10 Grote ideeën in digitale beveiliging

Nog niet zo lang geleden betekende beveiligingsnieuws dat obscure kwetsbaarheden en virussen zich over desktopcomputers verspreidden. Maar nu maken mensen overal zich zorgen over het rondneuzen van overheidsinstanties, Heartbleed die hun persoonlijke gegevens op het web loslaat en toenemende mobiele bedreigingen. Heck, de dekking van de lekken van Edward Snowden over de binnenlandse spionage-inspanningen van de Nationale Veiligheidsdienst leverde dit jaar Pulitzer-prijzen op. Naarmate ons leven meer gericht wordt op digitale apparaten en internet, maken meer mensen zich zorgen over de veiligheid, en terecht. De vraag is, wat zijn de echte problemen - en wat is gewoon de smaak van de maand van de reguliere media?

Voor een goed overzicht van wat er echt toe doet, keert u terug naar afgelopen februari, toen duizenden aanwezigen naar San Francisco kwamen voor de RSA-conferentie. Onder hen waren de makers van beveiligingsproducten en de onderzoekers die enkele van de grootste beveiligingsverhalen hebben gebroken. Het is een van de grootste bijeenkomsten in zijn soort en de ideeën van RSAC zullen de rest van het jaar een enorme impact hebben op digitale beveiliging.

Snowden en beveiliging

Vroeger maakten mensen grapjes dat de Amerikaanse regering luisterde naar alles wat iedereen zei, maar niemand lacht er echt meer om. De vermeende deal tussen het National Security Agency en RSA Security heeft de conferentie, die niet langer rechtstreeks verbonden is met het RSA-bedrijf, op de proef gesteld.

Verrassend genoeg besloot de NSA dit jaar opnieuw aanwezig te zijn op de beursvloer. Zelfs als ze dat niet hadden gedaan, was het moeilijk om de NSA te vermijden. Sommige verkopers deelden onderzetters uit met het logo van het bureau erop, terwijl andere mensen begonnen met het schrijven van snide-opmerkingen op openbare whiteboards. De ene verkoper had blijkbaar bezwaar tegen het feit dat hij zich in de buurt van de stand van de NSA bevond, terwijl een andere van de gelegenheid gebruik maakte om video's over Snowden te maken.

Sommige sprekers trokken hun presentaties uit protest en organiseerden een concurrerend eendaags evenement genaamd Trustycon. Dit was bedoeld om het bewustzijn van privacykwesties te vergroten, hoewel sommige mensen het anders zagen.

China Wie?

Vorig jaar was de boeman onder ieders bed China. De angst onder insiders in de industrie was door de staat gesponsorde of eenzame aanvallers uit China die intellectueel eigendom stelen en het ofwel verkopen of aan Chinese concurrenten geven. Er was ook de dreiging van cyberwar tussen naties, des te reëler door voortdurende rapporten van geavanceerde Advanced Persistent Threats.

Snel vooruit naar dit jaar en zorgen zijn milder. Sprekers noemden 'diefstal van intellectueel eigendom', maar zagen de noodzaak niet in om te zeggen wie er achter zou zitten. Toen vorig jaar "natiestaataanvallen" werden genoemd, betekende dit vrijwel zeker "China", maar dit jaar had het gemakkelijk "de Verenigde Staten van Amerika" kunnen betekenen.

Tien dingen

Buiten deze grote verhalen waren er enkele veelbelovende ontwikkelingen, nieuwe technologie en beproefd advies bij RSA. Eerst en vooral? Patch uw software. Er waren ook veel leveranciers die graag voorbij wachtwoorden wilden gaan, wat hopelijk snel zal gebeuren. Ik hoop ook dat jullie allemaal de lezing doen voor de show van volgend jaar.

Dit waren enkele van de grote verhalen waar beveiligingsexperts zoemen, maar ze zijn niet de enige. Hier zijn onze top tien grote ideeën die momenteel op het gebied van beveiliging plaatsvinden.

1 10. Achterdeuren in codering

Het National Security Agency was dit jaar bij iedereen in gedachten en het was het grootste beveiligingsverhaal van het afgelopen jaar. En hoewel de RSA Conference een andere entiteit is dan het bedrijf RSA Security, was de vermeende multi-miljoen dollar verbinding tussen RSA en de NSA een veel voorkomend onderwerp van discussie. RSA-voorzitter Art Coviello verwierp de aantijgingen in zijn keynote-toespraak, maar riep op tot hervormingen binnen het spionagebureau. In schril contrast met vorig jaar namen de angsten voor China een achterstand in vanwege bezorgdheid dat codering misschien niet zo veilig is als we dachten.



