บ้าน Securitywatch 10 สิ่งที่คุณต้องรู้เกี่ยวกับความปลอดภัยของระบบดิจิตอล

10 สิ่งที่คุณต้องรู้เกี่ยวกับความปลอดภัยของระบบดิจิตอล

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)
Anonim

เมื่อสัปดาห์ที่แล้วทีม SecurityWatch ทั้งคู่ได้ออกงานประชุม RSA เพื่อรับนวัตกรรมล่าสุดเกี่ยวกับความปลอดภัยใหม่ ๆ เทคโนโลยีล่าสุดและสิ่งที่ชุมชนความปลอดภัยกำลังพูดถึง เนื่องจากพวกคุณส่วนใหญ่มีสติมากพอที่จะไม่ใช้เวลาหนึ่งสัปดาห์ในงานแสดงสินค้านี่คือสิบสิ่งที่คุณต้องรู้เกี่ยวกับความปลอดภัยในตอนนี้

10. RSA และ NSA

สำนักงานความมั่นคงแห่งชาติอยู่ในใจของทุกคนในการประชุมปีนี้และเป็นเรื่องความปลอดภัยที่ยิ่งใหญ่ที่สุดของปีที่ผ่านมา และถึงแม้ว่าการประชุม RSA จะเป็นหน่วยงานที่แตกต่างจาก บริษัท RSA Security แต่การเชื่อมต่อหลายล้านดอลลาร์ระหว่าง RSA กับ NSA นั้นเป็นข้อถกเถียงกันบ่อยครั้ง Art Coviello ประธาน บริษัท อาร์เอสเอออกข้อกล่าวหาในคำปราศรัยสำคัญของเขา แต่เรียกร้องให้มีการปฏิรูปภายในหน่วยงานสายลับ ในทางตรงกันข้ามกับปีที่แล้วความกลัวเกี่ยวกับประเทศจีนเป็นเบาะหลัง

9. Buzzwords การฆ่าคำ

เมื่อคำศัพท์มาถึงสถานะ buzzword คำนั้นก็จะสิ้นสุดลงเพื่อแปลสิ่งที่มีประโยชน์ น่าเศร้าที่มีคำมากมายเช่นนั้นที่ RSAC ที่ซึ่งทุกคนใช้คำเดียวกัน แต่ไม่มีใครเห็นด้วยกับคำจำกัดความ เมื่อพูดถึงภัยคุกคามเรากำลังพูดถึงตัวบ่งชี้การประนีประนอมหรือเรากำลังพูดถึงการเพิ่มคุณค่าข้อมูลที่มีอยู่กับแหล่งข้อมูลของบุคคลที่สามหรือไม่? "ยุคถัดไป" หมายความว่าอะไรอีกแล้วหมายถึงอีกต่อไป? เมื่อมาถึงจุดนี้เราควรจะเป็นที่ถัดไป -gen ผลิตภัณฑ์จำนวนมากสามารถประกาศการปฏิวัติด้านความปลอดภัยได้อย่างไร อุตสาหกรรมรู้ถึงสิ่งที่จะเกิดขึ้นอีกหรือไม่?


8. เมื่อเครื่องปิ้งขนมปังรถยนต์และเครื่องชงกาแฟโจมตี

อินเทอร์เน็ตของสิ่งต่าง ๆ พุ่งเข้าสู่การประชุม RSA ในปีนี้และทุกคนกังวลเกี่ยวกับโอกาสในการรักษาความปลอดภัย ประเด็นสำคัญที่ทำให้ค่อนข้างลำบากใจคือเรายังไม่พร้อมที่จะรักษาความปลอดภัยของอุปกรณ์ทั้งหมดของเราไม่ว่าเราจะพูดถึงเครื่องใช้ในครัวเรือนอุปกรณ์การแพทย์หรือรถยนต์ ถึงกระนั้นก็ตามบางคนก็ไม่ได้เกี่ยวข้องอะไรเลยโดยบอกว่าอาชญากรไม่น่าจะลองควบคุมหรือชนรถที่เชื่อมต่อจากระยะไกล มีแนวโน้มว่าอาชญากรจะ "อัปสตรีม" เพื่อประนีประนอมเซิร์ฟเวอร์ที่ใช้สิ่งต่าง ๆ เช่นเซิร์ฟเวอร์ OnStar สำหรับรถยนต์และสร้างรายได้จากนั้น


