10 แนวคิดสำคัญในการรักษาความปลอดภัยระบบดิจิตอล

เมื่อไม่นานมานี้ข่าวความปลอดภัยหมายถึงช่องโหว่และไวรัสที่แพร่กระจายไปทั่วคอมพิวเตอร์เดสก์ท็อป แต่ตอนนี้ผู้คนในทุกที่ต่างก็กังวลเกี่ยวกับการสอดแนมหน่วยงานราชการ Heartbleed ปล่อยให้ข้อมูลส่วนบุคคลของพวกเขาหลุดบนเว็บและภัยคุกคามจากมือถือที่เพิ่มขึ้น Heck การรายงานข่าวการรั่วไหลของ Edward Snowden เกี่ยวกับความพยายามในการสอดแนมในประเทศของ National Security Agency นั้นได้รับรางวัลพูลิตเซอร์ในปีนี้ เมื่อชีวิตของเราให้ความสำคัญกับอุปกรณ์ดิจิตอลและอินเทอร์เน็ตผู้คนจำนวนมากต่างกังวลเกี่ยวกับความปลอดภัยและถูกต้อง คำถามคือสิ่งที่เป็นปัญหาจริง - และอะไรเป็นเพียงแค่การโฆษณาชวนเชื่อรสจากเดือนกระแสหลัก?

สำหรับภาพรวมที่ชัดเจนของสิ่งที่สำคัญให้ย้อนกลับไปเมื่อเดือนกุมภาพันธ์ที่ผ่านมาเมื่อผู้เข้าร่วมนับพันแห่กันไปที่ซานฟรานซิสโกเพื่อการประชุม RSA ในหมู่พวกเขาเป็นผู้สร้างผลิตภัณฑ์รักษาความปลอดภัยและนักวิจัยที่ได้ทำลายเรื่องราวความปลอดภัยที่ใหญ่ที่สุดบางส่วน เป็นหนึ่งในงานชุมนุมที่ใหญ่ที่สุดและแนวคิดจาก RSAC จะมีผลกระทบอย่างมากต่อความปลอดภัยของระบบดิจิตอลในช่วงที่เหลือของปี

Snowden และความปลอดภัย

ผู้คนเคยพูดเล่น ๆ ว่ารัฐบาลสหรัฐฯกำลังฟังทุกสิ่งที่ทุกคนพูด แต่ก็ไม่มีใครหัวเราะเรื่องนี้อีกเลย ข้อตกลงที่ถูกกล่าวหาระหว่างสำนักงานความมั่นคงแห่งชาติและ RSA Security ทำให้เกิดการประชุมซึ่งไม่ได้มีส่วนเกี่ยวข้องโดยตรงกับ บริษัท RSA อีกต่อไป

น่าแปลกใจที่ NSA ตัดสินใจอีกครั้งว่าจะต้องมาปรากฏตัวในพื้นที่แสดงในปีนี้ แม้ว่าพวกเขาจะไม่ได้มันก็ยากที่จะหลีกเลี่ยง NSA ผู้ค้าบางรายส่งตราสัญลักษณ์พร้อมกับเอเจนซี่ลงบนพวกเขาในขณะที่คนอื่น ๆ เขียนคำพูดเยาะเย้ยบนกระดานไวท์บอร์ดสาธารณะ เห็นได้ชัดว่าผู้ขายรายหนึ่งคัดค้านการตั้งอยู่ใกล้กับบูธของ NSA ในขณะที่อีกรายหนึ่งใช้โอกาสในการเรียกใช้วิดีโอวนรอบเกี่ยวกับ Snowden

วิทยากรบางคนดึงการนำเสนอของพวกเขามาประท้วงและจัดงานแข่งขันหนึ่งวันที่เรียกว่า Trustycon สิ่งนี้มีขึ้นเพื่อช่วยสร้างความตระหนักถึงปัญหาความเป็นส่วนตัวแม้ว่าบางคนจะเห็นว่ามันแตกต่างกัน

