数字安全的10大想法

不久前，安全新闻意味着模糊的漏洞和病毒在台式计算机之间传播。 但是现在，世界各地的人们都在担心窥探政府机构，Heartbleed使得他们的个人数据在网络上丢失以及移动威胁的增加。 哎呀，爱德华·斯诺登（Edward Snowden）关于美国国家安全局（National Security Agency）国内间谍活动的泄密报道今年赢得了普利策奖。 随着我们的生活越来越集中在数字设备和Internet上，越来越多的人开始担心安全性。 问题是，真正的问题是什么？什么是主流媒体的月度炒作？

要详细了解真正重要的内容，请回到今年2月，成千上万的与会者涌向旧金山参加RSA会议。 其中包括安全产品的创造者和破坏了一些最大安全故事的研究人员。 这是同类活动中规模最大的聚会之一，RSAC的想法将在今年余下时间对数字安全产生巨大影响。

斯诺登与安全

人们曾经开玩笑说美国政府正在听所有人说的所有话，但没人再笑了。 国家安全局和RSA安全部门之间据称的交易使这次会议蒙上了阴影，该会议不再与RSA公司直接相关。

令人惊讶的是，美国国家安全局（NSA）再次决定在今年的展会上露面。 即使他们没有，也很难避免使用NSA。 一些摊贩分发了带有该机构徽标的杯垫，而其他摊贩则在公共白板上写下了sn讽的言论。 一个供应商显然反对在NSA展位附近，而另一个则借此机会播放有关Snowden的视频。

一些发言者为抗议而撤回演讲，并组织了一场名为Trustycon的竞争性一日活动。 这是为了帮助提高人们对隐私问题的认识，尽管有些人对此有不同的看法。

中国谁？

去年，每个人都在床下的妓女是中国。 行业内部人士担心的是，中国政府赞助或孤独的攻击者窃取了知识产权并将其出售或出售给中国竞争对手。 国家之间也存在网络战争的威胁，不断有报道称复杂的高级持续威胁使这一点变得更加现实。

快进到今年，人们的担忧更加浓厚。 发言者提到了“知识产权盗窃”，但并没有必要说出谁会支持它。 去年提到“民族国家”袭击时，几乎可以肯定是“中国”，但今年它很容易就是“美国”。

十件事

除了这些大事记之外，RSA还提供了一些有希望的发展，新技术和经过实践检验的建议。 首先？ 修补软件。 也有许多供应商热衷于使用密码，我们希望很快就会发生这种情况。 另外，我希望大家在明年的演出之前先阅读一下。

这些是安全专家嗡嗡作响的一些大故事，但并不是唯一的故事。 这是我们目前在安全方面正在发生的十大想法。

1 10.加密后门

在今年的会议上，国家安全局在每个人的脑海中，这是过去一年中最大的安全事件。 尽管RSA Conference与RSA Security公司是一个截然不同的实体，但据称RSA与NSA之间数百万美元的联系是经常讨论的话题。 RSA主席Art Coviello在他的主旨演讲中否认了这些指控，但要求在间谍机构内部进行改革。 与去年形成鲜明对比的是，人们对中国的担忧使人们担心加密技术可能不如我们想象的那么安全。



2 9.流行语杀死单词

一旦单词达到流行词状态，它就不再意味着任何有用的东西。 可悲的是，在RSAC上有很多这样的词，每个人都使用相同的词，但是没人同意这个定义。 在威胁情报方面，我们是在讨论危害指标，还是在谈论利用第三方资源丰富现有数据？ “下一代”到底又意味着什么？ 在这一点上，我们应该处于下一代。 如此众多的产品如何预示着安全革命？ 这个行业甚至还知道它有什么前景吗？

图片来自Flickr用户Soumyadeep Paul



3 8.当烤面包机，汽车和咖啡机袭击时

物联网进入了今年的RSA会议，每个人都对确保它们安全的前景感到担忧。 令人痛心的关键是，我们尚未准备好保护所有设备（无论是家用电器，医疗设备还是汽车）的安全。 即便如此，也有一些人并没有那么担心，他们说犯罪分子不太可​​能尝试远程控制或撞坏联网汽车。 犯罪分子更有可能“向上游”入侵使用“物联网”的服务器，例如汽车的OnStar服务器，并从中获利。

