10 nagy ötlet a digitális biztonságban

Nemrégiben a biztonsági hírek homályos sebezhetőségeket és vírusokat jelentettek az asztali számítógépek között. De most az emberek mindenhol aggódnak a kormányhivatalok szippantása miatt, a Heartbleed számára, hogy személyes adataikat elveszítse az interneten, és a növekvő mobil fenyegetések. A francba, Edward Snowdennek a Nemzetbiztonsági Ügynökség hazai kémkedéssel kapcsolatos szivárgásaival kapcsolatos beszámolója a Pulitzer-díjakat idézi. Ahogy életünk egyre inkább a digitális eszközökre és az internetre koncentrál, egyre többen aggódnak a biztonság miatt, és helyesen. A kérdés az, hogy mi a valódi probléma - és mi csak a havi ízlés hype-je a mainstream médiából?

A valóban fontos információk áttekintése érdekében keresse fel az elmúlt február elejét, amikor résztvevők ezrei érkeztek San Francisco-ba az RSA konferenciára. Közöttük voltak a biztonsági termékek alkotói és a kutatók, akik megsemmisítették a legnagyobb biztonsági történeteket. Ez a maga nemében az egyik legnagyobb összejövetel, és az RSAC ötleteinek év végéig óriási hatása lesz a digitális biztonságra.

Snowden és biztonság

Az emberek csak viccelődtek, hogy az Egyesült Államok kormánya mindent meghallgat, amit mindenki mond, de senki sem neveti igazán. A Nemzeti Biztonsági Ügynökség és az RSA Security közötti állítólagos megállapodás tompította a konferenciát, amely már nem kapcsolódik közvetlenül az RSA társasághoz.

Meglepő módon az NSA ismét úgy döntött, hogy ebben az évben jelen lesz a kiállítási padlón. Még ha nem is volna, nehéz volt elkerülni az NSA-t. Egyes gyártók alátéteket adtak ki az ügynökség logójával, míg mások csúszó megjegyzéseket írtak a nyilvános táblákra. Az egyik eladó nyilvánvalóan kifogásolta, hogy az NSA fülkéje közelében helyezkedjen el, míg egy másik megragadta a lehetőséget, hogy hurden videókat készítsen Snowdenről.

Egyes előadók tiltakozva vonultak előadásaikba és egy-egy napos, Trustycon nevű versenyt rendeztek. Ennek célja, hogy elősegítse a magánélet védelmével kapcsolatos kérdések tudatosítását, bár egyesek másképp látják.

Kína ki?

Tavaly a mindenki ágya alatt fekvő fiú Kína volt. Az ipari bennfentesek félelme az állami támogatású vagy a kínai magányos támadók volt, akik szellemi tulajdonot loptak, vagy eladták, vagy kínai versenytársaknak adták. Ugyancsak fenyegette a nemzetek közötti számítógépes háború, amelyet még inkább valóra vált a kifinomult előrehaladott fenyegetések folyamatos jelentése.

Gyorsan előre az idén, és az aggodalmak enyhébbek. Az előadók megemlítették a "szellemi tulajdon lopását", de nem látták annak szükségességét, hogy megmondják, ki áll majd mögötte. Amikor a tavalyi "nemzetállami" támadásokat megemlítették, ez szinte biztosan "Kínát" jelentett, de ebben az évben könnyen érthette volna az "Amerikai Egyesült Államok" -ot.

Tíz dolog

Ezen nagy történeteken kívül ígéretes fejlesztések, új technológiák és kipróbált tanácsok voltak az RSA-nál. Legelőször is? Javítsa a szoftvert. Számos olyan eladó is szívesen mozgatta volna a jelszavakat, amelyek remélhetőleg hamarosan megtörténnek. Ezenkívül remélem, hogy mindannyian elolvassák a jövő évi show előtt.

Ezek voltak azok a nagy történetek, amelyekről a biztonsági szakértők zümmögtek, de nem csak ezek. Itt vannak az első tíz legnagyobb ötletünk, amelyek jelenleg a biztonságban zajlanak.

1 10. Hátsó ajtók titkosítása

A Nemzetbiztonsági Ügynökség mindenki számára gondot kapott az idei konferencián, és ez volt az elmúlt év legnagyobb biztonsági története. És annak ellenére, hogy az RSA konferencia különálló egység az RSA Security társaságtól, az RSA és az NSA közötti állítólagos többmillió dolláros kapcsolat gyakori vita témája. Az RSA Art Coviello elnöke beszédebeszédében elutasította az állításokat, ám reformokat kért a kémügynökség keretében. A tavalyi éles ellentétben a Kínával kapcsolatos félelmek hátsó helyzetbe kerültek azon aggodalmakkal kapcsolatban, hogy a titkosítás nem lehet olyan biztonságos, mint gondoltuk.