จีนใคร

เมื่อปีที่แล้ว Boogeyman ใต้เตียงของทุกคนคือจีน ความกลัวในหมู่คนในวงการคือการได้รับการสนับสนุนจากรัฐหรือผู้โจมตีคนเดียวจากประเทศจีนที่ขโมยทรัพย์สินทางปัญญาและขายมันหรือมอบให้กับคู่แข่งชาวจีน นอกจากนี้ยังมีภัยคุกคามจากไซเบอร์สงครามระหว่างประเทศทำให้ทุกอย่างเป็นเรื่องจริงยิ่งขึ้นโดยรายงานต่อเนื่องเกี่ยวกับภัยคุกคามขั้นสูงต่อเนื่องขั้นสูง

กรอไปข้างหน้าอย่างรวดเร็วในปีนี้และความกังวลเป็นอย่างมาก ผู้พูดพูดถึง "การโจรกรรมทรัพย์สินทางปัญญา" แต่ไม่เห็นความจำเป็นในการพูดว่าใครจะอยู่เบื้องหลัง เมื่อกล่าวถึงการโจมตี "ชาติชาติ" เมื่อปีที่แล้วมันก็เกือบจะหมายถึง "จีน" อย่างแน่นอน แต่ในปีนี้มันอาจหมายถึง "สหรัฐอเมริกา" อย่างง่ายดาย

สิบสิ่ง

นอกเหนือจากเรื่องใหญ่เหล่านี้มีการพัฒนาที่มีแนวโน้มเทคโนโลยีใหม่และคำแนะนำที่พยายามและเป็นความจริงที่ RSA ก่อนอื่น? แก้ไขซอฟต์แวร์ของคุณ นอกจากนี้ยังมีผู้ค้าจำนวนมากที่ต้องการย้ายรหัสผ่านที่ผ่านมาซึ่งเราหวังว่าจะเห็นเกิดขึ้นในไม่ช้า นอกจากนี้ฉันหวังว่าทุกคนจะอ่านก่อนการแสดงในปีหน้า

นี่เป็นเรื่องราวสำคัญที่ผู้เชี่ยวชาญด้านความปลอดภัยกำลังคร่ำเคร่ง แต่พวกเขาไม่ใช่คนเดียว นี่คือความคิดใหญ่สิบอันดับแรกของเราที่เกิดขึ้นในด้านความปลอดภัยในขณะนี้

1 10. แบ็คดอร์ในการเข้ารหัส

สำนักงานความมั่นคงแห่งชาติอยู่ในใจของทุกคนในการประชุมปีนี้และเป็นเรื่องความปลอดภัยที่ยิ่งใหญ่ที่สุดของปีที่ผ่านมา และถึงแม้ว่าการประชุม RSA จะเป็นหน่วยงานที่แตกต่างจาก บริษัท RSA Security แต่การเชื่อมต่อหลายล้านดอลลาร์ระหว่าง RSA กับ NSA นั้นเป็นข้อถกเถียงกันบ่อยครั้ง Art Coviello ประธาน บริษัท อาร์เอสเอออกข้อกล่าวหาในคำปราศรัยสำคัญของเขา แต่เรียกร้องให้มีการปฏิรูปภายในหน่วยงานสายลับ ในทางตรงกันข้ามกับปีที่แล้วความกลัวเกี่ยวกับประเทศจีนได้นำเบาะหลังไปสู่ความกังวลว่าการเข้ารหัสอาจไม่ปลอดภัยอย่างที่เราคิด



2 9. Buzzwords การฆ่าคำ

เมื่อคำศัพท์มาถึงสถานะ buzzword คำนั้นก็จะสิ้นสุดลงเพื่อแปลสิ่งที่มีประโยชน์ น่าเศร้าที่มีคำมากมายเช่นนั้นที่ RSAC ที่ซึ่งทุกคนใช้คำเดียวกัน แต่ไม่มีใครเห็นด้วยกับคำจำกัดความ เมื่อพูดถึงภัยคุกคามเรากำลังพูดถึงตัวบ่งชี้การประนีประนอมหรือเรากำลังพูดถึงการเพิ่มคุณค่าข้อมูลที่มีอยู่กับแหล่งข้อมูลของบุคคลที่สามหรือไม่? "ยุคถัดไป" หมายความว่าอะไรอีกแล้วหมายถึงอีกต่อไป? เมื่อมาถึงจุดนี้เราควรจะเป็นที่ถัดไป -gen ผลิตภัณฑ์จำนวนมากสามารถประกาศการปฏิวัติด้านความปลอดภัยได้อย่างไร อุตสาหกรรมรู้ถึงสิ่งที่จะเกิดขึ้นอีกหรือไม่


