10 רעיונות גדולים באבטחה דיגיטלית

לא מזמן פירושו של חדשות האבטחה על פגיעויות עלומות וירוסים המתפשטים על גבי מחשבים שולחניים. אבל עכשיו אנשים בכל מקום מודאגים מגניבות של סוכנויות ממשלתיות, מרוצים מהלב לשחרר את הנתונים האישיים שלהם באינטרנט, ומגביר את האיומים הניידים. האק, הסיקור של ההדלפות של אדוארד סנודן על מאמצי הריגול הפנימיים של הסוכנות לביטחון לאומי גזל השנה פרסי פוליצר. ככל שחיינו מתמקדים יותר במכשירים דיגיטליים ובאינטרנט, יותר אנשים מודאגים מהביטחון, ובצדק. השאלה היא, מה הם הסוגיות האמיתיות - ומה רק ההייפ של טעם החודש מהתקשורת המיינסטרים?

לקבלת סקירה מוצקה של מה שחשוב באמת, חזרו שוב לפברואר האחרון, אז אלפי משתתפים נהרו לסן פרנסיסקו לכנס RSA. ביניהם היו יוצרי מוצרי האבטחה והחוקרים ששברו כמה מסיפורי האבטחה הגדולים ביותר. זה אחד המפגשים הגדולים מסוגו, והרעיונות של RSAC ישפיעו רבות על האבטחה הדיגיטלית להמשך השנה.

שלגדן וביטחון

אנשים נהגו להתבדח שממשלת ארה"ב מקשיבה לכל מה שכולם אמרו, אבל איש כבר לא צוחק מזה. העסקה לכאורה בין הסוכנות לביטחון לאומי לביטחון RSA הפילה את הוועידה, שכבר אינה קשורה ישירות לחברת RSA.

באופן מפתיע, ה- NSA החליטה שוב להיות נוכחות בקומת התצוגה השנה. גם אם לא היו, קשה היה להימנע מה- NSA. חלק מהספקים חילקו תחתיות עם הלוגו של הסוכנות עליהם, ואילו אנשים אחרים נדרשו לכתוב הערות רציף על לוחות הלוח הציבוריים. מוכר אחד התנגד ככל הנראה למיקום סמוך לדוכן של ה- NSA, בעוד שאחר אחר ניצל את ההזדמנות להפעיל סרטוני לולאה על סנודן.

חלק מהנואמים משכו את מצגותיהם במחאה וארגנו אירוע של יום אחד מתחרים בשם Trustycon. זה נועד לסייע בהעלאת המודעות לנושאי פרטיות, למרות שיש אנשים שראו זאת אחרת.

סין מי?

בשנה שעברה, האיש הבוגי שמתחת למיטה של ​​כולם היה סין. הפחד בקרב מבני התעשייה היה תוקפים ממדינה או בודדים מסין שגנבו קניין רוחני ומכרו אותו או העבירו אותו למתחרים סיניים. היה גם האיום של מלחמת קיבר בין מדינות, שהופך לממש יותר על ידי דיווחים ממשיכים על איומים מתמשכים מתמשכים.

קדימה לשנה זו והדאגות רכות יותר. הדוברים הזכירו את "גניבת קניין רוחני", אך לא ראו צורך לומר מי יהיה מאחוריה. כאשר הוזכרו התקפות של "מדינת הלאום" בשנה שעברה זה כמעט ודאי התכוון "סין", אך השנה זה יכול היה בקלות להתכוון "ארצות הברית של אמריקה".

עשרה דברים

מחוץ לסיפורים הגדולים הללו, היו RSA כמה התפתחויות מבטיחות, טכנולוגיה חדשה וייעוץ מנוסה ואמיתי. קודם כל? תיקון התוכנה שלך. היו גם ספקים רבים שחשבו לעבור סיסמאות, דבר שנקווה לקרות בקרוב. כמו כן, אני מקווה שכולכם תקראו את הקריאה לפני המופע של השנה הבאה.

אלה היו כמה מהסיפורים הגדולים שמומחי אבטחה מזמזמים עליהם, אבל הם לא היחידים. להלן עשרת הרעיונות הגדולים שלנו שקורים בביטחון ברגע זה.

1 10. דלתות אחוריות בהצפנה

הסוכנות לביטחון לאומי עמדה בראשם של כולם בכנס השנה, וזה היה סיפור האבטחה הגדול ביותר של השנה האחרונה. ואף כי ועידת RSA היא ישות מובחנת מזו של חברת RSA Security, הקשר לכאורה של מיליון דולר בין RSA ל- NSA היה נושא לדיון תכוף. יו"ר RSA, ארט קוביילו, ביטל את ההאשמות בנאום הראשי שלו, אך קרא לרפורמות בסוכנות הריגול. בניגוד גמור לשנה שעברה, הפחדים מסין התיישבו במושב האחורי לחששות שאולי ההצפנה לא תהיה בטוחה כמו שחשבנו.



