10 Idea besar dalam keselamatan digital

Tidak lama dahulu berita keselamatan bermakna kelemahan dan virus yang tersebar menyeberang komputer desktop. Tetapi sekarang orang di mana-mana bimbang tentang pengintipan agensi kerajaan, Heartbleed membiarkan data peribadi mereka longgar di Web, dan ancaman mudah alih yang semakin meningkat. Heck, liputan kebocoran Edward Snowden mengenai usaha pengintipan domestik Agensi Keselamatan Negara menjaringkan Hadiah Pulitzer tahun ini. Oleh kerana kehidupan kita semakin terfokus pada peranti digital dan Internet, lebih banyak orang semakin bimbang tentang keselamatan, dan dengan itu. Persoalannya ialah, apakah isu sebenar-dan apa khabar gembar-gembur dari media arus perdana?

Untuk gambaran yang kukuh tentang apa yang sebenarnya penting, gulung balik ke Februari lalu ini, apabila beribu-ribu hadirin berkumpul di San Francisco untuk Persidangan RSA. Di antaranya ialah pencipta produk keselamatan dan penyelidik yang telah membongkar beberapa kisah keselamatan terbesar. Ini adalah salah satu perhimpunan terbesar seumpamanya, dan idea-idea dari RSAC akan mempunyai kesan besar terhadap keselamatan digital sepanjang tahun.

Snowden dan Keselamatan

Orang sering bercanda bahawa Kerajaan AS mendengar segala-galanya semua orang berkata, tetapi tiada siapa yang benar-benar ketawa mengenainya lagi. Perjanjian yang didakwa di antara Agensi Keselamatan Negara dan RSA Security melancarkan persidangan, yang tidak lagi berkait langsung dengan syarikat RSA itu.

Yang menghairankan, NSA memutuskan sekali lagi untuk mempunyai kehadiran di tingkat pameran tahun ini. Walaupun mereka tidak, sukar untuk mengelakkan NSA. Sesetengah vendor menyerahkan coaster dengan logo agensi itu pada mereka, sementara orang lain mengambil untuk menulis komentar snide di papan tulis awam. Seorang penjual nampaknya membantah berada di dekat gerai NSA, sementara yang lain mengambil peluang untuk melancarkan video mengenai Snowden.

Beberapa penceramah menarik persembahan mereka dalam protes dan menganjurkan acara satu hari yang bersaing yang dikenali sebagai Trustycon. Ini bertujuan untuk membantu meningkatkan kesedaran mengenai isu privasi, walaupun sesetengah orang melihatnya secara berbeza.

China Siapa?

Tahun lepas, boogeyman di bawah katil semua orang adalah China. Ketakutan di kalangan orang dalam industri adalah penyerang yang ditaja negara atau tunggal dari China yang mencuri harta intelek dan sama ada menjualnya atau memberikannya kepada pesaing Cina. Terdapat juga ancaman siber siber antara negara-negara, membuat semua lebih nyata dengan laporan berterusan Ancaman Terperinci Advanced canggih.

Terus maju ke tahun ini dan kebimbangan lebih mellow. Penceramah menyebut "pencurian harta intelektual, " tetapi tidak melihat keperluan dalam mengatakan siapa yang akan berada di belakangnya. Apabila serangan "negara negara" telah disebutkan pada tahun lalu ia hampir pasti bermaksud "China" tetapi tahun ini ia boleh dengan mudah bermaksud "Amerika Syarikat."

Sepuluh Perkara

Di luar cerita-cerita besar ini, terdapat beberapa perkembangan yang menjanjikan, teknologi baru, dan nasihat yang betul dan benar di RSA. Pertama dan terpenting? Patch perisian anda. Terdapat juga vendor yang berminat untuk memindahkan kata laluan yang lalu, yang kami harap akan dapat dilihat tidak lama lagi. Juga, saya harap anda semua membaca sebelum pertunjukan tahun depan.

Ini adalah beberapa kisah besar yang pakar-pakar keselamatan sedang berdengung, tetapi mereka bukan satu-satunya. Berikut adalah sepuluh idea besar kami yang sedang berlaku dalam keselamatan sekarang.

1 10. Backdoors in Encryption

Agensi Keselamatan Negara berada pada fikiran semua orang pada persidangan tahun ini, dan ia merupakan kisah keselamatan terbesar sepanjang tahun. Dan walaupun Persidangan RSA adalah entiti yang berbeza dari RSA Security syarikat, sambungan yang bernilai juta dolar antara RSA dan NSA adalah topik perbincangan yang kerap. Pengerusi RSA Art Coviello menolak tuduhan dalam ucapannya, tetapi meminta pembaharuan dalam agensi pengintip. Berbeza dengan tahun lepas, kebimbangan mengenai China mengambil tempat duduk belakang untuk kebimbangan bahawa penyulitan mungkin tidak selamat seperti yang kita fikirkan.



