Дом Securitywatch Блокнот rsac: понедельник

Блокнот rsac: понедельник

Anonim

Конференция RSA с каждым годом становится все больше, встречается все больше компаний, больше демонстраций технологий и больше проницательных сессий. Но одна из главных причин, по которым я путешествую по стране каждый год, - это разговоры за пределами официальных рамок конференции. Одноразовое заявление, сделанное за завтраком, короткий разговор в коридоре о том, что кто-то видел или слышал, или оживленные дебаты на одном из многочисленных общественных мероприятий в течение недели.

Вот краткий снимок того, как выглядел мой блокнот в конце дня в понедельник, 24 февраля.

Занят, занят, занят

Официально конференция не начнется до вступительной речи Арт Ковиелло во вторник, но многие люди говорят и думают о безопасности вокруг Moscone Center в Сан-Франциско. Фактически, на выставке участвуют 400 продавцов, спонсирующих или выставляющих экспонаты, более 500 докладчиков и около 25 000 посетителей. Я понятия не имею, где что-то больше, и мне нужно заново изучать географию RSAC. Может быть, есть что сказать для небольших, региональных, более интимных шоу.

Кодирование безопасности

Проект Open Web Application Security (OWASP) провел бесплатное обучение методам безопасного кодирования в Jillian's (баре возле Moscone), в котором мог принять участие любой участник RSAC. Сессия была полна общей информации о типах веб-угроз, от которых разработчики должны защищаться. Более того, руководители глав Джим Манико и Эоин Кири предложили очень практичные советы по кодированию для нескольких основных языков и сред, включая Ruby, Java, Cold Fusion и Perl. Интересно, действительно ли бармены обращали внимание на сессию или просто сосредоточились на том, чтобы пить напитки текли.

Автоматические сканеры могут помочь найти уязвимости в коде. Это здорово, правда? Не обязательно, поскольку автоматизированные сканеры не могут учитывать бизнес-контекст или всегда обрабатывают специализированные сценарии использования. С проверкой кода у вас есть кто-то еще, кто просматривает логику программы и применяет бизнес-сценарии. Это напоминает недавнюю уязвимость Apple в отношении iOS в iOS и Mac OS X. Ошибка gotofail была ошибкой, но проверка кода могла бы ее обнаружить, прежде чем она стала потенциальной проблемой для пользователей.

Из сессии OWASP: «Роботы обнаруживают неизвестных. Люди обнаруживают неизвестных».

Лучшие фильмы о хакерах

После того, как Рик Ховард, директор ООП в Пало-Альто, и я поговорили о книгах, которые должны прочитать профессионалы в области информационной безопасности, мы перешли не по теме к фильмам. Говард обсуждает эту тему в четверг.

Итак, какой фильм по информационной безопасности является лучшим за все время?

По словам Говарда, какой фильм является лучшим, имеет непосредственное отношение к тому поколению, с которым человек отождествляет себя больше всего. Главным фильмом для него были « Военные игры» . Следующее поколение профессионалов Infosec, вероятно, будет утверждать, что хакеры были лучшими. А те, кто еще моложе, чаще называют фильм « Матрица ». Будучи твердо в лагере хакеров , хотя я действительно люблю военные игры , Матрица кажется немного неуместной.

Из твиттера

Одна из пропущенных мной была панель, которую модерировал Джаввад Малик, старший аналитик 451 Research, по устранению разрыва в навыках кибербезопасности. Твиттер получил следующую жемчужину от панели: Джейн Лют, президент и главный исполнительный директор Совета по кибербезопасности, сказала: «Мы пишем нереальные описания должностных обязанностей».

Рекрутеры часто жалуются на недостаток навыков, что они не могут найти кандидатов, которые соответствуют требованиям работы. Но проблема на самом деле не в отсутствии квалифицированных кандидатов, а в том, что рекрутеры требуют навыков, таких как 15-летний опыт защиты Windows 7.

Жгучий вопрос

Будет ли Арт Ковиелло обсуждать секретный контракт на 10 миллионов долларов, который RSA Security предположительно заключил с Агентством национальной безопасности, во вступительной речи во вторник?

Блокнот rsac: понедельник