Notebook rsac: pondelok

Konferencia RSA sa každým rokom rozširuje, stretáva sa viac spoločností, viac technologických ukážok, ktoré si môžete pozerať, a ďalšie zasvätené stretnutia. Jedným z hlavných dôvodov, prečo každý rok cestujem po krajine, je konverzácia mimo formálnych obmedzení konferencie. Vyjadrené vyhlásenie týkajúce sa raňajok, krátkeho rozhovoru na chodbe o niečom, čo niekto videl alebo počul, alebo temperamentnej debaty na niektorej z mnohých spoločenských udalostí počas týždňa.

Tu je stručný prehľad toho, ako môj notebook vyzeral na konci dňa v pondelok 24. februára.

Busy, Busy, Busy

Konferencia sa oficiálne nezačne až do otvorenia hlavnej myšlienky Art Coviella v utorok, ale okolo Moscone Center v San Franciscu sa rozpráva a rozmýšľa o bezpečnosti. Na výstave sponzoruje alebo vystavuje 400 predajcov, viac ako 500 prednášajúcich a približne 25 000 účastníkov. Nemám tušenie, kde už niečo je a je potrebné znova sa naučiť geografiu RSAC. Možno existuje niečo, čo by sa malo povedať pre menšie, regionálne a komornejšie šou.

Bezpečnostné kódovanie

V rámci projektu OWASP (Open Web Application Security Project) sa uskutočnilo bezplatné školenie o bezpečných kódovacích praktikách v Jillian's (bar pri Moscone), na ktoré sa mohol zúčastniť ktorýkoľvek účastník RSAC. Táto relácia bola plná všeobecných informácií o druhu webových hrozieb, ktoré vývojári musia brániť. Ešte lepšie, lídri kapitol Jim Manico a Eoin Keary ponúkli veľmi praktické tipy na kódovanie pre niekoľko hlavných jazykov a rámcov vrátane Ruby, Java, Cold Fusion a Perl. Zaujímalo by ma, či barmani skutočne venovali pozornosť tejto relácii, alebo či sa sústredili iba na to, aby udržali tok nápojov.

Automatické skenery môžu pomôcť nájsť zraniteľné miesta v kóde. To je skvelé, však? Nie nevyhnutne, pretože automatizované skenery nemôžu brať do úvahy obchodný kontext alebo vždy riešiť prípady špeciálneho použitia. S kontrolou kódu máte niekoho iného, ​​kto prechádza programovou logikou a uplatňuje prípady obchodného použitia. Pripomína to nedávnu zraniteľnosť spoločnosti Apple v SSL v systémoch iOS a Mac OS X. Chyba gotofail bola chyba, ale kontrola kódu ju mohla chytiť skôr, ako sa stane potenciálnym problémom pre používateľov.

Z relácie OWASP: „Roboti detekujú známe neznáme. Ľudia detekujú neznáme neznáme.“

Najlepšie filmy o hackeroch

Po Rickovi Howardovi, CSO spoločnosti Palo Alto Networks, a hovoril som o knihách, ktorú by si mali prečítať odborníci na bezpečnosť informácií, sme sa presunuli mimo tému k filmom. Howard diskutuje o tejto téme vo štvrtok.

Aký je teda najlepší film o zabezpečení informácií všetkých čias?

Ktorý film je najlepší má veľa spoločného s generáciou, s ktorou sa osoba najviac stotožňuje, povedal Howard. Najlepší film, pokiaľ ide o neho, boli vojnové hry . Ďalšia generácia odborníkov z oblasti infosecu by pravdepodobne tvrdila, že hackeri boli najlepší. A tí ešte mladší by s väčšou pravdepodobnosťou pomenovali film Matrix . Byť pevne v tábore Hackers , hoci milujem vojnové hry , Matrix vyzerá trochu na mieste.

Od Twitteru

Jedným z panelov, ktoré mi chýbali, bol panel moderovaný Javvadom Malikom, hlavným analytikom spoločnosti 451 Research, ktorý sa venoval odstráneniu medzery v zručnostiach v oblasti počítačovej bezpečnosti. Na paneli Twitter je tento klenot: Jane Lute, prezidentka a generálna riaditeľka Rady pre kybernetickú bezpečnosť, ktorá hovorí: „Píšeme popisy úloh, ktoré sú nereálne.“

Zamestnávatelia sa často sťažujú na nedostatok zručností, že nemôžu nájsť kandidátov, ktorí zodpovedajú požiadavkám zamestnania. Problémom však nie je nedostatok kvalifikovaných uchádzačov, ale skôr to, že náboroví pracovníci požadujú zručnosti, ako je 15 rokov skúseností so zabezpečením systému Windows 7.

Horiaca otázka

Bude Art Coviello riešiť utajenú zmluvu o tajnej zmluve RSA Security vo výške 10 miliónov dolárov, ktorú mal údajne uzavrieť s Národnou bezpečnostnou agentúrou v utorok pri úvodnom vystúpení?