2 9. Buzzwords להרוג מילים

ברגע שמילה מגיעה למצב buzzword היא מפסיקה להתייחס לכל דבר מועיל. למרבה הצער, היו הרבה דברים כאלה ב- RSAC, שם כולם השתמשו באותן מילים, אבל אף אחד לא הסכים על ההגדרה. כשמדובר במודיעין איומים, האם דיברנו על אינדיקטורים לפשרה, או שמא דיברנו על העשרת נתונים קיימים עם גורמים של צד שלישי? מה בדיוק המשמעות של "הבא-ג'ין" בכלל? בשלב זה עלינו להיות בגנרל הבא-הבא. כיצד כל כך הרבה מוצרים יכולים לבשר על מהפכת ביטחון? האם הענף בכלל יודע כבר מה הוא מבטיח?

תמונה באמצעות משתמש פליקר Soumyadeep Paul



3 8. כאשר מתקנים טוסטרים, מכוניות ומכונות קפה

האינטרנט של הדברים התגנב לכנס RSA השנה וכולם מודאגים מהסיכוי לאבטחו. הנסיגה העיקרית - באופן מדאיג למדי - היא שאנחנו עדיין לא מוכנים לאבטח את כל המכשירים שלנו, בין אם מדובר במכשירים ביתיים, מכשירים רפואיים או מכוניות. אף על פי כן, חלקם לא חששו בכך שאמרו כי פושעים לא עשויים לנסות לשלוט מרחוק או לקרוס מכונית מחוברת. סביר להניח שפושעים ילכו "במעלה הזרם" להתפשר על שרתים המשתמשים בדברים - כמו שרתי OnStar למכוניות - ומרוויחים מונטיזציה.

האינטרנט של הדברים ללא ספק יתמכר יותר ויותר ככל שיותר מכשירים יתחברו. בעקבות Heartbleed, החוקרים לא חששו רק משרתים אלא מכל המכשירים המחוברים.



4. הצפן הכל

התשובה של כולם כיצד לשפר את האבטחה - במיוחד אבטחה לנייד - הייתה קידוד, קידוד, קידוד. אפליקציות סלולריות מעבירות כמויות אדירות של מידע ברחבי האינטרנט, ומפתחים רבים בוחרים שלא להצפין עסקאות אלו, נותנים לתוקפים ולמדינות הלאום הרבה מה להסתכל עליהם. שוב פנה ל- NSA, Co3 CTO ברוס שנייר טען כי הסוכנות ככל הנראה שברה צורה כלשהי של הצפנה אך אינה יכולה לעבד כמויות אדירות של נתונים מוצפנים. הוא אמר שהכמות העצומה של מידע לא מוצפן שעף מסביב הופכת את זה לקל מדי מדי עבור כל מי שמחפש לאגור נתונים. עוד בפברואר, חששות מפני הצפנה התבססו על פגיעויות שנוצרו NSA ובעיות SSL של אפל. ההכרזה על Heartbleed היא תזכורת מפוכחת שאפילו הכלים הטובים ביותר שיש לנו עדיין אינם מושלמים.

תמונה באמצעות חשבון אנונימי של Flickr

• 5. אין כדורי כסף

  בילינו זמן רב בשיחות על מצגות ואנשים פרטיים ב- RSAC, אך אל לנו לשכוח שהאירוע הוא תערוכה וכי קומת התצוגה עמוסה בספקים העובדים לשכנע את הקונים שהמוצר שלהם הכי טוב שיש. למרבה ההפתעה, חברות אבטחה רבות עדיין דחפו את הרעיון של כדורי כסף - פיתרון לשרת יחיד לכל אחת מהבעיות האבטחה שלך. זה קצת מפתיע בהתחשב בעובדה שהשנה האחרונה הוכיחה שיש מספר רב של דרכים להתקפות, וכי הן יכולות להיות שונות בהתאם למי שעומד מאחוריהן ובעקבותיהן. סמנכ"ל בכיר של HP, ארט גילילנד, הציע לחברות להפסיק לחפש כלי נשק חדשים ולנקוט בגישה הוליסטית יותר בנושא הביטחון. הכי חשוב ברשימת השיפורים שלו? השקיעו באנשים ושיפרו את האימונים הביטחוניים



6 5. AV נייד לא עובד

בעוד שהוא חגג את קהילת האבטחה העובדת עם אנדרואיד ובתוך כך כדי לשפר אותה, המהנדס המוביל של גוגל לאבטחת אנדרואיד ראה השקפה עמומה של האבטחה הסלולרית עד כה. הוא אמר כי המטרה של גוגל הייתה לספק אבטחה שקטה, בלתי נראית, והציע כי חברות האבטחה עוסקות יותר בקשב והגברת המכירות. מנכ"ל פורנסיקס ומייסד משותף אנדרו הו גיגש גם דגמי אבטחה מסורתיים בנייד. הוא ציין כי ארגז חול של אפליקציות במערכות הפעלה סלולריות עושה עבודה טובה באבטחת אפליקציות אך זה גם מגביל את היכולת של אפליקציות אבטחה להתמודד עם איומים. הפיתרון שלו? תן למפתחי אבטחה גישה להרשאות שורש.

