10 Veľké nápady v digitálnej bezpečnosti

Nie je to tak dávno, čo bezpečnostné správy znamenali nejasné zraniteľné miesta a vírusy šíriace sa cez stolové počítače. Teraz sa však ľudia na celom svete obávajú sliedenia vládnych agentúr, Heartbleedu, aby sa ich osobné údaje stratili na webe, a zvyšujúcich sa mobilných hrozieb. Heck, pokrytie únikov Edwarda Snowdena o domácom špionážnom úsilí Národnej bezpečnostnej agentúry započítalo tento rok Pulitzerove ceny. Keď sa náš život viac zameriava na digitálne zariadenia a internet, viac ľudí sa obáva o bezpečnosť, a to právom. Otázka znie, aké sú skutočné problémy - a aký je len príchuť mesiaca z bežných médií?

Pre dôkladný prehľad o tom, na čom skutočne záleží, sa vráťte k tomuto februáru, keď tisíce účastníkov prepadli do San Francisca na konferenciu RSA. Medzi nimi boli tvorcovia bezpečnostných produktov a výskumníci, ktorí prelomili niektoré z najväčších bezpečnostných príbehov. Je to jedno z najväčších stretnutí svojho druhu a nápady RSAC budú mať veľký vplyv na digitálnu bezpečnosť po zvyšok roka.

Snowden a bezpečnosť

Ľudia žartovali, že americká vláda počúva všetko, čo povedali všetci, ale nikto sa už o tom skutočne smeje. Údajná dohoda medzi Národnou bezpečnostnou agentúrou a spoločnosťou RSA Security vrhla nad konferenciu hádanku, ktorá už nie je priamo prepojená so spoločnosťou RSA.

Prekvapivo sa NSA tento rok opäť rozhodla zúčastniť sa na výstave. Aj keby tomu tak nebolo, bolo ťažké vyhnúť sa NSA. Niektorí predajcovia rozdávali tácky s logom agentúry, zatiaľ čo iní ľudia písali frázové poznámky na verejné tabule. Jeden predajca zrejme namietal, že sa nachádza v blízkosti stánku NSA, zatiaľ čo iný využil príležitosť na spustenie opakujúcich sa videí o Snowden.

Niektorí rečníci na protest protestovali a usporiadali súťažné jednodňové podujatie s názvom Trustycon. Účelom bolo pomôcť zvýšiť informovanosť o problémoch s ochranou súkromia, hoci niektorí to videli inak.

Čína Kto?

Minulý rok bol boogeyman pod posteľou všetkých ľudí Čína. Strach medzi zasvätenými priemyselnými odvetviami bol štátom sponzorovaný alebo osamelý útočník z Číny, ktorý kradol duševné vlastníctvo a buď ho predal alebo dal čínskym konkurentom. Medzi národmi hrozila aj kybernetická vojna, ktorá bola ešte reálnejšia vďaka pokračujúcim správam o sofistikovaných pokročilých perzistentných hrozbách.

Rýchly posun vpred do tohto roka a obavy sú miernejšie. Rečníci hovorili o „krádeži duševného vlastníctva“, ale nevideli potrebu povedať, kto by za tým stál. Keď sa minulý rok spomínali útoky „národného štátu“, takmer určite to znamenalo „Čína“, ale tento rok to mohlo ľahko znamenať „Spojené štáty americké“.

Desať vecí

Mimo týchto veľkých príbehov sa na RSA objavili sľubné zmeny, nové technológie a osvedčené rady. V prvom rade? Oprava vášho softvéru. Mnoho výrobcov sa tiež snažilo presúvať heslá, ktoré, dúfajme, uvidíme, sa čoskoro stanú. Dúfam tiež, že všetci čítate čítanie pred budúcou výstavou.

To boli niektoré z veľkých príbehov, o ktorých bzučia odborníci v oblasti bezpečnosti, ale nie sú to jediné. Tu je desať najlepších nápadov, ktoré sa práve teraz odohrávajú v oblasti bezpečnosti.

1 10. Zadné dvierka v šifrovaní

Národná bezpečnostná agentúra bola na tohtoročnej konferencii na mysli všetkých a bola to najväčšia bezpečnostná správa za posledný rok. Aj keď je konferencia RSA samostatným subjektom od spoločnosti RSA Security, údajné viac miliónové dolárové spojenie medzi RSA a NSA bolo častou témou diskusie. Predseda RSA Art Coviello obvinenia vo svojej hlavnej príhovore zamietol, ale vyzval na reformy v rámci špionážnej agentúry. Na rozdiel od minulého roka sa obavy o Čínu na zadnom sedadle obávali, že šifrovanie nemusí byť také bezpečné, ako sme si mysleli.



