Vídeo: AULA # 9 - CONTINGÊNCIA (Outubro 2024)
A Conferência RSA aumenta a cada ano, com mais empresas para se reunir, mais demonstrações de tecnologia para assistir e sessões mais perspicazes para participar. Mas uma das principais razões pelas quais viajo pelo país a cada ano é por causa das conversas fora dos limites formais da conferência. A declaração descartável feita durante o café da manhã, a curta conversa no corredor sobre algo que alguém viu ou ouviu, ou o debate animado em um dos muitos eventos sociais durante a semana.
Aqui está um rápido instantâneo da aparência do meu notebook no final do dia de segunda-feira, 24 de fevereiro.
Ocupado ocupado ocupado
A conferência não começa oficialmente até a palestra de abertura de Art Coviello na terça-feira, mas muitas pessoas estão conversando e pensando em segurança no Moscone Center, em São Francisco. De fato, existem 400 fornecedores patrocinando ou exibindo na feira, mais de 500 palestrantes e cerca de 25.000 participantes. Não tenho idéia de onde mais existe algo e preciso reaprender a geografia do RSAC novamente. Talvez haja algo a ser dito para shows menores, regionais e mais íntimos.
Codificação de Segurança
O Open Web Application Security Project (OWASP) realizou uma sessão de treinamento gratuita sobre práticas de codificação segura no Jillian's (um bar perto de Moscone) que qualquer participante do RSAC poderia participar. A sessão estava repleta de informações gerais sobre o tipo de ameaças da Web que os desenvolvedores precisam se defender. Melhor ainda, os líderes do capítulo Jim Manico e Eoin Keary ofereceram dicas de codificação muito práticas para várias linguagens e estruturas importantes, incluindo Ruby, Java, Cold Fusion e Perl. Eu me pergunto se os barmen estavam realmente prestando atenção à sessão ou se estavam apenas focados em manter as bebidas fluindo.
Os scanners automatizados podem ajudar a encontrar vulnerabilidades no código. Isso é ótimo, certo? Não necessariamente, pois os scanners automatizados não podem levar em consideração o contexto comercial ou sempre lidar com casos de uso especializados. Com uma revisão de código, você tem outra pessoa que passa pela lógica do programa e aplica casos de uso de negócios. Isso lembra a recente vulnerabilidade SSL da Apple no iOS e no Mac OS X. O bug do gotofail foi um erro, mas uma revisão de código pode ter detectado antes de se tornar um problema em potencial para os usuários.
Na sessão da OWASP: "Os robôs detectam incógnitas conhecidas. Os seres humanos detectam incógnitas desconhecidas".
Melhores Filmes Hacker
Depois que Rick Howard, CSO da Palo Alto Networks, e eu conversamos sobre livros que os profissionais de segurança da informação deviam ler, desviámo-nos do cinema. Howard discute esse tópico na quinta-feira.
Então, qual é o melhor filme de segurança da informação de todos os tempos?
Qual filme é o principal tem muito a ver com a geração com a qual a pessoa mais se identifica, disse Howard. O filme principal, para ele, foi Jogos de Guerra . A próxima geração de profissionais da infosec provavelmente alegaria que os hackers eram os melhores. E aqueles ainda mais jovens teriam mais chances de nomear um filme de Matrix . Por estar firmemente no campo dos hackers , embora eu goste de jogos de guerra , The Matrix parece um pouco fora do lugar.
Do Twitter
Um dos painéis que eu perdi foi o moderado por Javvad Malik, analista sênior da 451 Research, sobre o fechamento da lacuna de habilidades de segurança cibernética. O Twitter tem a seguinte jóia do painel: Jane Lute, presidente e CEO do Council on Cybersecurity, dizendo: "Estamos escrevendo descrições de cargos que não são realistas".
Os recrutadores freqüentemente reclamam da falta de habilidades, pois não conseguem encontrar candidatos que atendam às exigências do trabalho. Mas o problema não é realmente a falta de candidatos qualificados, mas os recrutadores estão pedindo habilidades como 15 anos de experiência na proteção do Windows 7.
A questão ardente
Art Coviello abordará o contrato secreto de US $ 10 milhões que a RSA Security supostamente tinha com a Agência de Segurança Nacional na palestra de abertura na terça-feira?