2 9. Buzzwords Membunuh Perkataan

Sebaik sahaja perkataan mencapai status kata kunci, ia tidak lagi bermakna apa-apa yang berguna. Malangnya, terdapat banyak perkataan seperti itu di RSAC, di mana setiap orang menggunakan kata yang sama, tetapi tiada siapa bersetuju dengan definisi itu. Apabila ia datang kepada ancaman ancaman, adakah kita bercakap tentang petunjuk kompromi, atau kita bercakap tentang memperkayakan data sedia ada dengan sumber pihak ketiga? Apa sebenarnya "next-gen" yang bermaksud lagi? Pada ketika ini, kita sepatutnya berada di gen seterusnya. Bagaimanakah sebilangan produk dapat menimbulkan revolusi keselamatan? Adakah industri tahu apa yang menjanjikan lagi?

Imej melalui pengguna Flickr Soumyadeep Paul



3 8. Apabila Serangga, Kereta, dan Mesin Kopi Serang

Internet Perkara merangkul Persidangan RSA tahun ini dan semua orang bimbang tentang prospek menjamin mereka. Pengambilalihan utama-agak menyedihkan - adalah bahawa kita belum bersedia untuk memastikan semua peranti kami, sama ada peralatan rumah tangga, peranti perubatan, atau kereta. Walaupun begitu, sesetengahnya tidak semua yang berkenaan, mengatakan bahawa penjenayah tidak mungkin cuba mengendalikan atau merosakkan kereta yang terhubung dari jauh. Lebih mungkin penjenayah akan pergi "hulu" untuk mengompromi pelayan yang menggunakan Perkara-seperti pelayan OnStar untuk kereta-dan mengewangkan mereka.

Internet Perkara tidak semestinya menanam lebih banyak dan lebih banyak lagi peranti yang bersambung. Di tengah Heartbleed, para penyelidik tidak hanya prihatin dengan pelayan tetapi semua dan semua perangkat yang terhubung.



4 7. Sulitkan Semuanya

Jawapan dari semua orang tentang bagaimana untuk meningkatkan keselamatan-terutamanya keselamatan mudah alih-adalah penyulitan, enkripsi, enkripsi. Aplikasi mudah alih bergerak sejumlah besar maklumat di Internet, dan banyak pemaju memilih untuk tidak menyulitkan urus niaga tersebut, memberikan penyerang dan negara yang menyatakan banyak untuk dilihat. Sekali lagi berpaling ke NSA, Co3 CTO Bruce Schneier mengemukakan bahawa agensi itu mungkin telah melanggar beberapa bentuk penyulitan tetapi tidak dapat memproses sejumlah besar data yang disulitkan. Beliau berkata bahawa jumlah maklumat yang tidak diselongsi yang terbang tidak semestinya menjadikannya terlalu mudah bagi sesiapa yang mencari data stok. Kembali pada bulan Februari, kebimbangan mengenai penyulitan didasarkan pada kelemahan NSA yang dicipta dan masalah SSL Apple. Pengumuman Heartbleed adalah peringatan yang mengejutkan bahawa walaupun alat terbaik yang kita masih belum sempurna.

Imej melalui akaun Anonymous pengguna Flickr

• 5 6. Tiada Peluru Perak

  Kami menghabiskan banyak masa bercakap mengenai persembahan dan individu di RSAC, tetapi kita tidak sepatutnya melupakan bahawa acara itu adalah pameran perdagangan dan lantai pameran penuh dengan vendor yang bekerja untuk meyakinkan pembeli bahawa produk mereka adalah yang terbaik di sekelilingnya. Menghairankan, banyak syarikat keselamatan masih menolak idea peluru perak-satu penyelesaian tunggal untuk sebarang dan semua masalah keselamatan anda. Ini agak mengejutkan memandangkan tahun lalu telah menunjukkan bahawa terdapat banyak jalan untuk serangan, dan mereka boleh berbeza bergantung kepada siapa yang berada di belakang mereka dan apa yang mereka selepas itu. VP Kanan HP Art Gilliland menyarankan agar syarikat berhenti mencari senjata baru dan mengambil pendekatan yang lebih holistik terhadap keselamatan. Paling penting dalam senarai penambahbaikan? Melabur dalam individu dan meningkatkan latihan keselamatan.



6 5. AV mudah alih tidak berfungsi

Semasa beliau meraikan komuniti keselamatan yang bekerja dengan dan dalam Android untuk menjadikannya lebih baik, Jurutera Utama Google untuk Android Security mengambil pandangan yang kurang jelas tentang keselamatan mudah alih setakat ini. Beliau berkata bahawa matlamat Google adalah untuk menyediakan keselamatan yang tenang dan tidak dapat dilihat dan mencadangkan agar syarikat-syarikat keselamatan lebih mendapat perhatian dan meningkatkan jualan. Ketua Pegawai Eksekutif viaForensics dan pengasas bersama Andrew Hoog juga mengambil isu dengan model keselamatan tradisional di telefon bimbit. Beliau menegaskan bahawa sandboxing aplikasi dalam sistem pengendalian mudah alih berfungsi dengan baik untuk mendapatkan aplikasi tetapi ia juga mengehadkan keupayaan aplikasi keselamatan untuk menangani ancaman. Penyelesaiannya? Berikan akses pemaju keselamatan kepada keistimewaan root.