2 9. Slová zabíjajúce slová Buzzwords

Keď slovo dosiahne stav buzzwordu, prestane to znamenať nič užitočné. Je smutné, že v RSAC bolo veľa takýchto slov, kde všetci používali rovnaké slová, ale nikto sa na definícii nedohodol. Pokiaľ ide o spravodajské informácie o hrozbách, hovorili sme o ukazovateľoch kompromisu, alebo sme hovorili o obohatení existujúcich údajov o zdroje tretích strán? Čo presne ešte znamená „next-gen“? V tomto bode by sme mali byť v budúcom budúcom generáli. Ako môže toľko výrobkov ohlasovať bezpečnostnú revolúciu? Vie už toto odvetvie dokonca to, čo je sľubné?

Obrázok prostredníctvom používateľa Flickr Soumyadeep Paul



3 8. Pri útokoch hriankovačov, automobilov a kávovarov

Internet vecí sa tento rok vkročil na konferenciu RSA a všetci sa obávajú možnosti ich zabezpečenia. Kľúčovou cestou - dosť zúfalo - je to, že ešte nie sme pripravení zabezpečiť všetky naše zariadenia, či už ide o domáce spotrebiče, zdravotnícke pomôcky alebo autá. Napriek tomu niektorí neboli všetci, ktorých sa to týkalo a hovorili, že zločinci sa pravdepodobne nebudú snažiť diaľkovo ovládať alebo zrútiť pripojené auto. Pravdepodobnejšie by bolo, že zločinci by boli „proti prúdu“, aby kompromitovali servery, ktoré používajú veci - napríklad servery OnStar pre autá - a speňažovali ich.

Internet vecí bude bezpochyby narastať, keď sa pripojí viac zariadení. Po Heartbleed sa vedci nezaujímali iba o servery, ale o všetky pripojené zariadenia.



4 7. Zašifrujte všetko

Odpoveďou každého na to, ako zlepšiť bezpečnosť - najmä mobilnú bezpečnosť - bolo šifrovanie, šifrovanie, šifrovanie. Mobilné aplikácie presúvajú obrovské množstvo informácií po internete a mnoho vývojárov sa rozhoduje tieto transakcie nešifrovať, čo útočníkom a národným štátom poskytuje dostatok pozornosti. Opäť sa obrátil na NSA, Co3 CTO Bruce Schneier predpokladal, že agentúra pravdepodobne porušila nejakú formu šifrovania, ale nedokáže spracovať obrovské množstvo šifrovaných údajov. Povedal, že samotné množstvo nezašifrovaných informácií, ktoré lietajú okolo, jednoducho robí každého, kto hľadá zásoby údajov, príliš ľahké. Vo februári sa obavy z šifrovania zakladali na zraniteľnostiach vytvorených NSA a problémoch Apple s SSL. Oznámenie Heartbleed je triezvym pripomenutím, že ani tie najlepšie nástroje, ktoré máme, stále nie sú dokonalé.

Obrázok cez účet Flickr Anonymous Account

• 5 6. Nie sú k dispozícii žiadne strieborné guľky

  Strávili sme veľa času rozprávaním o prezentáciách a jednotlivcoch v RSAC, nemali by sme však zabúdať, že táto udalosť je veľtrhom a že veľtrh je plný predajcov, ktorí sa snažia presvedčiť kupujúcich, že ich produkt je najlepší v okolí. Prekvapivo mnoho bezpečnostných spoločností stále presadzovalo myšlienku strieborných guliek - jediné riešenie pre všetky vaše bezpečnostné problémy. To je trochu prekvapujúce vzhľadom na to, že minulý rok preukázal, že existuje mnoho spôsobov útokov a že sa môžu líšiť v závislosti od toho, kto je za nimi a čo sledujú. Hlavný viceprezident spoločnosti HP Art Gilliland navrhol, aby spoločnosti prestali hľadať nové zbrane a zaujali holistickejší prístup k bezpečnosti. Najdôležitejšie z jeho zoznamu vylepšení? Investujte do jednotlivcov a zlepšujte školenie v oblasti bezpečnosti.



6 5. Mobile AV nefunguje

Zatiaľ čo oslavoval komunitu zabezpečenia, ktorá spolupracuje s operačným systémom Android a v rámci neho, aby ho vylepšila, vedúci inžinier spoločnosti Google pre zabezpečenie systému Android doteraz doteraz neinformoval o mobilnej bezpečnosti. Povedal, že cieľom spoločnosti Google bolo poskytnúť tiché, neviditeľné zabezpečenie a navrhol, aby bezpečnostné spoločnosti sa viac zaujímali o zvýšenie pozornosti a zvýšenie predaja. CEO viaForensics a spoluzakladateľ Andrew Hoog sa tiež zaoberal tradičnými bezpečnostnými modelmi v mobile. Poukázal na to, že karanténa aplikácií v mobilných operačných systémoch robí dobrú prácu pri zabezpečení aplikácií, ale obmedzuje tiež schopnosť bezpečnostných aplikácií vysporiadať sa s hrozbami. Jeho riešenie? Poskytnite vývojárom zabezpečenia prístup k oprávneniam typu root.

