Video: Top 4 dingen die je niet wist over de Koninklijke Marechaussee (November 2024)
Vorige week waaierde het hele SecurityWatch-team uit tijdens de RSA-conferentie om het laatste nieuws te ontvangen over nieuwe beveiligingsinnovaties, de nieuwste technologie en waar de beveiligingsgemeenschap het echt over heeft. Aangezien de meesten van jullie gezond genoeg waren om de week niet op een beurs door te brengen, zijn hier onze tien dingen die je nu moet weten over beveiliging.
10. RSA en de NSA
Het National Security Agency was dit jaar bij iedereen in gedachten en het was het grootste beveiligingsverhaal van het afgelopen jaar. En hoewel de RSA Conference een andere entiteit is dan het bedrijf RSA Security, was de vermeende multi-miljoen dollar verbinding tussen RSA en de NSA een veel voorkomend onderwerp van discussie. RSA-voorzitter Art Coviello verwierp de aantijgingen in zijn keynote-toespraak, maar riep op tot hervormingen binnen het spionagebureau. In schril contrast met vorig jaar nam de angst voor China een achterbank in.
9. Buzzwords doden woorden
Zodra een woord de modewoordstatus bereikt, houdt het op iets nuttigs te betekenen. Helaas waren er zoveel woorden bij RSAC, waar iedereen dezelfde woorden gebruikte, maar niemand was het eens over de definitie. Hadden we het over dreigingsinformatie, of hadden we het over het verrijken van bestaande gegevens met externe bronnen? Wat betekent "next-gen" precies nog meer? Op dit punt zouden we bij de next-next-gen moeten zijn. Hoe kunnen zoveel producten een beveiligingsrevolutie inluiden? Weet de industrie zelfs meer wat het belooft?
8. Wanneer broodroosters, auto's en koffiemachines aanvallen
Het internet der dingen is dit jaar de RSA-conferentie binnengeslopen en iedereen maakt zich zorgen over het vooruitzicht om ze te beveiligen. De belangrijkste afhaalmogelijkheid - nogal verontrustend - is dat we nog niet klaar zijn om al onze apparaten te beveiligen, of we het nu hebben over huishoudelijke apparaten, medische apparaten of auto's. Toch waren sommigen niet zo bezorgd, en zeiden dat criminelen waarschijnlijk niet op afstand probeerden een verbonden auto te besturen of te laten crashen. Het is waarschijnlijker dat criminelen "stroomopwaarts" gaan om servers die de Things gebruiken, zoals OnStar-servers voor auto's, in gevaar te brengen en daar geld mee te verdienen.
7. Versleutel alles
Het antwoord van iedereen op het verbeteren van de beveiliging - met name de mobiele beveiliging - was codering, codering, codering. Mobiele apps verplaatsen enorme hoeveelheden informatie over het internet, en veel ontwikkelaars kiezen ervoor om deze transacties niet te coderen, waardoor aanvallers en natiestaten genoeg te zien hebben. