Lar Securitywatch 10 coisas que você precisa saber sobre segurança digital

10 coisas que você precisa saber sobre segurança digital

Vídeo: 10 COISAS QUE VOCÊ PRECISA SABER SOBRE Rocket League (Novembro 2024)

Vídeo: 10 COISAS QUE VOCÊ PRECISA SABER SOBRE Rocket League (Novembro 2024)
Anonim

Na semana passada, toda a equipe do SecurityWatch se espalhou pela RSA Conference para conhecer as mais recentes inovações de segurança, a mais recente tecnologia e o que a comunidade de segurança está realmente falando. Como a maioria de vocês era sensata o suficiente para não passar a semana em uma feira comercial, aqui estão as dez coisas que você precisa saber sobre segurança no momento.

10. RSA e a NSA

A Agência de Segurança Nacional estava na cabeça de todos na conferência deste ano e foi a maior história de segurança do ano passado. E mesmo que a RSA Conference seja uma entidade distinta da empresa RSA Security, a suposta conexão de vários milhões de dólares entre a RSA e a NSA era um tópico frequente de discussão. O presidente da RSA, Art Coviello, descartou as alegações em seu discurso, mas pediu reformas na agência de espionagem. Em contraste com o ano passado, os temores sobre a China ficaram atrás.

9. Palavras-chave que matam palavras

Quando uma palavra atinge o status de palavra-chave, ela deixa de significar algo útil. Infelizmente, havia uma tonelada de palavras como essa no RSAC, onde todos estavam usando as mesmas palavras, mas ninguém concordou com a definição. Quando se trata de inteligência de ameaças, estávamos falando sobre indicadores de comprometimento ou sobre o enriquecimento de dados existentes com fontes de terceiros? O que exatamente "nova geração" significa mais? Neste ponto, devemos estar na próxima geração. Como tantos produtos podem anunciar uma revolução na segurança? A indústria sabe mesmo o que é mais promissor?

8. Quando torradeiras, carros e máquinas de café atacam

A Internet das Coisas entrou na Conferência da RSA este ano e todos estão preocupados com a perspectiva de protegê-las. O principal argumento - muito angustiante - é que ainda não estamos prontos para proteger todos os nossos dispositivos, quer estejamos falando de eletrodomésticos, dispositivos médicos ou carros. Mesmo assim, alguns não estavam preocupados, dizendo que os criminosos provavelmente não tentariam controlar remotamente ou bater em um carro conectado. Seria mais provável que os criminosos fossem "a montante" para comprometer servidores que usam as coisas, como os servidores OnStar para carros, e monetizar isso.

7. Criptografe tudo

A resposta de todos sobre como melhorar a segurança - principalmente a segurança móvel - foi criptografia, criptografia, criptografia. Os aplicativos móveis estão movendo enormes quantidades de informações pela Internet, e muitos desenvolvedores estão optando por não criptografar essas transações, dando a atacantes e estados nacionais muito o que olhar. Voltando novamente à NSA, Bruce Schneier, CTO do Co3, afirmou que a agência provavelmente quebrou alguma forma de criptografia, mas não pode processar grandes quantidades de dados criptografados. Ele disse que a enorme quantidade de informações não criptografadas que voam por aí está simplesmente facilitando demais para quem quer armazenar dados.

6. Não há balas de prata

Passamos muito tempo conversando sobre apresentações e indivíduos no RSAC, mas não devemos esquecer que o evento é uma feira comercial e que o salão da feira está cheio de fornecedores trabalhando para convencer os compradores de que seu produto é o melhor. Surpreendentemente, muitas empresas de segurança ainda estavam incentivando a idéia de marcadores de prata - uma solução de serviço único para todos e quaisquer problemas de segurança. Isso é um pouco surpreendente, uma vez que o ano passado demonstrou que existem vários caminhos para ataques e que eles podem diferir dependendo de quem está por trás deles e do que está procurando. O vice-presidente sênior da HP, Art Gilliland, sugeriu que as empresas parassem de procurar novas armas e adotassem uma abordagem mais holística à segurança. O mais importante em sua lista de melhorias? Invista em indivíduos e aprimore o treinamento em segurança.