7. เข้ารหัสทุกอย่าง

คำตอบจากทุกคนเกี่ยวกับการปรับปรุงความปลอดภัยโดยเฉพาะการรักษาความปลอดภัยมือถือคือการเข้ารหัสการเข้ารหัสการเข้ารหัส แอพมือถือกำลังเคลื่อนย้ายข้อมูลจำนวนมากทั่วอินเทอร์เน็ตและนักพัฒนาหลายคนเลือกที่จะไม่เข้ารหัสธุรกรรมเหล่านั้นทำให้ผู้โจมตีและประเทศชาติต้องดูมากมาย เมื่อหันไปใช้ NSA อีกครั้ง Co3 CTO Bruce Schneier กล่าวว่าหน่วยงานอาจทำลายการเข้ารหัสบางรูปแบบ แต่ไม่สามารถประมวลผลข้อมูลเข้ารหัสจำนวนมากได้ เขากล่าวว่าจำนวนข้อมูลที่ไม่ได้เข้ารหัสลับอย่างแท้จริงนั้นทำให้มันง่ายเกินไปสำหรับทุกคนที่ต้องการเก็บข้อมูล


6. ไม่มีกระสุนเงิน

เราใช้เวลามากมายพูดคุยเกี่ยวกับการนำเสนอและบุคคลที่ RSAC แต่เราไม่ควรลืมว่างานนี้เป็นงานแสดงสินค้าและชั้นแสดงสินค้าเต็มไปด้วยผู้ขายที่ทำงานเพื่อโน้มน้าวผู้ซื้อว่าผลิตภัณฑ์ของพวกเขาดีที่สุด น่าแปลกที่ บริษัท รักษาความปลอดภัยหลายแห่งยังคงผลักดันแนวคิดกระสุนเงินซึ่งเป็นทางออกเดียวสำหรับปัญหาด้านความปลอดภัยของคุณ นี่เป็นเรื่องน่าประหลาดใจเล็กน้อยเมื่อปีที่แล้วแสดงให้เห็นว่ามีช่องทางมากมายสำหรับการโจมตีและพวกเขาสามารถแตกต่างกันไปขึ้นอยู่กับว่าใครอยู่เบื้องหลังพวกเขาและสิ่งที่พวกเขากำลังตามมา รองประธานอาวุโสฝ่าย HP ของ Art Gilliland เสนอให้ บริษัท ต่างๆหยุดค้นหาอาวุธใหม่และใช้วิธีการรักษาความปลอดภัยแบบองค์รวมมากขึ้น สำคัญที่สุดในรายการการปรับปรุงของเขา? ลงทุนในบุคคลและปรับปรุงการฝึกอบรมด้านความปลอดภัย


5. Mobile AV ไม่ทำงาน

ในขณะที่เขาเฉลิมฉลองชุมชนการรักษาความปลอดภัยที่ทำงานร่วมกับและภายใน Android เพื่อปรับปรุงให้ดีขึ้นหัวหน้าวิศวกรของ Google สำหรับ Android Security ได้มองมุมมองที่ชัดเจนเกี่ยวกับความปลอดภัยของอุปกรณ์เคลื่อนที่ เขากล่าวว่าเป้าหมายของ Google คือการให้ความปลอดภัยที่เงียบและมองไม่เห็นและแนะนำ บริษัท รักษาความปลอดภัยให้ความสนใจและกระตุ้นยอดขายให้มากขึ้น viaForensics ซีอีโอและผู้ร่วมก่อตั้ง Andrew Hoog ยังมีปัญหากับรูปแบบการรักษาความปลอดภัยแบบดั้งเดิมบนมือถือ เขาชี้ให้เห็นว่าแอพพลิเคชั่นแซนด์บ็อกซ์ในระบบปฏิบัติการมือถือทำได้ดีในการรักษาความปลอดภัยของแอพ แต่ก็ยังจำกัดความสามารถของแอพความปลอดภัยในการจัดการกับภัยคุกคาม ทางออกของเขา? ให้นักพัฒนาระบบความปลอดภัยสามารถเข้าถึงสิทธิ์ของรูทได้

ฉันไม่เห็นด้วยอย่างยิ่งกับตำแหน่งใดตำแหน่งหนึ่ง แต่ภัยคุกคามบนมือถือที่เพิ่มขึ้นต้องการวิธีการรักษาความปลอดภัยอุปกรณ์ใหม่ ๆ การป้องกันแอปที่เป็นอันตรายนั้นไม่เพียงพอและถึงแม้ว่า บริษัท รักษาความปลอดภัยเครื่องมือจะเพิ่มลงในแอพมือถือของพวกเขาก็มีประโยชน์ แต่พวกเขาก็คงไม่เพียงพอ


4. ความปลอดภัยในที่นั่งคนขับ

เราพูดถึงความปลอดภัยเป็นส่วนหนึ่งของ DNA ขององค์กรและวิธีที่ทีมรักษาความปลอดภัยไม่สามารถตอบสนองต่อวิกฤตหรือในโหมดดับเพลิงได้ตลอดเวลา ฉันทามติทั่วไปดูเหมือนจะก้าวไปข้างหน้ากับภัยคุกคามไม่ว่าจะเป็นการปฏิบัติที่ดีกว่าด้านความปลอดภัยเพื่อปิดช่องทางการจู่โจมหรือทำงานร่วมกับทีมอื่น ๆ


