10 grans idees en seguretat digital

No fa gaire que les notícies de seguretat van significar vulnerabilitats fosques i virus que s'estenen pels ordinadors d'escriptori. Però ara la gent de tot arreu està preocupada per espiar les agències governamentals, Heartbleed deixa anar les seves dades personals al web i l'augment de les amenaces mòbils. Heck, la cobertura de les filtracions d'Edward Snowden sobre els esforços d'espionatge nacional de l'Agència de Seguretat Nacional va guanyar els premis Pulitzer aquest any. A mesura que les nostres vides es centren més en els dispositius digitals i Internet, més gent es preocupa per la seguretat, i amb raó. La pregunta és, quins són els problemes reals, i què és només l'exageració del sabor del mes dels mitjans de comunicació principals?



Per obtenir una visió general sòlida del que realment importa, retrocedeix al febrer passat, quan milers d'assistents es van reunir a San Francisco per a la conferència RSA. Entre ells hi havia els creadors de productes de seguretat i els investigadors que han trencat algunes de les històries de seguretat més importants. És una de les trobades més grans d'aquest tipus, i les idees de RSAC tindran un gran impacte en la seguretat digital durant la resta de l'any.

Snowden i seguretat
La gent solia fer broma dient que el govern dels Estats Units estava escoltant tot el que deia tothom, però ja ningú se'n riu realment. El suposat acord entre l'Agència de Seguretat Nacional i RSA Security va afectar la conferència, que ja no està directament afiliada a l'empresa RSA.





Sorprenentment, la NSA va decidir tornar a tenir presència a la sala d'exposicions aquest any . Encara que no ho fessin, era difícil evitar la NSA. Alguns venedors van repartir muntanyes amb el logotip de l'agència, mentre que altres persones es van dedicar a escriure comentaris sarcásticos a les pissarres públiques . Aparentment, un venedor es va oposar a estar situat a prop de l'estand de la NSA, mentre que un altre va aprofitar l'oportunitat per publicar vídeos en bucle sobre Snowden.

Alguns ponents van fer les seves presentacions en protesta i van organitzar un esdeveniment competitiu d'un dia anomenat Trustycon . Això pretenia ajudar a conscienciar sobre els problemes de privadesa, tot i que algunes persones ho veien de manera diferent.



Xina Qui?
L'any passat, el boogeyman sota el llit de tothom era la Xina. La por entre els experts de la indústria era que els atacants patrocinats per l'estat o solitaris de la Xina robaven propietat intel·lectual i la venien o la donaven a competidors xinesos. També hi havia l'amenaça d'una guerra cibernètica entre nacions, feta encara més real pels informes continuats de sofisticades amenaces persistents avançades.

Avancem ràpidament aquest any i les preocupacions són més suaus. Els ponents van esmentar el 'robatori de propietat intel·lectual', però no van veure la necessitat de dir qui hi hauria darrere. Quan l'any passat es van esmentar els atacs d''estat-nació', gairebé segur que significava 'Xina', però aquest any podria haver significat fàcilment 'els Estats Units d'Amèrica'.

Deu Coses
Fora d'aquestes grans històries, hi va haver alguns desenvolupaments prometedors, noves tecnologies i consells provats i veritables a RSA. Primer i abans que res? Apliqueu el vostre programari. També hi havia molts venedors interessats passar les contrasenyes més enllà , que esperem veurem passar aviat. A més, espero que tots feu la lectura abans de l'espectacle de l'any vinent.

Aquestes van ser algunes de les grans històries de les quals parlen els experts en seguretat, però no són les úniques. Aquí teniu les nostres deu grans idees que s'estan produint en seguretat ara mateix.

Anunci

1. 10. Portes posteriors en xifrat

10. Portes posteriors en xifratL'Agència de Seguretat Nacional estava en la ment de tothom a la conferència d'enguany, i ha estat la història de seguretat més important de l'any passat. I tot i que la Conferència RSA és una entitat diferent de l'empresa RSA Security, la suposada connexió multimilionària entre RSA i la NSA va ser un tema de discussió freqüent. El president de RSA, Art Coviello, va desestimar les acusacions en el seu discurs principal, però va demanar reformes a l'agència d'espionatge. A diferència de l'any passat, els temors sobre la Xina van passar a un segon pla davant la preocupació que el xifratge podria no ser tan segur com pensàvem.

