Casa Vigilant de seguretat 10 Coses que heu de saber sobre seguretat digital

10 Coses que heu de saber sobre seguretat digital

Vídeo: Lo que debes saber sobre seguridad digital - [Negocios en Tm] ® (De novembre 2024)

Vídeo: Lo que debes saber sobre seguridad digital - [Negocios en Tm] ® (De novembre 2024)
Anonim

La setmana passada, tot l’equip de SecurityWatch es va publicar a la Conferència RSA per obtenir les novetats sobre les noves novetats en seguretat, les últimes tecnologies i el que parla realment la comunitat de seguretat. Com que la majoria de vosaltres teníeu prou feines per no passar la setmana en una fira, aquí teniu les deu coses que cal saber sobre seguretat ara mateix.

10. RSA i la NSA

L'Agència de Seguretat Nacional va estar al cap de tothom en la conferència d'aquest any i ha estat la història de seguretat més gran de l'any passat. Tot i que la Conferència RSA és una entitat diferent de l’empresa RSA Security, la suposada connexió multimilionària entre RSA i la NSA va ser un tema freqüent de discussió. El president de RSA, Art Coviello, va desestimar les denúncies en la seva intervenció principal, però va demanar reformes a l'agència d'espionatge. En fort contrast amb l'any passat, els temors sobre la Xina es van tornar a asseure.

9. Paraules clau de matança

Una vegada que una paraula arriba a l'estat de paraula clau, deixa de significar qualsevol cosa útil. Malauradament, hi va haver un munt de paraules com aquesta a RSAC, on tothom utilitzava les mateixes paraules, però ningú no estava d’acord en la definició. Quan es tracta d’intel·ligència d’amenaça, parlàvem d’indicadors de compromís o parlàvem d’enriquir dades existents amb fonts de tercers? Què vol dir exactament "gen-proper"? Arribats a aquest punt, hauríem de trobar-nos al següent. Com poden produir tants productes com una revolució de la seguretat? La indústria fins i tot sap què promet?

8. Quan les torradores, els cotxes i les màquines de cafè ataquen

Internet of Things va entrar a la Conferència RSA d’enguany i tothom està preocupat per la perspectiva d’assegurar-los. El menjar per emportar-ho és força angoixant és que encara no estem preparats per protegir tots els nostres dispositius, ja sigui que estem parlant d’electrodomèstics, dispositius mèdics o cotxes. Tot i així, alguns no es van preocupar, dient que els delinqüents no podrien intentar controlar de forma remota ni xocar amb un cotxe connectat. Seria més probable que els delinqüents anessin "aigües amunt" per comprometre els servidors que utilitzen les coses, com ara els servidors OnStar per als cotxes, i obtenir diners per obtenir-ho.

7. Xifra tot

La resposta de tothom sobre com millorar la seguretat, sobretot la seguretat mòbil, va ser el xifrat, el xifrat, el xifrat. Les aplicacions per a mòbils mouen una gran quantitat d'informació a Internet i molts desenvolupadors opten per no xifrar aquestes transaccions, donant-li molt als atacants i els estats nació. De nou dirigint-se a la NSA, el CTO de Co3, Bruce Schneier, va plantejar que l'agència ha trencat alguna forma de xifratge, però no pot processar quantitats immenses de dades xifrades. Va dir que la gran quantitat d’informació no xifrada que volen és simplement facilitar que algú que busqui emmagatzemar dades.

6. No hi ha bales de plata

Vam dedicar molt temps a parlar de presentacions i particulars a RSAC, però no hem d’oblidar que l’esdeveniment és una fira i que el show floor està ple de venedors treballant per convèncer els compradors que el seu producte és el millor. Sorprenentment, moltes empreses de seguretat seguien pressionant la idea de les bales de plata: una solució única per a tots els vostres problemes de seguretat. Això és una mica sorprenent, ja que l'any passat ha demostrat que hi ha nombroses vies d'atacs i que poden diferir en funció de qui hi ha al darrere i de què es troben. El vicepresident sènior d'HP, Art Gilliland, va suggerir que les empreses deixessin de buscar noves armes i adopten un enfocament més holístic de la seguretat. És més important en la seva llista de millores? Invertir en persones i millorar la formació en seguretat.