ภาพผ่านผู้ใช้ Flickr Soumyadeep Paul



3 8. เมื่อเครื่องปิ้งขนมปังรถยนต์และเครื่องชงกาแฟโจมตี

อินเทอร์เน็ตของสิ่งต่าง ๆ พุ่งเข้าสู่การประชุม RSA ในปีนี้และทุกคนกังวลเกี่ยวกับโอกาสในการรักษาความปลอดภัย ประเด็นสำคัญที่ทำให้ค่อนข้างลำบากใจคือเรายังไม่พร้อมที่จะรักษาความปลอดภัยของอุปกรณ์ทั้งหมดของเราไม่ว่าจะเป็นเครื่องใช้ในครัวเรือนอุปกรณ์ทางการแพทย์หรือรถยนต์ ถึงกระนั้นก็ตามบางคนก็ไม่ได้เกี่ยวข้องอะไรเลยโดยบอกว่าอาชญากรไม่น่าจะลองควบคุมหรือชนรถที่เชื่อมต่อจากระยะไกล เป็นไปได้ว่าอาชญากรจะ "อัปสตรีม" เพื่อประนีประนอมเซิร์ฟเวอร์ที่ใช้สิ่งต่าง ๆ เช่นเซิร์ฟเวอร์ OnStar สำหรับรถยนต์และสร้างรายได้


Internet of Things จะไม่มีการเพาะปลูกมากขึ้นเรื่อย ๆ เมื่อมีการเชื่อมต่ออุปกรณ์เพิ่มเติม หลังจาก Heartbleed นักวิจัยไม่ได้กังวลเกี่ยวกับเซิร์ฟเวอร์ แต่มีอุปกรณ์เชื่อมต่อใด ๆ



4 7. เข้ารหัสทุกอย่าง

คำตอบจากทุกคนเกี่ยวกับการปรับปรุงความปลอดภัยโดยเฉพาะการรักษาความปลอดภัยมือถือคือการเข้ารหัสการเข้ารหัสการเข้ารหัส แอพมือถือกำลังเคลื่อนย้ายข้อมูลจำนวนมากทั่วอินเทอร์เน็ตและนักพัฒนาหลายคนเลือกที่จะไม่เข้ารหัสธุรกรรมเหล่านั้นทำให้ผู้โจมตีและประเทศชาติต้องดูมากมาย เมื่อหันไปใช้ NSA อีกครั้ง Co3 CTO Bruce Schneier กล่าวว่าหน่วยงานอาจทำลายการเข้ารหัสบางรูปแบบ แต่ไม่สามารถประมวลผลข้อมูลเข้ารหัสจำนวนมากได้ เขากล่าวว่าจำนวนข้อมูลที่ไม่ได้เข้ารหัสลับอย่างแท้จริงนั้นทำให้มันง่ายเกินไปสำหรับทุกคนที่ต้องการเก็บข้อมูล ย้อนกลับไปเมื่อเดือนกุมภาพันธ์ความกังวลเกี่ยวกับการเข้ารหัสขึ้นอยู่กับช่องโหว่ที่สร้างโดย NSA และปัญหา SSL ของ Apple การประกาศของ Heartbleed เป็นเครื่องเตือนใจว่าแม้แต่เครื่องมือที่ดีที่สุดที่เรายังไม่สมบูรณ์


รูปภาพผ่านบัญชีผู้ใช้ Flickr

• 5 6. ไม่มีกระสุนเงิน

  เราใช้เวลามากมายพูดคุยเกี่ยวกับการนำเสนอและบุคคลที่ RSAC แต่เราไม่ควรลืมว่างานนี้เป็นงานแสดงสินค้าและชั้นแสดงสินค้าเต็มไปด้วยผู้ขายที่ทำงานเพื่อโน้มน้าวผู้ซื้อว่าผลิตภัณฑ์ของพวกเขาดีที่สุด น่าแปลกที่ บริษัท รักษาความปลอดภัยหลายแห่งยังคงผลักดันแนวคิดกระสุนเงินซึ่งเป็นทางออกเดียวสำหรับปัญหาด้านความปลอดภัยของคุณ นี่เป็นเรื่องน่าประหลาดใจเล็กน้อยเมื่อปีที่แล้วแสดงให้เห็นว่ามีช่องทางมากมายสำหรับการโจมตีและพวกเขาสามารถแตกต่างกันไปขึ้นอยู่กับว่าใครอยู่เบื้องหลังพวกเขาและสิ่งที่พวกเขากำลังตามมา รองประธานอาวุโสฝ่าย HP ของ Art Gilliland เสนอให้ บริษัท ต่างๆหยุดค้นหาอาวุธใหม่และใช้วิธีการรักษาความปลอดภัยแบบองค์รวมมากขึ้น สำคัญที่สุดในรายการการปรับปรุงของเขา? ลงทุนในบุคคลและปรับปรุงการฝึกอบรมด้านความปลอดภัย



