10 Velké nápady v digitální bezpečnosti

Není to tak dávno, co bezpečnostní zprávy znamenaly nejasné zranitelnosti a viry šířící se přes stolní počítače. Ale teď se lidé na celém světě obávají snooping vládních agentur, Heartbleed nechat své osobní údaje volně na webu a rostoucí mobilní hrozby. Heck, pokrytí úniků Edwarda Snowdena o domácím špionážním úsilí Národní bezpečnostní agentury započalo letos Pulitzerovy ceny. S tím, jak se naše životy více soustředí na digitální zařízení a internet, stále více lidí se obává o bezpečnost, a to správně. Otázkou je, jaké jsou skutečné problémy - a co je jen příchuť měsíce v běžných médiích?

Pro spolehlivý přehled o tom, na čem opravdu záleží, se vraťte do minulého února, kdy se tisíce účastníků vrhly do San Francisca na konferenci RSA. Mezi nimi byli tvůrci bezpečnostních produktů a vědci, kteří prolomili některé z největších bezpečnostních příběhů. Je to jedno z největších setkání svého druhu a nápady z RSAC budou mít po zbytek roku obrovský dopad na digitální zabezpečení.

Snowden a bezpečnost

Lidé vtipkovali, že americká vláda poslouchala vše, co všichni říkali, ale nikdo se tomu už opravdu nesmál. Údajná dohoda mezi Národní bezpečnostní agenturou a RSA Security vrhla na konferenci paletu, která již není přímo spojena se společností RSA.

NSA se překvapivě rozhodlo, že se letos opět představí na výstavišti. I kdyby tomu tak nebylo, bylo těžké se NSA vyhnout. Někteří prodejci rozdávali tácky s logem agentury na nich, zatímco jiní lidé se psali poznámky s úšklebkem na veřejných tabulích. Jeden prodejce zřejmě namítal, že se nachází poblíž stánku NSA, zatímco jiný využil příležitosti ke spuštění smyčkových videí o Snowdenu.

Někteří řečníci na protest protestovali a prezentovali soutěžní jednodenní akci s názvem Trustycon. To mělo přispět ke zvýšení povědomí o otázkách ochrany soukromí, i když to někteří lidé viděli jinak.

Čína kdo?

V loňském roce byl boogeyman pod postelí všech lidí Čína. Strach mezi zasvěcenci tohoto odvětví byl státem sponzorovaný nebo osamělý útočník z Číny, který ukradl duševní vlastnictví a buď jej prodal, nebo dal čínským konkurentům. Mezi národy také hrozila kybernetická válka, která byla o to reálnější díky pokračujícím zprávám o sofistikovaných pokročilých přetrvávajících hrozbách.

Rychlý posun do tohoto roku a obavy jsou jemnější. Řečníci zmínili „krádež duševního vlastnictví“, ale neviděli potřebu říkat, kdo by za tím stál. Když byly loni zmíněny útoky „národního státu“, téměř jistě to znamenalo „Čína“, ale letos to mohlo snadno znamenat „Spojené státy americké“.

Deset věcí

Mimo tyto velké příběhy došlo v RSA k slibnému vývoji, nové technologii a osvědčeným radám. V první řadě? Oprava vašeho softwaru. Mnoho výrobců se také snažilo přesouvat hesla, která, jak doufáme, brzy uvidíme. Také doufám, že všichni budete číst před příští rok show.

To byly některé z velkých příběhů, o kterých bezpečnostní experti bzučí, ale nejsou jediní. Zde je naše deset nejlepších nápadů, které se právě dějí v oblasti bezpečnosti.

1 10. Zadní vrátka v šifrování

Národní bezpečnostní agentura byla na letošní konferenci na mysli všech a byl to největší bezpečnostní příběh minulého roku. A přestože je konference RSA odlišnou entitou od společnosti RSA Security, údajné multimilionové dolarové spojení mezi RSA a NSA bylo častým tématem diskuse. Předseda RSA Art Coviello odmítl obvinění ve své hlavní řeči, ale vyzval k reformám v rámci špionážní agentury. Na rozdíl od loňského roku se obavy z Číny postavily na zadní sedadlo, aby se obávaly, že šifrování nemusí být tak bezpečné, jak jsme si mysleli.