אני לא מסכים לחלוטין עם אחת מהעמדות, אבל איומים ניידים גוברים דורשים דרכים חדשות לאבטחת מכשירים. זה לא מספיק שמירה מפני אפליקציות זדוניות, ולמרות שחברות האבטחה של הכלים מוסיפות לאפליקציות הסלולריות שלהן מועילות, הן לא יספיקו לנצח.

תמונה באמצעות משתמש פליקר Tiago A. Pereira



7 4. אבטחה במושב הנהג

אנחנו מדברים הרבה על איך האבטחה צריכה להיות חלק מה- DNA של הארגון, וכיצד צוותי האבטחה לא יכולים רק להגיב למשברים או במצב כיבוי אש כל הזמן. נראה כי הקונצנזוס הכללי מקדים את האיומים, בין אם זה באמצעות שיטות אבטחה טובות יותר לסגור את דרכי ההתקפה או להשתלב עם צוותים אחרים כדי לוודא שמחשבי האבטחה נחשבים כבר מההתחלה.



3. אנו זקוקים ליותר אנשים בביטחון

אחד הדברים המשכנו לשמוע עליהם היה כיצד היה מחסור באנשי מקצוע בתחום האבטחה. חברות שבאופן מסורתי לא היו צריכות לחשוב על אבטחה - להגן על הנתונים שלהן או לוודא שהמוצרים שלהן מאובטחות - נאבקות כעת למצוא אנשי מקצוע בתחום האבטחה המנוסים. סוכנויות ממשלתיות מנסות למשוך את ההאקרים המבריקים ביותר למלא את שורותיהם. יש פער מיומנויות, בין השאר מכיוון שאין לנו מספיק אנשים המתמחים באבטחה, אלא גם בגלל שחברות לא מביאות גיוס עבודה טוב.

אנו זקוקים ליותר נשים בתחום הטכנולוגיה וביטחון המידע בפרט. ישיבות ב- RSAC התמקדו ביצירת מבני תמיכה כדי לעודד נשים המעוניינות באינפוסקים, אך גם כדי להדגיש כמה מההישגים שלהן.



9 2. אפליקציות דולפות גרועות יותר מתוכנה זדונית לנייד

ההגנה מפני תוכנות זדוניות ממשיכה להיות מוקד עבור חברות אבטחה סלולריות רבות, אך זה ללא ספק האיום היחיד. רבים מהמשתתפים בכנס RSAC הציעו כי אפליקציות דולפות - כלומר אפליקציות המעבירות את הנתונים האישיים של המשתמשים ללא הצפנה או בכמויות אדירות - מהוות איום גדול בהרבה על המשתמשים. לקוראי הסיקור של האיום הנייד שלנו, זה לא אמור להפתיע. השנה אנו מצפים לכלים חדשים כמו viaProtect שיעזרו לצרכנים לראות מה האפליקציות שלהם באמת עושים. עם זאת, צפייה במישהו קורע אפליקציית אנדרואיד בתוך חמש דקות מתפרקת, משנה ואורז מחדש אותה היא תזכורת לכך שתוכנות זדוניות עדיין מהוות בעיה.

תמונה באמצעות משתמש פליקר גרוטוק

• 10 1. המעקב לא נעלם

  מנהל ה- FBI הטבוע טריים ג'יימס קומי הבהיר שני דברים במצגתו מ- RSAC לשנת 2014: ה- FBI זקוק לשיתוף פעולה מעסקים כדי להילחם באיומי סייבר, אך המעקב האלקטרוני כאן כדי להישאר. ברמה אחת, כולנו יודעים זאת. איננו יכולים לצפות כי מרגלים ושוטרים ימשיכו להקיש על הטלפונים כאשר הרעים יתקשרו באמצעות אימיילים וכלים אחרים. כחברה, עלינו לקבל שתקשורת דיגיטלית היא יעד ואולי לגיטימי. באופן דומה, חברי הפאנל בשולחן העגול המרתק של מבקרי המודיעין האמריקניים הדגישו כי ה- NSA אינה "סוכנות סוררת" וכי כל מדינת לאום אחרת עוסקת במעקב אלקטרוני. הם גם אמרו כי ריגול ביתי צריך לאזן טוב יותר עם הפרטיות, וכי אסור לאנשים לאפשר לנבחרי הציבור להשתמש ב"סיפור הכיסוי "שלהם על הכחשות סביר למבצעי מודיעין.