2 9. Buzzwords Woorden doden

Zodra een woord de modewoordstatus bereikt, houdt het op iets nuttigs te betekenen. Helaas waren er zoveel woorden bij RSAC, waar iedereen dezelfde woorden gebruikte, maar niemand was het eens over de definitie. Hadden we het over dreigingsinformatie, of hadden we het over het verrijken van bestaande gegevens met externe bronnen? Wat betekent "next-gen" precies nog meer? Op dit punt zouden we bij de next-next-gen moeten zijn. Hoe kunnen zoveel producten een beveiligingsrevolutie inluiden? Weet de industrie zelfs meer wat het belooft?

Afbeelding via Flickr-gebruiker Soumyadeep Paul



3 8. Wanneer een broodrooster, een auto of een koffiezetapparaat valt

Het internet der dingen is dit jaar de RSA-conferentie binnengeslopen en iedereen maakt zich zorgen over het vooruitzicht om ze te beveiligen. Het belangrijkste is - heel verontrustend - dat we nog niet klaar zijn om al onze apparaten te beveiligen, of het nu huishoudelijke apparaten, medische apparaten of auto's zijn. Toch waren sommigen niet zo bezorgd, en zeiden dat criminelen waarschijnlijk niet op afstand probeerden een verbonden auto te besturen of te laten crashen. Het is waarschijnlijker dat criminelen "stroomopwaarts" gaan om servers in gevaar te brengen die de dingen gebruiken - zoals OnStar-servers voor auto's - en daar geld mee verdienen.

Het internet der dingen zal ongetwijfeld steeds meer opduiken naarmate meer apparaten worden verbonden. Na Heartbleed waren onderzoekers niet alleen bezorgd over servers, maar over alle aangesloten apparaten.



4 7. Alles coderen

Het antwoord van iedereen op het verbeteren van de beveiliging - met name de mobiele beveiliging - was codering, codering, codering. Mobiele apps verplaatsen enorme hoeveelheden informatie over het internet, en veel ontwikkelaars kiezen ervoor om deze transacties niet te coderen, waardoor aanvallers en natiestaten genoeg te zien hebben. Wederom zich wendend tot de NSA, stelde Co3 CTO Bruce Schneier dat het bureau waarschijnlijk een vorm van codering heeft verbroken, maar geen enorme hoeveelheden gecodeerde gegevens kan verwerken. Hij zei dat de enorme hoeveelheid niet-gecodeerde informatie die rondvliegt, het eenvoudig maakt voor iedereen die gegevens wil opslaan. In februari waren de zorgen over codering gebaseerd op door NSA gecreëerde kwetsbaarheden en Apple's SSL-problemen. De aankondiging van Heartbleed is een ontnuchterende herinnering dat zelfs de beste tools die we hebben nog steeds niet perfect zijn.

Afbeelding via Flickr-gebruiker Anoniem account

• 5 6. Er zijn geen Silver Bullets

  We hebben veel tijd besteed aan het praten over presentaties en individuen op RSAC, maar we moeten niet vergeten dat het evenement een beurs is en dat de beursvloer vol zit met verkopers die kopers proberen te overtuigen dat hun product de beste is in de buurt. Verrassend genoeg drongen veel beveiligingsbedrijven nog steeds op het idee van zilveren kogels - een oplossing met één portie voor al uw beveiligingsproblemen. Dit is een beetje verrassend, gezien het feit dat het afgelopen jaar heeft aangetoond dat er talloze mogelijkheden zijn voor aanvallen en dat deze kunnen verschillen, afhankelijk van wie er achter zit en waar ze achteraan zitten. Senior Vice President Art Gilliland van HP suggereerde dat bedrijven stoppen met zoeken naar nieuwe wapens en een meer holistische benadering van beveiliging hanteren. Het belangrijkste op zijn lijst met verbeteringen? Investeer in individuen en verbeter beveiligingstrainingen.



