安全观察 关于数字安全性您需要了解的10件事

关于数字安全性您需要了解的10件事

视频: 愛到無可æ•'è—¥ - å"å† (十一月 2024)

视频: 愛到無可æ•'è—¥ - å"å† (十一月 2024)
Anonim

上周,整个SecurityWatch团队都在RSA大会上发了言,以获取有关新安全性创新,最新技术以及安全性社区真正谈论的话题的最新信息。 由于你们大多数人都很理智,不会在贸易展上度过一周,因此,这是您现在需要了解的有关安全的十件事。

10. RSA和NSA

在今年的会议上,国家安全局在每个人的脑海中,这是过去一年中最大的安全事件。 尽管RSA Conference与RSA Security公司是一个截然不同的实体,但据称RSA与NSA之间数百万美元的联系是经常讨论的话题。 RSA主席Art Coviello在他的主旨演讲中否认了这些指控,但要求在间谍机构内部进行改革。 与去年形成鲜明对比的是,对中国的担忧退居二线。

9.流行语杀死单词

一旦单词达到流行词状态,它就不再意味着任何有用的东西。 可悲的是,在RSAC上有很多这样的词,每个人都使用相同的词,但是没人同意这个定义。 在威胁情报方面,我们是在讨论危害指标,还是在谈论利用第三方资源丰富现有数据? “下一代”到底又意味着什么? 在这一点上,我们应该处于下一代。 如此众多的产品如何预示着安全革命? 该行业甚至不知道它的前景了吗?

8.当烤面包机,汽车和咖啡机袭击时

物联网进入了今年的RSA会议,每个人都对确保它们安全的前景感到担忧。 令人担忧的是,无论是在谈论家用电器,医疗设备还是汽车,我们尚未准备好保护所有设备的安全。 即便如此,也有一些人并没有那么担心,他们说犯罪分子不太可​​能尝试远程控制或撞坏联网汽车。 犯罪分子更有可能“向上游”入侵使用物联网的服务器,例如汽车的OnStar服务器,并从中获利。

7.加密所有内容

每个人关于如何提高安全性(尤其是移动安全性)的答案是加密,加密,加密。 移动应用程序正在Internet上移动大量信息,许多开发人员选择不对那些交易进行加密,这给攻击者和国家带来了很多希望。 再次转向NSA,Co3首席技术官布鲁斯·施耐尔(Bruce Schneier)认为,该机构可能破坏了某种形式的加密,但无法处理大量的加密数据。 他说,大量未经加密的信息在四处传播,这对于任何想要存储数据的人来说都太容易了。

6.没有银弹

我们在RSAC上花费了大量时间讨论演讲和个人,但我们不应该忘记该活动是一场贸易展览,而且展位里到处都是供应商,他们努力说服买家他们的产品是最好的。 出乎意料的是,许多安全公司仍在推动“灵丹妙药”的想法,这是针对您所有安全问题的单一服务解决方案。 鉴于过去一年已经证明存在多种攻击途径,而且根据攻击者的身分以及攻击的目的而有所不同,这有点令人惊讶。 惠普的高级副总裁Art Gilliland建议公司停止寻找新武器,并采取更全面的方法来确保安全。 他的改进清单上最重要的是? 投资于个人并改善安全培训。

5.移动AV无法正常工作

在他庆祝安全社区与Android合作并在Android内部合作以改善安全性的同时,Google的Android安全首席工程师对移动安全迄今持模糊的看法。 他说,谷歌的目标是提供安静,隐形的安全性,并建议安全公司更多地关注吸引注意力和增加销售。 viaForensics首席执行官兼联合创始人安德鲁·霍格(Andrew Hoog)也对传统的移动安全模型提出了质疑。 他指出,移动操作系统中的应用沙箱在保护应用程序安全方面做得很好,但同时也限制了安全应用程序应对威胁的能力。 他的解决方案? 向安全开发人员授予访问root特权的权限。

我对这两种立场都不完全同意,但是越来越多的移动威胁要求采用新方法来保护设备。 防范恶意应用程序还不够,尽管安全公司在其移动应用程序中添加的工具很有用,但它们永远不会足够。

4.驾驶员座椅的安全性

我们谈论了很多有关安全性如何成为组织DNA的一部分的问题,以及安全团队如何不能一直对危机做出反应或采取救火模式。 无论是通过更好的安全实践来封闭攻击途径,还是与其他团队进行整合以确保从一开始就考虑安全问题,人们普遍的共识似乎已经超越了威胁。

3. 我们需要更多的安全人员

我们不断听到的一件事是安全专业人员如何短缺。 传统上不必考虑安全性(保护数据或确保产品安全)的公司现在正努力寻找经验丰富的安全专业人员。 政府机构正试图吸引最聪明的黑客来填补他们的空缺。 技能方面存在差距,部分原因是我们没有足够的安全专业人才,而且还因为公司在招聘方面做得不好。

我们需要更多的女性从事技术,尤其是信息安全领域。 RSAC的会议着重于建立支持结构,以鼓励对信息安全感兴趣的女性,同时强调其成就。

2.泄漏的应用程序比移动恶意软件更糟糕

抵御恶意软件仍然是许多移动安全公司关注的重点,但这并不是唯一的威胁。 RSAC会议上的许多与会者建议,泄漏的应用程序(即未经加密或大量传输用户个人数据的应用程序)对用户的威胁要大得多。 对于《移动威胁星期一》报道的读者来说,这不足为奇。 今年,我们期待通过ViaProtect之类的新工具来帮助消费者了解他们的应用真正在做什么。 就是说,看着某人在五分钟之内拆开,修改和重新打包Android应用程序,就提醒我们恶意软件仍然是一个问题。

1. 监控不会消失

FBI的新任主席詹姆斯·科米(James Comey)在他的RSAC 2014演讲中清楚地说明了两点:FBI需要企业之间的合作来应对网络威胁,但是电子监视仍然存在。 一方面,我们都知道这一点。 当恶意分子与电子邮件和其他工具通信时,我们不能指望间谍和警察继续窃听电话。 作为一个社会,我们需要接受数字通信是目标,也许是合法的目标。 同样,在引人入胜的美国情报内部人士圆桌会议上,与会嘉宾强调说,国家安全局不是“流氓机构”,每个其他国家都在从事电子监视。 他们还说,国内间谍活动需要在隐私与隐私之间取得更好的平衡,人们不应该允许民选官员利用他们的“掩盖故事”来进行情报行动。

图片来自Flickr用户NikoNotibär

关于数字安全性您需要了解的10件事