וִידֵאוֹ: 10.ª Conferência do Banco de Portugal "Desenvolvimento económico português no espaço europeu" (נוֹבֶמבֶּר 2024)
בשבוע שעבר, צוות SecurityWatch כולו התפזר מוועידת RSA כדי לקבל עדכונים על חידושי אבטחה חדשים, הטכנולוגיה העדכנית ביותר ועל מה באמת מדברת קהילת האבטחה. מכיוון שרובכם הייתם מספיק שפויים כדי לא לבלות את השבוע בתערוכה, הנה עשרת הדברים שלנו שאתם צריכים לדעת על אבטחה ברגע זה.
10. RSA ו- NSA
הסוכנות לביטחון לאומי עמדה בראשם של כולם בכנס השנה, וזה היה סיפור האבטחה הגדול ביותר של השנה האחרונה. ואף כי ועידת RSA היא ישות מובחנת מזו של חברת RSA Security, הקשר לכאורה, המוערך בכדי מיליון דולר בין RSA ל- NSA, היה נושא תכוף לדיון. יו"ר RSA, ארט קוביילו, ביטל את ההאשמות בנאום הראשי שלו, אך קרא לרפורמות בסוכנות הריגול. בניגוד גמור לשנה שעברה, החששות מסין נכנסו למושב האחורי.
9. מילות Buzzwords להרוג מילים
ברגע שמילה מגיעה למצב buzzword היא מפסיקה להתייחס לכל דבר מועיל. למרבה הצער, היו הרבה דברים כאלה ב- RSAC, שם כולם השתמשו באותן מילים, אבל אף אחד לא הסכים על ההגדרה. כשמדובר במודיעין איומים, האם דיברנו על אינדיקטורים לפשרה, או שמא דיברנו על העשרת נתונים קיימים עם גורמים של צד שלישי? מה בדיוק המשמעות של "הבא-ג'ין" בכלל? בשלב זה עלינו להיות בגנרל הבא-הבא. כיצד כל כך הרבה מוצרים יכולים לבשר על מהפכת ביטחון? האם התעשייה בכלל יודעת מה היא מבטיחה?
8. כאשר טוסטרים, מכוניות ומכונות קפה מתקפות
האינטרנט של הדברים התגנב לכנס RSA השנה וכולם מודאגים מהסיכוי לאבטחו. הנסיגה העיקרית - באופן מדאיג למדי - היא שאנחנו עדיין לא מוכנים לאבטח את כל המכשירים שלנו, בין אם מדובר על מכשירים ביתיים, מכשירים רפואיים או מכוניות. אף על פי כן, חלקם לא חששו בכך שאמרו כי פושעים לא עשויים לנסות לשלוט מרחוק או לקרוס מכונית מחוברת. סביר להניח שפושעים ילכו "במעלה הזרם" כדי להתפשר על שרתים המשתמשים בדברים, כמו שרתי OnStar למכוניות, ומרוויחים מזה רווחים.
7. הצפן הכל
התשובה של כולם כיצד לשפר את האבטחה - במיוחד אבטחה לנייד - הייתה קידוד, קידוד, קידוד. אפליקציות סלולריות מעבירות כמויות אדירות של מידע ברחבי האינטרנט, ומפתחים רבים בוחרים שלא להצפין עסקאות אלו, נותנים לתוקפים ולמדינות הלאום הרבה מה להסתכל עליהם. שוב פנה ל- NSA, Co3 CTO ברוס שנייר טען כי הסוכנות ככל הנראה שברה צורה כלשהי של הצפנה אך אינה יכולה לעבד כמויות אדירות של נתונים מוצפנים. הוא אמר שהכמות העצומה של מידע לא מוצפן שעף מסביב הופכת את זה לקל מדי מדי עבור כל מי שמחפש לאגור נתונים.
6. אין כדורי כסף
בילינו זמן רב בשיחות על מצגות ואנשים פרטיים ב- RSAC, אך אל לנו לשכוח שהאירוע הוא תערוכה וכי קומת התצוגה עמוסה בספקים העובדים לשכנע את הקונים שהמוצר שלהם הכי טוב שיש. למרבה ההפתעה, חברות אבטחה רבות עדיין דחפו את הרעיון של כדורי כסף - פיתרון לשרת יחיד לכל אחת מהבעיות האבטחה שלך. זה קצת מפתיע בהתחשב בעובדה שהשנה האחרונה הוכיחה שיש מספר רב של דרכים להתקפות, וכי הן יכולות להיות שונות בהתאם למי שעומד מאחוריהן ובעקבותיהן. סמנכ"ל בכיר של HP, ארט גילילנד, הציע לחברות להפסיק לחפש כלי נשק חדשים ולנקוט בגישה הוליסטית יותר בנושא הביטחון. הכי חשוב ברשימת השיפורים שלו? השקיעו באנשים ושיפרו את האימונים הביטחוניים.