Nesúhlasím úplne s oboma pozíciami, ale rastúce hrozby pre mobilné zariadenia si vyžadujú nové spôsoby zabezpečenia zariadení. Ochrana pred škodlivými aplikáciami nestačí a hoci nástroje, ktoré bezpečnostné spoločnosti pridávajú do svojich mobilných aplikácií, sú užitočné, nestačí ich navždy.

Obrázok prostredníctvom používateľa Flickr Tiago A. Pereira



7 4. Bezpečnosť na sedadle vodiča

Hovoríme veľa o tom, ako musí byť bezpečnostná súčasť DNA organizácie a ako bezpečnostné tímy nemôžu neustále reagovať na krízy alebo v hasičskom režime. Zdá sa, že všeobecný konsenzus sa dostáva pred hrozby, či už prostredníctvom lepších bezpečnostných postupov uzavrie cesty útoku alebo sa spojí s inými tímami, aby sa zabezpečilo, že bezpečnostné obavy sa budú posudzovať hneď od začiatku.



8 3. Potrebujeme viac ľudí v oblasti bezpečnosti

Jednou z vecí, o ktorej sme počuli, bolo to, že existuje nedostatok odborníkov v oblasti bezpečnosti. Spoločnosti, ktoré už tradične nemuseli uvažovať o bezpečnosti - o ochrane svojich údajov alebo o zabezpečení svojich výrobkov - sa teraz snažia nájsť skúsených profesionálov v oblasti bezpečnosti. Vládne agentúry sa snažia prilákať najjasnejších hackerov, aby naplnili svoje rady. Existuje medzera v zručnostiach, čiastočne preto, že nemáme dostatok ľudí, ktorí sa špecializujú na bezpečnosť, ale tiež preto, že spoločnosti nerobia dobrú náborovú prácu.

Potrebujeme viac žien v oblasti technológií, najmä v oblasti informačnej bezpečnosti. Zasadnutia v RSAC sa zameriavali na vytváranie podporných štruktúr s cieľom povzbudiť ženy, ktoré sa zaujímajú o infosec, ale tiež zdôrazniť niektoré z ich úspechov.



9 2. Dieravé aplikácie sú horšie ako mobilné malware

Obrana proti malvéru sa naďalej zameriava na mnohé spoločnosti zabezpečujúce mobilnú bezpečnosť, ale to zďaleka nie je jedinou hrozbou. Mnohí účastníci konferencie RSAC navrhli, že netesné aplikácie, tj aplikácie, ktoré prenášajú osobné údaje používateľov bez šifrovania alebo v obrovskom množstve, sú pre používateľov oveľa väčšou hrozbou. Čitateľom nášho pondelkového pokrytia pre mobilné hrozby by to nemalo byť prekvapením. Tento rok sa tešíme na nové nástroje, ako napríklad viaProtect, ktoré zákazníkom pomôžu zistiť, čo ich aplikácie naozaj robia. Sledovanie toho, ako sa niekto roztrhne, upraví a znova zabalí do aplikácie pre Android za päť minút, je pripomenutím, že malware je stále problémom.

Obrázok prostredníctvom používateľa Flickr Grotuk

• 10 1. Dohľad nezmizne

  Vo svojej prezentácii RSAC 2014 jasne uviedol čerstvo razený režisér FBI James Comey: FBI potrebuje spoluprácu medzi podnikmi na boj proti kybernetickým hrozbám. Elektronický dohľad je tu však naďalej. Na jednej úrovni to všetci vieme. Nemôžeme očakávať, že špióni a policajti budú poklepávať na telefóny, keď zlí ľudia komunikujú s e-mailom a inými nástrojmi. Ako spoločnosť musíme uznať, že digitálna komunikácia je cieľom, a možno aj legitímnym. Podobne panelisti vo fascinujúcom okrúhlom stole spravodajských spravodajských informácií USA zdôraznili, že NSA nie je „podvodníckou agentúrou“ a že každý iný štát sa podieľa na elektronickom dohľade. Uviedli tiež, že domáce špionážne služby musia nájsť lepšiu rovnováhu so súkromím a že ľudia by nemali dovoliť voleným funkcionárom používať ich „sprievodný príbeh“ hodnovernej popierateľnosti pre spravodajské operácie.