毫无疑问，随着越来越多的设备连接起来，物联网将会越来越多。 在发生Heartbleed之后，研究人员不仅关注服务器，还关注所有连接的设备。



4 7.加密所有内容

每个人关于如何提高安全性（尤其是移动安全性）的答案是加密，加密，加密。 移动应用程序正在Internet上移动大量信息，许多开发人员选择不对那些交易进行加密，这给攻击者和国家带来了很多希望。 再次转向NSA，Co3首席技术官布鲁斯·施耐尔（Bruce Schneier）认为，该机构可能破坏了某种形式的加密，但无法处理大量的加密数据。 他说，大量未经加密的信息在四处传播，这对于任何想要存储数据的人来说都太容易了。 早在二月份，对加密的担忧是基于NSA造成的漏洞和Apple的SSL问题。 Heartbleed的发布令人发醒，这提醒我们，即使我们拥有的最佳工具也并不完美。

图片来自Flickr用户匿名帐户

• 5 6.没有银弹

  我们在RSAC上花费了大量时间讨论演讲和个人，但我们不应忘记该活动是一场贸易展览，而且展位里到处都是供应商，他们努力说服买家他们的产品是最好的。 出乎意料的是，许多安全公司仍在推动“灵丹妙药”的想法，这是针对您所有安全问题的单一服务解决方案。 鉴于过去一年已经证明存在多种攻击途径，而且根据攻击者的身分以及攻击的目的而有所不同，这有点令人惊讶。 惠普的高级副总裁Art Gilliland建议公司停止寻找新武器，并采取更全面的方法来确保安全。 他的改进清单上最重要的是？ 投资于个人并改善安全培训。



6 5.移动AV无法正常工作

在他庆祝安全社区与Android合作并在Android内部合作以改善安全性的同时，Google的Android安全首席工程师对移动安全迄今持模糊的看法。 他说，谷歌的目标是提供安静，隐形的安全性，并建议安全公司更多地关注吸引注意力和增加销售。 viaForensics首席执行官兼联合创始人安德鲁·霍格（Andrew Hoog）也对传统的移动安全模型提出了质疑。 他指出，移动操作系统中的应用沙箱在保护应用程序安全方面做得很好，但同时也限制了安全应用程序应对威胁的能力。 他的解决方案？ 向安全开发人员授予访问root特权的权限。

我对这两种立场都不完全同意，但是越来越多的移动威胁要求采用新的方法来保护设备。 防范恶意应用程序还不够，尽管安全公司在其移动应用程序中添加的工具很有用，但它们永远不会足够。

图片来自Flickr用户Tiago A.Pereira



7 4.驾驶员座椅的安全性

我们谈论了很多有关安全性如何成为组织DNA的一部分的问题，以及安全团队如何不能一直对危机做出反应或采取救火模式。 无论是通过更好的安全实践来封闭攻击途径，还是与其他团队进行整合以确保从一开始就考虑安全问题，人们普遍的共识似乎已经超越了威胁。



8 3.我们需要更多的安全人员

我们不断听到的一件事是安全专业人员如何短缺。 传统上无需考虑安全性（保护数据或确保产品安全）的公司现在正努力寻找经验丰富的安全专业人员。 政府机构正试图吸引最聪明的黑客来填补他们的空缺。 技能方面存在差距，部分原因是我们没有足够的安全专业人才，而且还因为公司在招聘方面做得不好。

我们需要更多的女性从事技术，尤其是信息安全领域。 RSAC的会议着重于建立支持结构，以鼓励对信息安全感兴趣的女性，同时强调其成就。



9 2.泄漏的应用程序比移动恶意软件更糟糕

抵御恶意软件仍然是许多移动安全公司关注的重点，但这并不是唯一的威胁。 RSAC会议上的许多与会者建议，泄漏的应用程序（即未经加密或大量传输用户个人数据的应用程序）对用户的威胁要大得多。 对于《移动威胁星期一》报道的读者来说，这不足为奇。 今年，我们期待通过ViaProtect之类的新工具来帮助消费者了解他们的应用真正在做什么。 就是说，看着某人在五分钟之内拆开，修改和重新打包Android应用程序，就提醒我们恶意软件仍然是一个问题。

图片来自Flickr用户Grotuk

• 10 1.监控不会消失

  FBI的新任主席詹姆斯·科米（James Comey）在他的RSAC 2014演讲中清楚地说明了两点：FBI需要企业之间的合作来应对网络威胁，但是电子监视仍然存在。 一方面，我们都知道这一点。 当恶意分子与电子邮件和其他工具通信时，我们不能指望间谍和警察继续窃听电话。 作为一个社会，我们需要接受数字通信是目标，也许是合法的目标。 同样，在引人入胜的美国情报内部人士圆桌会议上，与会嘉宾强调说，国家安全局不是“流氓机构”，每个其他国家都在从事电子监视。 他们还说，国内间谍活动需要在隐私与隐私之间取得更好的平衡，人们不应该允许民选官员利用他们的“掩盖故事”来进行情报行动。