Saya tidak bersetuju sepenuhnya dengan kedudukan sama ada, tetapi peningkatan ancaman mudah alih menuntut cara baru untuk mendapatkan peranti. Menjaga aplikasi jahat tidak mencukupi, dan walaupun alat-alat keselamatan syarikat menambah aplikasi mudah alih mereka berguna, mereka tidak akan cukup selama-lamanya.

Imej melalui pengguna Flickr Tiago A. Pereira



7 4. Keselamatan di Tempat Pemandu

Kami bercakap banyak tentang bagaimana keselamatan perlu menjadi sebahagian daripada DNA organisasi, dan bagaimana pasukan keselamatan tidak boleh bertindak balas terhadap krisis atau dalam mod pemadam kebakaran sepanjang masa. Konsensus umum seolah-olah mendapat ancaman, sama ada dengan mempunyai amalan keselamatan yang lebih baik untuk menutup saluran serangan atau menggabungkan dengan pasukan lain untuk memastikan kebimbangan keselamatan dianggap betul dari awal.



8 3. Kita Perlu Lebih Banyak Orang dalam Keamanan

Salah satu perkara yang kita sering dengar ialah bagaimana terdapat kekurangan tenaga keselamatan. Syarikat-syarikat yang secara tradisinya tidak perlu memikirkan keselamatan yang melindungi data mereka atau memastikan produk mereka selamat-kini berjuang untuk mencari profesional keselamatan berpengalaman. Agensi-agensi kerajaan cuba menarik penggodam yang paling terang untuk mengisi pangkat mereka. Terdapat jurang kemahiran, sebahagiannya kerana kita tidak mempunyai cukup orang yang mengkhususkan diri dalam keselamatan, tetapi juga kerana syarikat tidak melakukan pekerjaan yang baik merekrut.

Kami memerlukan lebih banyak wanita dalam teknologi, dan keselamatan maklumat khususnya. Sesi di RSAC memberi tumpuan kepada mewujudkan struktur sokongan untuk menggalakkan wanita yang berminat dengan infosec, tetapi juga untuk menyerlahkan beberapa pencapaian mereka.



9 2. Apps Leaky Lebih Buruk Daripada Perisian Bergerak Mudah Alih

Pertahanan terhadap perisian hasad terus menjadi tumpuan bagi banyak syarikat keselamatan mudah alih, tetapi itu bukan satu-satunya ancaman. Ramai peserta dalam persidangan RSAC mencadangkan bahawa aplikasi bocor-iaitu aplikasi yang menghantar data peribadi pengguna tanpa penyulitan atau dalam jumlah besar-adalah ancaman yang lebih besar kepada pengguna. Kepada pembaca liputan Mobile Ancaman Isnin kami, ini tidak akan mengejutkan. Tahun ini, kami menantikan alat baru seperti via Protect untuk membantu pengguna melihat apa yang sebenarnya dilakukan oleh aplikasi mereka. Katanya, melihat seseorang yang memisahkan, mengubah suai, dan mengemas semula apl Android dalam masa lima minit adalah peringatan bahawa perisian hasad masih menjadi masalah.

Imej melalui pengguna Flickr Grotuk

• 10 1. Pengawasan Tidak Akan Pergi

  Pengarah baru FBI James Comey membuat dua perkara yang jelas dalam persembahan RSAC 2014: FBI memerlukan kerjasama dari perniagaan untuk memerangi ancaman siber, tetapi pengawasan elektronik berada di sini untuk kekal. Pada satu peringkat, kita semua tahu ini. Kita tidak boleh mengharapkan pengintip dan polis untuk terus mengetuk telefon apabila orang jahat berkomunikasi dengan e-mel dan alat lain. Sebagai sebuah masyarakat, kita perlu menerima bahawa komunikasi digital adalah sasaran, dan mungkin yang sah. Begitu juga, ahli panel di meja bulat yang menarik di kalangan orang-orang perisikan AS menegaskan bahawa NSA bukan "agensi penyangak" dan bahawa setiap negara negara lain terlibat dalam pengawasan elektronik. Mereka juga mengatakan bahawa mengintip domestik memerlukan imbangan yang lebih baik dengan privasi, dan orang tidak boleh membenarkan pegawai yang dipilih menggunakan "cerita sampingan" mereka yang tidak dapat dipercayai untuk operasi perisikan.