5. AV נייד לא עובד
בעוד שהוא חגג את קהילת האבטחה העובדת עם אנדרואיד ובתוך כך כדי לשפר אותה, המהנדס המוביל של גוגל לאבטחת אנדרואיד ראה השקפה עמומה של האבטחה הסלולרית עד כה. הוא אמר כי המטרה של גוגל הייתה לספק אבטחה שקטה, בלתי נראית, והציע כי חברות האבטחה עוסקות יותר בקשב והגברת המכירות. מנכ"ל פורנסיקס ומייסד משותף אנדרו הו גיגש גם דגמי אבטחה מסורתיים בנייד. הוא ציין כי ארגז חול של אפליקציות במערכות הפעלה סלולריות עושה עבודה טובה באבטחת אפליקציות אך זה גם מגביל את היכולת של אפליקציות אבטחה להתמודד עם איומים. הפיתרון שלו? תן למפתחי אבטחה גישה להרשאות שורש.
אני לא מסכים לחלוטין עם אחת מהעמדות, אבל איומים ניידים גוברים דורשים דרכים חדשות לאבטחת מכשירים. זה לא מספיק שמירה מפני אפליקציות זדוניות, ולמרות שחברות האבטחה של הכלים מוסיפות לאפליקציות שלהם לנייד הן מועילות, הן לא יספיקו לנצח.
4. אבטחה במושב הנהג
אנחנו מדברים הרבה על איך האבטחה צריכה להיות חלק מה- DNA של הארגון, וכיצד צוותי האבטחה לא יכולים רק להגיב למשברים או במצב כיבוי אש כל הזמן. נראה כי הקונצנזוס הכללי מקדים את האיומים, בין אם זה באמצעות שיטות אבטחה טובות יותר לסגור את דרכי ההתקפה או להשתלב עם צוותים אחרים כדי לוודא שמחשבי האבטחה נחשבים כבר מההתחלה.
3. אנו זקוקים לאנשים נוספים בביטחון
אחד הדברים המשכנו לשמוע עליהם היה כיצד היה מחסור באנשי מקצוע בתחום האבטחה. חברות שבאופן מסורתי לא היו צריכות לחשוב על אבטחה - להגן על הנתונים שלהן או לוודא שהמוצרים שלהן מאובטחות - נאבקות כעת למצוא אנשי מקצוע בתחום האבטחה המנוסים. סוכנויות ממשלתיות מנסות למשוך את ההאקרים המבריקים ביותר למלא את שורותיהם. יש פער מיומנויות, בין השאר מכיוון שאין לנו מספיק אנשים המתמחים באבטחה, אלא גם בגלל שחברות לא מביאות גיוס עבודה טוב.
אנו זקוקים ליותר נשים בתחום הטכנולוגיה וביטחון המידע בפרט. ישיבות ב- RSAC התמקדו ביצירת מבני תמיכה כדי לעודד נשים המעוניינות באינפוסקים, אך גם להבליט כמה מההישגים שלהן.
2. אפליקציות דולפות גרועות יותר מתוכנה זדונית לנייד
ההגנה מפני תוכנות זדוניות ממשיכה להיות מוקד עבור חברות אבטחה סלולריות רבות, אך זה ללא ספק האיום היחיד. רבים מהמשתתפים בכנס RSAC הציעו כי אפליקציות דולפות - כלומר אפליקציות המעבירות את הנתונים האישיים של המשתמשים ללא הצפנה או בכמויות אדירות - מהוות איום גדול בהרבה על המשתמשים. לקוראי הסיקור של האיום הנייד שלנו, זה לא אמור להפתיע. השנה אנו מצפים לכלים חדשים כמו viaProtect שיעזרו לצרכנים לראות מה האפליקציות שלהם באמת עושים. עם זאת, צפייה במישהו קורע אפליקציית אנדרואיד בתוך חמש דקות מתפרקת, משנה ואורז מחדש אותה היא תזכורת לכך שתוכנות זדוניות עדיין מהוות בעיה.
1. המעקב לא נעלם
מנהל ה- FBI הטבוע טריים ג'יימס קומי הבהיר שני דברים במצגתו מ- RSAC לשנת 2014: ה- FBI זקוק לשיתוף פעולה מעסקים כדי להילחם באיומי סייבר, אך המעקב האלקטרוני כאן כדי להישאר. ברמה אחת, כולנו יודעים זאת. איננו יכולים לצפות כי מרגלים ושוטרים ימשיכו להקיש על הטלפונים כאשר הרעים יתקשרו באמצעות אימיילים וכלים אחרים. כחברה, עלינו לקבל שתקשורת דיגיטלית היא יעד ואולי לגיטימי. באופן דומה, חברי הפאנל בשולחן העגול המרתק של מבקרי המודיעין האמריקניים הדגישו כי ה- NSA אינה "סוכנות סוררת" וכי כל מדינת לאום אחרת עוסקת במעקב אלקטרוני. הם גם אמרו כי ריגול ביתי צריך לאזן טוב יותר עם הפרטיות, וכי אסור לאנשים לאפשר לנבחרי הציבור להשתמש ב"סיפור הכיסוי "שלהם על הכחשות סביר למבצעי מודיעין.
תמונה באמצעות משתמש פליקר ניקו נוטריאר