2 9. Buzzwords gyilkos szavak

Amint egy szó eléri a szójelző státuszt, az már nem jelent bármi hasznosat. Sajnos nagyon sok szó volt ilyen az RSAC-nál, ahol mindenki ugyanazokat a szavakat használta, de senki sem értett egyet a meghatározással. A fenyegetésről szóló intelligencia kérdésében a kompromisszumok mutatóiról vagy a meglévő adatok gazdagításáról beszélünk harmadik féltől származó forrásokkal? Pontosan mit jelent a "következő generáció" is? Ezen a ponton a következő-következő generáción kell lennünk. Hogyan lehet olyan sok termék a biztonsági forradalomról szólni? Az iparág még azt is tudja, mit ígér?

Kép a Flickr felhasználói Soumyadeep Paul segítségével



3 8. Amikor a kenyérpirítók, autók és kávéfőzők támadnak

A tárgyak internete beindult az RSA konferenciába ebben az évben, és mindenki aggódik a biztosításuk kilátása miatt. A legfontosabb elvitel - meglehetősen fájdalmasan - az, hogy még nem állunk készen az összes eszközünk biztonságos felszerelésére, legyen szó háztartási, orvosi vagy autóról. De még így is, néhányan nem csak annyira aggódtak, mondván, hogy a bűnözők valószínűleg nem próbálják meg távolról irányítani vagy összeomlani a csatlakoztatott autót. Valószínűbb, hogy a bűnözők „felfelé” lépnének fel, hogy kompromittálják a dolgokat használó kiszolgálókat - például az OnStar kiszolgálókat az autók számára -, és pénzt keressenek ezekre.

A tárgyak internete kétségtelenül egyre inkább felbukkan, mivel egyre több eszköz csatlakozik egymáshoz. A Heartbleed nyomán a kutatók nem csak a szerverekkel foglalkoztak, hanem az összes csatlakoztatott eszközzel is.



7 7. Titkosítson mindent

A titkosítás, a titkosítás, a titkosítás mindenkinek azt a választ adta, hogy miként lehetne javítani a biztonságot - különösen a mobil biztonságot. A mobilalkalmazások hatalmas mennyiségű információt továbbítanak az interneten, és sok fejlesztő úgy dönt, hogy nem titkosítja ezeket a tranzakciókat, így a támadók és a nemzetállamok rengeteg áttekintést kínálnak. Az NSA felé fordulva, a Co3 CTO Bruce Schneier azt állította, hogy az ügynökség valószínűleg megszakította a titkosítás valamilyen formáját, de nem képes nagy mennyiségű titkosított adatot feldolgozni. Azt mondta, hogy a körül nem repülõ titkosítatlan információ egyszerűen megkönnyíti az adatok tárolását keresõk számára. Februárban a titkosítással kapcsolatos aggodalmak az NSA által létrehozott sebezhetőségek és az Apple SSL-problémáinak körül alapultak. A Heartbleed bejelentése nyugtató emlékeztető arra, hogy még a legjobb eszközök, amelyek még mindig nem tökéletesek.

Kép a Flickr felhasználó névtelen fiókján keresztül

• 5 6. Nincsenek ezüstgolyók

  Nagyon sok időt töltöttünk az RSAC előadásairól és magánszemélyekről beszélve, de nem szabad elfelejtenünk, hogy a rendezvény kereskedelmi kiállítás, és hogy a bemutatóterem tele van eladókkal, akik meggyőzik a vásárlókat arról, hogy termékeik a legjobbak. Meglepő módon sok biztonsági cég továbbra is az ezüstgolyók gondolatát szorgalmazta - egy kiszolgáló megoldás az összes biztonsági problémára. Ez egy kicsit meglepő, tekintettel arra, hogy az elmúlt év bebizonyította, hogy számos támadási lehetőség létezik, és hogy eltérhetnek attól függően, hogy ki mögöttük van, és mi az utána. A HP magas rangú alelnöke, Art Gilliland azt javasolta a vállalatoknak, hogy hagyják abba az új fegyverek keresését, és holisztikusabb megközelítést alkalmazzanak a biztonság terén. A legfontosabb a fejlesztések listáján? Fektessen be magánszemélyekbe és javítsa a biztonsági képzést.



6 5. A mobil AV nem működik

Miközben az Androidkal és az azon belül működő biztonsági közösség ünnepelte, hogy ez jobb legyen, a Google Android Security vezető mérnöke homályos képet vett a mobilbiztonságról. Azt mondta, hogy a Google célja a csendes, láthatatlan biztonság biztosítása volt, és azt javasolta, hogy a biztonsági társaságok inkább a figyelem felkeltésére és az értékesítés növelésére irányuljanak. A viaForensics vezérigazgatója és Andrew Hoog társalapítója szintén foglalkoztak a hagyományos mobil modellekkel. Rámutatott, hogy a mobil operációs rendszerek alkalmazásának homokozója jó munkát jelent az alkalmazások biztosításában, de korlátozza a biztonsági alkalmazások képességét is a fenyegetések kezelésére. Az ő megoldása? Biztosítson hozzáférést a biztonsági fejlesztőknek a root jogosultságokhoz.