2 9. Slova zabíjející slova Buzzwords

Jakmile slovo dosáhne stavu buzzwordu, přestane to znamenat nic užitečného. Je smutné, že v RSAC bylo mnoho takových slov, kde všichni používali stejná slova, ale nikdo se na definici neshodl. Pokud jde o zpravodajství o hrozbách, mluvili jsme o indikátorech kompromisu, nebo jsme hovořili o obohacení stávajících údajů o zdroje třetích stran? Co přesně znamená „příští gen“? V tuto chvíli bychom měli být v příštím-příští-gen. Jak může tolik produktů ohlašovat bezpečnostní revoluci? Ví vůbec toto odvětví, co slibuje?

Obrázek přes uživatele Flickr Soumyadeep Paul



3 8. Při útoku toustovačů, automobilů a kávovarů

Internet věcí se letos vkročil na konferenci RSA a všichni se obávají vyhlídky na jejich zajištění. Klíčovým způsobem s sebou - velmi zoufale - je to, že ještě nejsme připraveni zabezpečit všechna naše zařízení, ať už jde o domácí spotřebiče, zdravotnická zařízení nebo auta. I přesto se někteří netrápili a říkali, že zločinci se pravděpodobně nebudou snažit dálkově ovládat nebo havarovat připojené auto. Pravděpodobněji by zločinci šli „proti proudu“, aby kompromitovali servery, které používají věci - například servery OnStar pro automobily - a zpeněžit je.

Internet věcí bezpochyby vznikne stále více, jakmile se připojí více zařízení. V návaznosti na Heartbleed se vědci nestarali jen o servery, ale o všechna připojená zařízení.



4 7. Šifrovat vše

Odpovědí všech na to, jak zlepšit zabezpečení - zejména mobilní zabezpečení - bylo šifrování, šifrování, šifrování. Mobilní aplikace pohybují po internetu obrovským množstvím informací a mnoho vývojářů se rozhodlo tyto transakce nešifrovat, což útočníkům a národním státům poskytuje spoustu pohledů. Coc CTO Bruce Schneier se znovu obrátil na NSA a předpokládal, že agentura pravděpodobně porušila nějakou formu šifrování, ale nedokáže zpracovat obrovské množství šifrovaných dat. Řekl, že pouhé množství nešifrovaných informací, které létají kolem, je pro každého, kdo hledá údaje o zásobách, příliš snadné. V únoru byly obavy z šifrování založeny na zranitelnostech vytvořených NSA a problémech Apple s SSL. Oznámení Heartbleedu je vytrvalým připomenutím, že ani ty nejlepší nástroje, které máme, stále nejsou dokonalé.

Obrázek přes účet Flickr Anonymous Account

• 5 6. Nejsou k dispozici žádné stříbrné kulky

  Strávili jsme spoustu času mluvením o prezentacích a jednotlivcích v RSAC, ale neměli bychom zapomenout, že událost je veletrh a že výstavní plocha je plná prodejců, kteří přesvědčují kupující, že jejich produkt je nejlepší v okolí. Překvapivě mnoho bezpečnostních společností stále prosazovalo myšlenku stříbrných kulek - jediné řešení pro všechny vaše bezpečnostní problémy. To je trochu překvapivé vzhledem k tomu, že minulý rok prokázal, že existuje řada cest k útokům a že se mohou lišit v závislosti na tom, kdo je za nimi a co následují. Hlavní viceprezident HP Art Gilliland navrhl, aby společnosti přestaly hledat nové zbraně a zaujaly holističtější přístup k bezpečnosti. Nejdůležitější z jeho seznamu vylepšení? Investujte do jednotlivců a zlepšujte bezpečnostní školení.



6 5. Mobile AV nefunguje

Zatímco slavil komunitu zabezpečení, která spolupracuje se systémem Android a v jeho rámci, aby se zlepšila, vedoucí technik společnosti Google pro zabezpečení systému Android zatím prozkoumal zabezpečení mobilních zařízení nejasně. Řekl, že cílem společnosti Google je poskytovat tiché, neviditelné zabezpečení, a navrhl, aby společnosti zabývající se bezpečností více věnovaly pozornost a zvyšovaly prodej. CEO viaForensics a spoluzakladatel Andrew Hoog také vzal problém s tradičními bezpečnostními modely v mobilu. Poukázal na to, že karanténa aplikací v mobilních operačních systémech zajišťuje dobrou práci při zabezpečení aplikací, ale také omezuje schopnost bezpečnostních aplikací vypořádat se s hrozbami. Jeho řešení? Poskytněte vývojářům zabezpečení přístup k oprávněním root.