2. 9. Paraules de moda Paraules de mort

9. Paraules de moda Paraules de mortUna vegada que una paraula arriba a l'estat de paraula de moda, deixa de significar res útil. Malauradament, hi havia un munt de paraules com aquesta a RSAC, on tothom feia servir les mateixes paraules, però ningú estava d'acord amb la definició. Quan es tracta d'intel·ligència d'amenaces, estàvem parlant d'indicadors de compromís o estàvem parlant d'enriquir les dades existents amb fonts de tercers? Què vol dir exactament 'next-gen'? En aquest punt, hauríem d'estar a next-next-gen . Com poden tants productes anunciar una revolució de la seguretat? La indústria ja sap el que promet?

Imatge a través de l'usuari de Flickr Soumyadeep Paul

3. 8. Quan ataquen les torradores, els cotxes i les màquines de cafè

8. Quan atacen les torradores, els cotxes i les màquines de cafèL'Internet de les coses es va col·locar a la Conferència RSA aquest any i tothom està preocupat per la possibilitat d'assegurar-los. La clau per emportar, bastant angoixant, és que encara no estem preparats per protegir tots els nostres dispositius, ja siguin electrodomèstics, dispositius mèdics o cotxes. Tot i així, alguns no estaven tan preocupats, ja que diuen que no era probable que els delinqüents intentessin controlar a distància o xocar un cotxe connectat . Seria més probable que els delinqüents anessin 'amunt' per comprometre els servidors que utilitzen les coses, com ara els servidors OnStar per a cotxes, i els monetitzin.

Sens dubte, l'Internet de les coses apareixerà més i més a mesura que es connectin més dispositius. Arran de Heartbleed, els investigadors no només es preocupaven pels servidors, sinó sobre qualsevol i tots els dispositius connectats .

4. 7. Xifra-ho tot

7. Xifra-ho totLa resposta de tothom sobre com millorar la seguretat, especialment la seguretat mòbil, va ser el xifratge, el xifratge, el xifratge. Les aplicacions mòbils estan movent grans quantitats d'informació per Internet i molts desenvolupadors opten per no xifrar aquestes transaccions, cosa que ofereix als atacants i als estats nacionals molt per mirar. Tornant a girar a la NSA, el CTO de Co3, Bruce Schneier, va plantejar que l'agència probablement ha trencat algun tipus de xifratge, però no pot processar grans quantitats de dades xifrades. Va dir que la gran quantitat d'informació no xifrada que vol per aquí simplement fa que sigui massa fàcil per a qualsevol que vulgui emmagatzemar dades. Al febrer, les preocupacions sobre el xifratge es basaven en les vulnerabilitats creades per la NSA i els problemes SSL d'Apple. L'anunci de Heartbleed és un recordatori que recorda que fins i tot les millors eines que tenim encara no són perfectes.

Imatge a través del compte anònim de l'usuari de Flickr

5. 6. No hi ha Bales de Plata

Vam estar molt de temps parlant de presentacions i persones a RSAC, però no hem d'oblidar que l'esdeveniment és una fira i que la sala d'exposició està plena de venedors que treballen per convèncer els compradors que el seu producte és el millor que hi ha. Sorprenentment, moltes empreses de seguretat encara impulsaven la idea de les bales de plata, una solució d'un sol servei per a tots els vostres problemes de seguretat. Això és una mica sorprenent atès que l'any passat s'ha demostrat que hi ha nombroses vies d'atac, i que poden variar segons qui hi ha darrere i què busquen. El vicepresident sènior d'HP, Art Gilliland, va suggerir que les empreses deixin de buscar noves armes i adoptin un enfocament més holístic de la seguretat. El més important de la seva llista de millores? Invertiu en persones i milloreu la formació en seguretat.

6. 5. AV mòbil no funciona

5. Mobile AV DoesnTot i que va celebrar la comunitat de seguretat que treballava amb i dins d'Android per millorar-lo, l'enginyer principal de Google per a la seguretat d'Android va tenir una visió tènue de la seguretat mòbil fins ara. Va dir que l'objectiu de Google era proporcionar una seguretat silenciosa i invisible i va suggerir que les empreses de seguretat es dedicaven més a cridar l'atenció i augmentar les vendes. El conseller delegat i cofundador de viaForensics, Andrew Hoog, també va tenir problemes amb els models de seguretat tradicionals al mòbil. Va assenyalar que el sandboxing d'aplicacions als sistemes operatius mòbils fa una bona feina per protegir les aplicacions, però també limita la capacitat de les aplicacions de seguretat per fer front a les amenaces. La seva solució? Doneu desenvolupadors de seguretat accés als privilegis de root .