5. O AV móvel não funciona

Enquanto ele comemorava a comunidade de segurança trabalhando com e dentro do Android para torná-lo melhor, o Engenheiro Líder do Google para Android Security teve uma visão sombria da segurança móvel até agora. Ele disse que o objetivo do Google era fornecer segurança silenciosa e invisível e sugeriu que as empresas de segurança estivessem mais voltadas para obter atenção e aumentar as vendas. O CEO e co-fundador da viaForensics, Andrew Hoog, também questionou os modelos de segurança tradicionais no celular. Ele ressaltou que o sandbox de aplicativos em sistemas operacionais móveis faz um bom trabalho de proteção de aplicativos, mas também limita a capacidade dos aplicativos de segurança de lidar com ameaças. A solução dele? Conceda aos desenvolvedores de segurança acesso aos privilégios de root.

Não concordo totalmente com nenhuma das posições, mas as crescentes ameaças móveis exigem novas formas de proteger dispositivos. Proteger-se contra aplicativos maliciosos não é suficiente e, embora as ferramentas que as empresas de segurança estão adicionando aos aplicativos móveis sejam úteis, elas não serão suficientes para sempre.

4. Segurança no banco do motorista

Falamos muito sobre como a segurança precisa fazer parte do DNA da organização e como as equipes de segurança não podem apenas reagir a crises ou no modo de combate a incêndios o tempo todo. O consenso geral parece estar se adiantando às ameaças, seja por ter melhores práticas de segurança para fechar avenidas de ataque ou por integrar-se a outras equipes para garantir que as preocupações com a segurança sejam consideradas desde o início.

3. Precisamos de mais pessoas em segurança

Uma das coisas que ouvíamos falar era sobre a escassez de profissionais de segurança. As empresas que tradicionalmente não precisavam pensar em segurança - protegendo seus dados ou certificando-se de que seus produtos eram seguros - agora estão lutando para encontrar profissionais experientes em segurança. As agências governamentais estão tentando atrair os hackers mais brilhantes para preencher suas fileiras. Existe uma lacuna de habilidades, em parte porque não temos pessoas suficientes especializadas em segurança, mas também porque as empresas não estão fazendo um bom trabalho de recrutamento.

Precisamos de mais mulheres em tecnologia e segurança da informação em particular. As sessões do RSAC se concentraram na criação de estruturas de apoio para incentivar as mulheres interessadas em informações, mas também para destacar algumas de suas realizações.

2. Aplicativos com vazamento são piores que o malware móvel

A defesa contra malware continua sendo o foco de muitas empresas de segurança móvel, mas essa não é de longe a única ameaça. Muitos participantes da conferência do RSAC sugeriram que aplicativos com vazamento - ou seja, aplicativos que transmitem os dados pessoais dos usuários sem criptografia ou em grandes quantidades - são uma ameaça muito maior para os usuários. Para os leitores da cobertura da Mobile Threat Monday, isso não deve surpreender. Este ano, esperamos novas ferramentas como o viaProtect para ajudar os consumidores a ver o que seus aplicativos realmente estão fazendo. Dito isto, assistir alguém separar, modificar e reembalar um aplicativo Android em cinco minutos é um lembrete de que o malware ainda é um problema.

1. A vigilância não está indo embora

O diretor do FBI recém-cunhado James Comey deixou duas coisas claras em sua apresentação no RSAC 2014: O FBI precisa de cooperação das empresas para combater ameaças cibernéticas, mas essa vigilância eletrônica chegou para ficar. Em um nível, todos nós sabemos disso. Não podemos esperar que espiões e policiais continuem usando telefones quando os bandidos se comunicam com e-mail e outras ferramentas. Como sociedade, precisamos aceitar que as comunicações digitais são um alvo, e talvez legítimo. Da mesma forma, os palestrantes de uma fascinante mesa redonda de especialistas em inteligência dos EUA enfatizaram que a NSA não é uma "agência desonesta" e que todos os outros países estão envolvidos em vigilância eletrônica. Eles também disseram que a espionagem doméstica precisa encontrar um melhor equilíbrio com a privacidade, e que as pessoas não devem permitir que funcionários eleitos usem sua "história de capa" de negação plausível para operações de inteligência.

Imagem via usuário do Flickr Niko Notibär

10 coisas que você precisa saber sobre segurança digital