3. เราต้องการผู้คนจำนวนมากในด้านความปลอดภัย

หนึ่งในสิ่งที่เราคอยฟังก็คือผู้เชี่ยวชาญด้านความปลอดภัยยังขาดแคลน บริษัท ที่ไม่ต้องคำนึงถึงความปลอดภัย - การปกป้องข้อมูลของพวกเขาหรือทำให้แน่ใจว่าผลิตภัณฑ์ของตนปลอดภัย - กำลังดิ้นรนเพื่อค้นหาผู้เชี่ยวชาญด้านความปลอดภัยที่มีประสบการณ์ หน่วยงานของรัฐพยายามดึงดูดแฮ็กเกอร์ที่ฉลาดที่สุดเพื่อเติมเต็มอันดับของพวกเขา มีช่องว่างทักษะบางส่วนเนื่องจากเราไม่มีบุคลากรเพียงพอที่จะเชี่ยวชาญด้านความปลอดภัย แต่ยังเป็นเพราะ บริษัท ไม่ได้ทำการสรรหาบุคลากรที่ดี

เราต้องการผู้หญิงมากขึ้นในด้านเทคโนโลยีและความปลอดภัยของข้อมูลโดยเฉพาะ การประชุมที่ RSAC มุ่งเน้นไปที่การสร้างโครงสร้างการสนับสนุนเพื่อส่งเสริมให้ผู้หญิงที่สนใจในข่าวสารข้อมูล แต่ยังเน้นถึงความสำเร็จของพวกเขาด้วย

2. แอพที่มีการรั่วไหลนั้นเลวร้ายยิ่งกว่ามัลแวร์มือถือ

การป้องกันมัลแวร์ยังคงให้ความสำคัญกับ บริษัท รักษาความปลอดภัยมือถือหลายแห่ง แต่นั่นก็ไม่ใช่แค่ภัยคุกคามเท่านั้น ผู้เข้าร่วมประชุมจำนวนมากในการประชุม RSAC แนะนำว่าแอปที่รั่วไหลนั่นคือแอพที่ส่งข้อมูลส่วนบุคคลของผู้ใช้โดยไม่มีการเข้ารหัสหรือในปริมาณมากเป็นภัยคุกคามต่อผู้ใช้มากขึ้น สำหรับผู้อ่านรายงานข่าวภัยคุกคามบนมือถือวันจันทร์นี้ไม่น่าแปลกใจเลย ในปีนี้เรากำลังตั้งตารอเครื่องมือใหม่ ๆ เช่น viaProtect เพื่อช่วยให้ผู้บริโภคเห็นว่าแอพของพวกเขากำลังทำอะไรอยู่ ที่กล่าวว่าการเฝ้าดูใครบางคนที่แยกออกจากกันแก้ไขและบรรจุแอพ Android ใหม่ในห้านาทีเป็นเครื่องเตือนใจว่ามัลแวร์ยังคงเป็นปัญหาอยู่


1. การเฝ้าระวังไม่ได้หายไปไหน

ผู้อำนวยการ FBI ของ James Comey ทำสดใหม่ได้ทำสองสิ่งที่ชัดเจนในการนำเสนอ RSAC 2014 ของเขา: FBI ต้องการความร่วมมือจากธุรกิจในการต่อสู้กับภัยคุกคามทางไซเบอร์ แต่การเฝ้าระวังทางอิเล็กทรอนิกส์นั้นอยู่ที่นี่ ในระดับหนึ่งเราทุกคนรู้เรื่องนี้ เราไม่สามารถคาดหวังสายลับและตำรวจคอยเคาะโทรศัพท์เมื่อคนร้ายกำลังสื่อสารกับอีเมลและเครื่องมืออื่น ๆ ในฐานะสังคมเราต้องยอมรับว่าการสื่อสารทางดิจิทัลเป็นเป้าหมายและอาจเป็นเรื่องที่ถูกกฎหมาย ในทำนองเดียวกันผู้ร่วมอภิปรายในการประชุมโต๊ะกลมที่น่าสนใจของบุคคลภายในหน่วยข่าวกรองสหรัฐได้ย้ำว่า NSA ไม่ใช่ "หน่วยงานอันธพาล" และรัฐของประเทศอื่น ๆ ทุกประเทศมีส่วนร่วมในการเฝ้าระวังทางอิเล็กทรอนิกส์ พวกเขายังกล่าวอีกว่าการสอดแนมในประเทศจะต้องสร้างสมดุลที่ดีขึ้นกับความเป็นส่วนตัวและประชาชนไม่ควรอนุญาตให้เจ้าหน้าที่ที่ได้รับเลือกใช้ "เรื่องเล่า" ของพวกเขาเกี่ยวกับความน่าเชื่อถือที่น่าเชื่อถือสำหรับการปฏิบัติการข่าวกรอง

รูปภาพผ่านผู้ใช้ Flickr Niko Notibär

10 สิ่งที่คุณต้องรู้เกี่ยวกับความปลอดภัยของระบบดิจิตอล