6 5. Mobile AV ไม่ทำงาน

ในขณะที่เขาเฉลิมฉลองชุมชนการรักษาความปลอดภัยที่ทำงานร่วมกับและภายใน Android เพื่อปรับปรุงให้ดีขึ้นหัวหน้าวิศวกรของ Google สำหรับ Android Security ได้มองมุมมองที่ชัดเจนเกี่ยวกับความปลอดภัยของอุปกรณ์เคลื่อนที่ เขากล่าวว่าเป้าหมายของ Google คือการให้ความปลอดภัยที่เงียบและมองไม่เห็นและแนะนำ บริษัท รักษาความปลอดภัยให้ความสนใจและกระตุ้นยอดขายให้มากขึ้น viaForensics ซีอีโอและผู้ร่วมก่อตั้ง Andrew Hoog ยังมีปัญหากับรูปแบบการรักษาความปลอดภัยแบบดั้งเดิมบนมือถือ เขาชี้ให้เห็นว่าแอพพลิเคชั่นแซนด์บ็อกซ์ในระบบปฏิบัติการมือถือทำได้ดีในการรักษาความปลอดภัยของแอพ แต่ก็ยังจำกัดความสามารถของแอพความปลอดภัยในการจัดการกับภัยคุกคาม ทางออกของเขา? ให้นักพัฒนาระบบความปลอดภัยสามารถเข้าถึงสิทธิ์ของรูทได้


ฉันไม่เห็นด้วยอย่างยิ่งกับตำแหน่งใดตำแหน่งหนึ่ง แต่ภัยคุกคามบนมือถือที่เพิ่มขึ้นต้องการวิธีการรักษาความปลอดภัยอุปกรณ์ใหม่ ๆ การป้องกันแอปที่เป็นอันตรายนั้นไม่เพียงพอและถึงแม้ว่า บริษัท รักษาความปลอดภัยเครื่องมือจะเพิ่มลงในแอพมือถือของพวกเขาก็มีประโยชน์ แต่พวกเขาจะไม่พอเพียงตลอดไป


ภาพผ่านผู้ใช้ Flickr Tiago A. Pereira



7 4. ความปลอดภัยในที่นั่งคนขับ

เราพูดถึงความปลอดภัยเป็นส่วนหนึ่งของ DNA ขององค์กรและวิธีที่ทีมรักษาความปลอดภัยไม่สามารถตอบสนองต่อวิกฤตหรือในโหมดดับเพลิงได้ตลอดเวลา ฉันทามติทั่วไปดูเหมือนจะก้าวไปข้างหน้ากับภัยคุกคามไม่ว่าจะเป็นการปฏิบัติที่ดีกว่าด้านความปลอดภัยเพื่อปิดช่องทางการโจมตีหรือรวมกับทีมอื่น ๆ เพื่อให้แน่ใจว่าความกังวลด้านความปลอดภัยได้รับการพิจารณาตั้งแต่เริ่มต้น



8 3. เราต้องการคนจำนวนมากในด้านความปลอดภัย

หนึ่งในสิ่งที่เราคอยฟังก็คือผู้เชี่ยวชาญด้านความปลอดภัยยังขาดแคลน บริษัท ที่ไม่ต้องคำนึงถึงความปลอดภัย - การปกป้องข้อมูลของพวกเขาหรือทำให้แน่ใจว่าผลิตภัณฑ์ของพวกเขาปลอดภัย - กำลังพยายามหาผู้เชี่ยวชาญด้านความปลอดภัยที่มีประสบการณ์ หน่วยงานของรัฐพยายามดึงดูดแฮ็กเกอร์ที่ฉลาดที่สุดเพื่อเติมเต็มอันดับของพวกเขา มีช่องว่างทักษะบางส่วนเพราะเราไม่มีบุคลากรที่มีความเชี่ยวชาญเพียงพอในการรักษาความปลอดภัย แต่ก็เป็นเพราะ บริษัท ไม่ได้ทำการสรรหาบุคลากรที่ดี