5. L'AV mòbil no funciona

Tot i que celebrava la comunitat de seguretat treballant amb i dins d'Android per millorar-la, Google Lead Engineer per a Android Security va tenir una visió tènue de la seguretat mòbil fins ara. Va dir que l'objectiu de Google era proporcionar una seguretat tranquil·la i invisible i va suggerir que les empreses de seguretat tractessin més d'atendre l'atenció i augmentar les vendes. El conseller delegat de viaForensics i el cofundador Andrew Hoog també van tenir problemes amb els models de seguretat tradicionals al mòbil. Va assenyalar que la caixa de sorra d’aplicacions en sistemes operatius mòbils fa un bon treball per protegir aplicacions, però també limita la capacitat de les aplicacions de seguretat per fer front a les amenaces. La seva solució? Doneu als desenvolupadors de seguretat accés als privilegis de root.

No estic d’acord del tot amb les dues posicions, però l’amenaça de les amenaces mòbils exigeixen noves maneres de protegir els dispositius. No és suficient protegir contra les aplicacions malicioses i, tot i que les eines que les companyies de seguretat estan afegint a les seves aplicacions mòbils són útils, no seran suficients per a sempre.

4. Seguretat al seient del conductor

Parlem molt de com la seguretat ha de formar part de l’ADN de l’organització i de com els equips de seguretat no poden reaccionar només a les crisis o en mode de lluita contra incendis tot el temps. El consens general sembla estar per davant de les amenaces, ja sigui per tenir millors pràctiques de seguretat per tancar les vies d’atac o integrar-se amb altres equips per assegurar-se que les inquietuds de seguretat es plantegen des del primer moment.

3. Necessitem més gent en seguretat

Una de les coses de les quals vam escoltar era com hi havia una escassetat de professionals de la seguretat. Les empreses que tradicionalment no havien de pensar en seguretat, protegir les seves dades o assegurar-se que els seus productes eren segurs, ara lluiten per trobar professionals de la seguretat experimentats. Les agències governamentals estan intentant atraure els hackers més brillants per omplir les seves files. Hi ha un desfasament de competències, parcialment perquè no tenim prou gent especialitzada en seguretat, sinó també perquè les empreses no fan una bona contractació.

Necessitem més dones en tecnologia i en especial la seguretat de la informació. Les sessions de RSAC es van centrar a crear estructures de suport per animar les dones interessades en la infosec, però també per posar en relleu algunes de les seves realitzacions.

2. Les aplicacions més escasses són pitjors que els programes maliciosos mòbils

La defensa contra el programari maliciós continua essent un focus per a moltes empreses de seguretat mòbil, però aquesta no és, ni de lluny, l’única amenaça. Molts assistents a la conferència RSAC van suggerir que les aplicacions amb filtracions, és a dir, les aplicacions que transmeten dades personals dels usuaris sense xifrar o en quantitats enormes, són una amenaça molt més gran per als usuaris. Per als lectors de la nostra cobertura de Mobile Threat Monday, això no ha de sorprendre. Enguany esperem noves eines com viaProtect per ajudar els consumidors a veure què fan realment les seves aplicacions. Dit això, veure que algú es va separar, modificar i tornar a empaquetar una aplicació Android en cinc minuts és un recordatori que el malware encara és un problema.

1. La vigilància no desapareix

El director recent del FBI, James Comey, va deixar clares dues coses en la seva presentació RSAC 2014: L'FBI necessita la cooperació empresarial per lluitar contra les amenaces cibernètiques, però la vigilància electrònica és aquí per mantenir-se. En un mateix nivell, tots ho sabem. No podem esperar que espies i policia continuïn tocant telèfons quan els dolents es comuniquen amb correu electrònic i altres eines. Com a societat, hem d’acceptar que les comunicacions digitals són una diana, i potser una legítima. De la mateixa manera, els col·legues en una fascinant taula rodona d'intel·ligents intel·ligents nord-americans van subratllar que la NSA no és una "agència canalla" i que tots els altres estats nacionals participen en la vigilància electrònica. També van dir que l’espionatge domèstic necessita assolir un millor equilibri amb la privacitat i que la gent no hauria de permetre als funcionaris electes utilitzar la seva “història de cobertura” de versemblant desconfiança per a les operacions d’intel·ligència.

Imatge mitjançant l'usuari de Flickr, Niko Notibär

10 Coses que heu de saber sobre seguretat digital