6 5. Mobile AV werkt niet

Terwijl hij de beveiligingsgemeenschap vierde die met en binnen Android werkte om het beter te maken, zag Google's hoofdingenieur voor Android-beveiliging tot nu toe een zwak beeld van mobiele beveiliging. Hij zei dat het doel van Google was om stille, onzichtbare beveiliging te bieden en suggereerde dat beveiligingsbedrijven meer aandacht wilden trekken en de verkoop wilden stimuleren. viaForensics CEO en mede-oprichter Andrew Hoog ging ook in op traditionele beveiligingsmodellen op mobiel. Hij wees erop dat sandboxing van apps in mobiele besturingssystemen goed werkt bij het beveiligen van apps, maar het beperkt ook het vermogen van beveiligingsapps om met bedreigingen om te gaan. Zijn oplossing? Geef beveiligingsontwikkelaars toegang tot rootrechten.

Ik ben het niet volledig eens met beide posities, maar toenemende mobiele bedreigingen vragen om nieuwe manieren om apparaten te beveiligen. Bewaken tegen kwaadaardige apps is niet genoeg, en hoewel de tools die beveiligingsbedrijven toevoegen aan hun mobiele apps nuttig zijn, zullen ze niet voor altijd genoeg zijn.

Afbeelding via Flickr-gebruiker Tiago A. Pereira



7 4. Beveiliging in de bestuurdersstoel

We praten veel over hoe beveiliging deel moet uitmaken van het DNA van de organisatie en hoe beveiligingsteams niet alleen kunnen reageren op crises of in de brandweermodus. De algemene consensus lijkt de bedreigingen voor te blijven, of het nu is door betere beveiligingsmethoden te hebben om aanvalswegen af ​​te sluiten of door te integreren met andere teams om ervoor te zorgen dat beveiligingsproblemen vanaf het begin worden overwogen.



8 3. We hebben meer mensen nodig in beveiliging

Een van de dingen waar we steeds over hoorden, was dat er een tekort was aan beveiligingsprofessionals. Bedrijven die traditioneel niet aan veiligheid hoefden te denken - hun gegevens beschermen of ervoor zorgen dat hun producten veilig waren - hebben nu moeite om ervaren beveiligingsprofessionals te vinden. Overheidsinstanties proberen de slimste hackers aan te trekken om hun gelederen te vullen. Er is een vaardigheidskloof, deels omdat we niet genoeg mensen hebben die gespecialiseerd zijn in beveiliging, maar ook omdat bedrijven niet goed werk werven.

We hebben meer vrouwen nodig in technologie, en met name informatiebeveiliging. Sessies bij RSAC waren gericht op het creëren van ondersteunende structuren om vrouwen die geïnteresseerd zijn in infosec aan te moedigen, maar ook om enkele van hun prestaties te benadrukken.



9 2. Lekke apps zijn erger dan mobiele malware

Verdediging tegen malware blijft een aandachtspunt voor veel mobiele beveiligingsbedrijven, maar dat is lang niet de enige bedreiging. Veel aanwezigen op de RSAC-conferentie stelden voor dat lekkende apps - dat wil zeggen apps die persoonlijke gegevens van gebruikers verzenden zonder codering of in grote hoeveelheden - een veel grotere bedreiging voor gebruikers vormen. Voor lezers van onze dekking op Mobile Threat Monday zou dit geen verrassing moeten zijn. Dit jaar kijken we uit naar nieuwe tools zoals viaProtect om consumenten te helpen zien wat hun apps echt doen. Dat gezegd hebbende, het bekijken van iemand die een Android-app in vijf minuten uit elkaar scheurt, aanpast en opnieuw verpakt, is een herinnering dat malware nog steeds een probleem is.

Afbeelding via Flickr-gebruiker Grotuk

• 10 1. Surveillance gaat niet weg

  Vers geslagen FBI-directeur James Comey maakte twee dingen duidelijk in zijn RSAC 2014-presentatie: de FBI heeft samenwerking van het bedrijfsleven nodig om cyberdreigingen te bestrijden, maar dat elektronische toezicht is er om te blijven. Op één niveau weten we dit allemaal. We kunnen niet verwachten dat spionnen en agenten op telefoons blijven tikken wanneer de slechteriken communiceren met e-mail en andere hulpmiddelen. Als samenleving moeten we accepteren dat digitale communicatie een doelwit is en misschien een legitiem doelwit. Evenzo benadrukten de panelleden in een fascinerende rondetafel van Amerikaanse geheime insiders dat de NSA geen "schurkenstatenbureau" is en dat elke andere natiestaat bezig is met elektronisch toezicht. Ze zeiden ook dat binnenlandse spionage een beter evenwicht moet vinden met privacy, en dat mensen niet moeten toestaan ​​dat gekozen ambtenaren hun "cover story" van plausibele ontkenning gebruiken voor inlichtingenoperaties.