Egyet sem értek egyet a két állásponttal, de a növekvő mobil fenyegetések új módszereket igényelnek az eszközök biztosításához. A rosszindulatú alkalmazásokkal szembeni védelem nem elegendő, és noha a biztonsági cégek által a mobil alkalmazásokhoz hozzáadott eszközök hasznosak, örökké nem lesznek elegendőek.

Kép a Flickr felhasználói Tiago A. Pereira segítségével



7 4. Biztonság a vezetőülésben

Sokat beszélünk arról, hogy a biztonságnak miként kell lennie a szervezet DNS-ének, és hogy a biztonsági csapatok nem tudnak mindig csak reagálni a válságokra vagy tűzoltás módban. Úgy tűnik, hogy az általános konszenzus elkerüli a fenyegetéseket, még akkor is, ha jobb biztonsági gyakorlatokkal zárja el a támadási lehetőségeket, vagy integrálódik más csapatokhoz annak biztosítása érdekében, hogy a biztonsági aggályokat a kezdetektől kezdve figyelembe vegyék.



8 3. Több emberre van szükségünk a biztonságban

Az egyik dolog, amiről hallottuk, hogy hiányzott a biztonsági szakemberek. Azok a cégek, akiknek hagyományosan nem kellett a biztonságra gondolkodniuk - az adatok védelme vagy a termékek biztonságának biztosítása érdekében -, most a tapasztalt biztonsági szakemberek felkutatására törekszenek. A kormányhivatalok a legszebb hackereket próbálják vonzani, hogy kitöltsék rangjaikat. A készségek hiánya részben azért van, mert nincs elég biztonsággal foglalkozó ember, hanem azért is, mert a vállalatok nem végeznek jó munkát toborzással.

Több nőre van szükségünk a technológiában és különösen az információbiztonságban. Az RSAC ülésein támogató struktúrák létrehozására összpontosítottak, hogy ösztönözzék az infosec iránt érdeklő nőket, de rávilágítsanak egyes eredményeikre is.



9 2. A Leaky alkalmazások rosszabb, mint a mobil malware

A rosszindulatú programok elleni védelem továbbra is sok mobil biztonsági társaság középpontjában áll, ám ez messze nem az egyetlen fenyegetés. Az RSAC konferencián sok résztvevő azt sugallta, hogy a szivárgásos alkalmazások - azaz olyan alkalmazások, amelyek titkosítás nélkül vagy hatalmas mennyiségben továbbítják a felhasználók személyes adatait - sokkal nagyobb veszélyt jelentenek a felhasználók számára. A Mobile Threat hétfőn megjelenő olvasóink számára ez nem meglepő lehet. Ebben az évben olyan új eszközöket várunk, mint például a viaProtect, amelyek segítenek a fogyasztóknak látni, hogy az alkalmazások valójában mit csinálnak. Ennek ellenére figyelmeztetés arra, hogy valaki széthúzza, módosítja és újracsomagolja egy Android alkalmazást öt perc alatt, emlékeztet arra, hogy a rosszindulatú programok továbbra is problémát jelentenek.

Kép a Flickr Grotuk felhasználóján keresztül

• 10 1. A felügyelet nem megy el

  James Comey, az frissen verdelt igazgató két dolgot világossá tett az RSAC 2014 előadása során: Az FBI-nak az üzleti együttműködésre van szüksége a számítógépes fenyegetések leküzdésére, de az elektronikus megfigyelés itt marad. Egy szinten mindannyian tudjuk ezt. Nem várhatjuk el, hogy a kémek és zsaruk továbbra is telefonokat csapjanak le, amikor a rossz fiúk e-mailekkel és más eszközökkel kommunikálnak. Társadalomként el kell fogadnunk, hogy a digitális kommunikáció célpont, és talán legitim is. Hasonlóképpen, az amerikai hírszerző bennfentesek lenyűgöző kerekasztalán résztvevők hangsúlyozták, hogy az NSA nem "szélhámos ügynökség" és minden más nemzetállam részt vesz az elektronikus megfigyelésben. Azt is mondták, hogy a hazai kémkedésnek jobb egyensúlyt kell találnia a magánélettel, és az emberek nem engedhetik meg, hogy a megválasztott tisztviselők a hírszerzési műveletekhez való valószínűsíthetetlenségről szóló "fedő történetet" használják.