เราต้องการผู้หญิงมากขึ้นในด้านเทคโนโลยีและความปลอดภัยของข้อมูลโดยเฉพาะ การประชุมที่ RSAC มุ่งเน้นไปที่การสร้างโครงสร้างการสนับสนุนเพื่อส่งเสริมให้ผู้หญิงที่สนใจในข่าวสารข้อมูล แต่ยังเน้นถึงความสำเร็จของพวกเขาด้วย



9 2. แอพที่มีการรั่วไหลนั้นเลวร้ายยิ่งกว่ามัลแวร์มือถือ

การป้องกันมัลแวร์ยังคงให้ความสำคัญกับ บริษัท รักษาความปลอดภัยมือถือหลายแห่ง แต่นั่นก็ไม่ใช่แค่ภัยคุกคามเท่านั้น ผู้เข้าร่วมประชุมจำนวนมากในการประชุม RSAC แนะนำว่าแอปที่รั่วไหลนั่นคือแอพที่ส่งข้อมูลส่วนบุคคลของผู้ใช้โดยไม่มีการเข้ารหัสหรือในปริมาณมากเป็นภัยคุกคามต่อผู้ใช้มากขึ้น สำหรับผู้อ่านรายงานข่าวภัยคุกคามบนมือถือวันจันทร์นี้ไม่น่าแปลกใจเลย ปีนี้เรากำลังตั้งตารอเครื่องมือใหม่ ๆ เช่นผ่านการปกป้องเพื่อช่วยให้ผู้บริโภคเห็นว่าแอพของพวกเขากำลังทำอะไรอยู่ ที่กล่าวว่าการเฝ้าดูใครบางคนที่แยกออกจากกันแก้ไขและบรรจุแอพ Android ใหม่ในห้านาทีเป็นเครื่องเตือนใจว่ามัลแวร์ยังคงเป็นปัญหาอยู่


ภาพผ่านผู้ใช้ Flickr Grotuk

• 10 1. การเฝ้าระวังไม่ได้หายไป

  ผู้อำนวยการ FBI ของ James Comey ทำสดใหม่ได้ทำสองสิ่งที่ชัดเจนในการนำเสนอ RSAC 2014 ของเขา: FBI ต้องการความร่วมมือจากธุรกิจในการต่อสู้กับภัยคุกคามทางไซเบอร์ แต่การเฝ้าระวังทางอิเล็กทรอนิกส์นั้นอยู่ที่นี่ ในระดับหนึ่งเราทุกคนรู้เรื่องนี้ เราไม่สามารถคาดหวังสายลับและตำรวจคอยเคาะโทรศัพท์เมื่อคนร้ายกำลังสื่อสารกับอีเมลและเครื่องมืออื่น ๆ ในฐานะสังคมเราต้องยอมรับว่าการสื่อสารดิจิทัลเป็นเป้าหมายและอาจเป็นเรื่องที่ถูกกฎหมาย ในทำนองเดียวกันผู้ร่วมอภิปรายในการประชุมโต๊ะกลมที่น่าสนใจของบุคคลภายในหน่วยข่าวกรองสหรัฐได้ย้ำว่า NSA ไม่ใช่ "หน่วยงานอันธพาล" และรัฐของประเทศอื่น ๆ ทุกประเทศมีส่วนร่วมในการเฝ้าระวังทางอิเล็กทรอนิกส์ พวกเขายังกล่าวอีกว่าการสอดแนมในประเทศจะต้องสร้างสมดุลที่ดีขึ้นกับความเป็นส่วนตัวและประชาชนไม่ควรอนุญาตให้เจ้าหน้าที่ที่ได้รับเลือกใช้ "เรื่องเล่า" ของพวกเขาเกี่ยวกับความน่าเชื่อถือที่น่าเชื่อถือสำหรับการปฏิบัติการข่าวกรอง