Nesouhlasím plně s žádnou z pozic, ale rostoucí mobilní hrozby vyžadují nové způsoby zabezpečení zařízení. Ochrana před škodlivými aplikacemi nestačí a přestože společnosti zabývající se bezpečností nástrojů přidávají do svých mobilních aplikací, jsou užitečné, ale nebudou stačit navždy.

Obrázek přes uživatele Flickra Tiago A. Pereira



7 4. Zabezpečení na sedadle řidiče

Hodně mluvíme o tom, jak musí být bezpečnost součástí DNA organizace a jak bezpečnostní týmy nemohou neustále reagovat na krize nebo v hasičském režimu. Zdá se, že obecný konsenzus se dostává před hrozby, ať už díky lepším bezpečnostním postupům uzavírá cesty k útoku nebo se integruje s jinými týmy, aby bylo zajištěno, že bezpečnostní obavy jsou posuzovány hned od začátku.



8 3. Potřebujeme více lidí v oblasti bezpečnosti

Jednou z věcí, o které jsme stále slyšeli, bylo to, že existuje nedostatek bezpečnostních odborníků. Společnosti, které tradičně nemusely myslet na bezpečnost - chránit svá data nebo zajistit, aby jejich produkty byly bezpečné - se nyní snaží najít zkušené bezpečnostní profesionály. Vládní agentury se snaží přilákat nejjasnější hackery, aby naplnili své pozice. Existuje mezera v dovednostech, částečně proto, že nemáme dostatek lidí se specializací na bezpečnost, ale také proto, že společnosti nerobí dobře náborové práce.

Potřebujeme více žen v technice a zejména v oblasti bezpečnosti informací. Zasedání v RSAC se zaměřila na vytvoření podpůrných struktur, které by povzbudily ženy se zájmem o infosec, ale také zdůraznily některé jejich úspěchy.



9 2. Děravé aplikace jsou horší než mobilní malware

Obrana proti malwaru je i nadále středem zájmu mnoha mobilních bezpečnostních společností, ale to zdaleka není jediná hrozba. Mnoho účastníků konference RSAC navrhlo, že netěsné aplikace, tj. Aplikace, které přenášejí osobní data uživatelů bez šifrování nebo ve velkém množství, jsou pro uživatele mnohem větší hrozbou. Čtenářům našeho pondělního pokrytí mobilní hrozbou by to nemělo být žádným překvapením. Tento rok se těšíme na nové nástroje, jako je viaProtect, které zákazníkům pomohou zjistit, co jejich aplikace skutečně dělají. To znamená, že sledování toho, jak se někdo roztrhne, upraví a znovu zabalí do aplikace pro Android za pět minut, je připomínkou, že malware je stále problém.

Obrázek přes Flickr uživatele Grotuk

• 10 1. Dohled nezmizí

  Čerstvě razený režisér FBI James Comey ve své prezentaci RSAC 2014 objasnil dvě věci: FBI potřebuje obchodní spolupráci, aby bojovala proti kybernetickým hrozbám, ale elektronický dohled je tu, aby zůstal. Na jedné úrovni to všichni víme. Nemůžeme očekávat, že špioni a policajti budou neustále klepat na telefony, když padouchy komunikují s e-mailem a dalšími nástroji. Jako společnost musíme akceptovat, že digitální komunikace jsou cíl, a možná legitimní. Obdobně panelisté fascinujícího kulatého stolu zpravodajských zpravodajů Spojených států zdůraznili, že NSA není „podvodná agentura“ a že každý jiný národní stát se účastní elektronického dohledu. Řekli také, že domácí špionáž musí dosáhnout lepší rovnováhy s soukromí a že lidé by neměli voleným funkcionářům dovolit, aby pro zpravodajské operace používali svůj „krycí příběh“ věrohodné popírání.