов по безопасности. Правительственные учреждения пытаются привлечь самых ярких хакеров, чтобы пополнить их ряды. Существует нехватка навыков, частично потому, что у нас недостаточно людей, специализирующихся на безопасности, но также и потому, что компании не выполняют хорошую работу по подбору персонала.
Нам нужно больше женщин в сфере технологий, в частности, в сфере информационной безопасности. Сессии в RSAC были сосредоточены на создании структур поддержки, чтобы поощрять женщин, заинтересованных в infosec, но также чтобы подчеркнуть некоторые из их достижений.
2. Грязные приложения хуже мобильных вредоносных программ
Защита от вредоносного ПО продолжает оставаться в центре внимания многих компаний, занимающихся мобильной безопасностью, но это далеко не единственная угроза. Многие участники конференции RSAC предположили, что неплотные приложения, то есть приложения, которые передают личные данные пользователей без шифрования или в огромных количествах, представляют гораздо большую угрозу для пользователей. Для читателей нашего репортажа о мобильных угрозах в понедельник это не должно вызывать удивления. В этом году мы с нетерпением ждем новых инструментов, таких как viaProtect, которые помогут потребителям увидеть, что на самом деле делают их приложения. Тем не менее, наблюдение за тем, как кто-то разрывает, модифицирует и переупаковывает приложение Android за пять минут, является напоминанием о том, что вредоносное ПО по-прежнему остается проблемой.
1. Наблюдение не уходит
Новоиспеченный директор ФБР Джеймс Коми в своей презентации на RSAC 2014 прояснил две вещи: ФБР нуждается в сотрудничестве со стороны бизнеса для борьбы с киберугрозами, но электронное наблюдение здесь, чтобы остаться. На одном уровне мы все это знаем. Мы не можем ожидать, что шпионы и полицейские будут продолжать прослушивать телефоны, когда плохие парни общаются с помощью электронной почты и других инструментов. Как общество, мы должны признать, что цифровая связь является целью и, возможно, законной. Точно так же участники дискуссии на увлекательном круглом столе американских специалистов по разведке подчеркнули, что АНБ не является "агентом-изгоем" и что каждое другое государство нации занимается электронным наблюдением. Они также заявили, что шпионажу внутри страны необходимо найти лучший баланс с неприкосновенностью частной жизни, и что люди не должны позволять выборным должностным лицам использовать свою «историю прикрытия» правдоподобного отрицания для разведывательных операций.
Изображение через пользователя Flickr Niko Notibär