No estic totalment d'acord amb cap de les dues posicions, però les creixents amenaces mòbils exigeixen noves maneres de protegir els dispositius. No n'hi ha prou amb protegir-se de les aplicacions malicioses i, tot i que les eines que les empreses de seguretat estan afegint a les seves aplicacions mòbils són útils, no seran suficients per sempre.

Imatge a través de l'usuari de Flickr Tiago A. Pereira

7. 4. Seguretat al Seient del Conductor

4. Seguretat en el DriverParlem molt de com la seguretat ha de formar part de l'ADN de l'organització i de com els equips de seguretat no només poden reaccionar davant les crisis o en mode d'extinció d'incendis tot el temps. Sembla que el consens general s'està avançant a les amenaces, ja sigui tenint millors pràctiques de seguretat per tancar vies d'atac o integrant-se amb altres equips per assegurar-se que les preocupacions de seguretat es tenen en compte des del principi.

8. 3. Necessitem més persones amb seguretat

3. Necessitem més persones amb seguretatUna de les coses que vam sentir sempre era com hi havia una escassetat de professionals de seguretat. Les empreses que tradicionalment no havien de pensar en la seguretat (protegint les seves dades o assegurant-se que els seus productes fossin segurs) ara lluiten per trobar professionals de seguretat amb experiència. Les agències governamentals estan intentant atraure els pirates informàtics més brillants per omplir les seves files. Hi ha una manca de competències, en part perquè no tenim prou gent especialitzada en seguretat, però també perquè les empreses no estan fent una bona feina contractant .

Necessitem més dones en tecnologia, i en seguretat de la informació en particular. Les sessions a RSAC es van centrar a crear estructures de suport per animar les dones interessades en infosec, però també per destacar alguns dels seus èxits.

9. 2. Les aplicacions amb fuites són pitjors que el programari maliciós mòbil

2. Les aplicacions amb fuites són pitjors que el programari maliciós mòbilLa defensa contra el programari maliciós continua sent un focus per a moltes empreses de seguretat mòbil, però aquesta no és, de lluny, l'única amenaça. Molts assistents a la conferència de RSAC van suggerir que les aplicacions amb fuites, és a dir, les aplicacions que transmeten les dades personals dels usuaris sense xifratge o en grans quantitats, són una amenaça molt més gran per als usuaris. Per als lectors de la nostra cobertura de Mobile Threat Monday, això no hauria de sorprendre. Aquest any, esperem noves eines com viaProtect per ajudar els consumidors a veure què fan realment les seves aplicacions. Dit això, veure algú trencar, modificar i tornar a empaquetar una aplicació d'Android en cinc minuts és un recordatori que el programari maliciós continua sent un problema.

Imatge a través de l'usuari de Flickr Grotuk

10. 1. La vigilància no desapareix

El director de l'FBI, recentment encunyat, James Comey, va deixar clares dues coses a la seva presentació de RSAC 2014: l'FBI necessita la cooperació de les empreses per lluitar contra les amenaces cibernètiques, però aquesta vigilància electrònica ha arribat per quedar-se. En un nivell, tots ho sabem. No podem esperar que els espies i els policies continuïn tocant els telèfons quan els dolents es comuniquen amb el correu electrònic i altres eines. Com a societat, hem d'acceptar que les comunicacions digitals són un objectiu, i potser legítim. De la mateixa manera, els panelistes d'una fascinant taula rodona d'informats de la intel·ligència nord-americana van subratllar que l'NSA no és una 'agència canalla' i que tots els altres estats nacionals estan involucrats en la vigilància electrònica. També van dir que l'espionatge domèstic ha d'aconseguir un millor equilibri amb la privadesa i que la gent no hauria de permetre que els funcionaris electes utilitzin la seva 'història de cobertura' de negació plausible per a operacions d'intel·ligència.
Recomanat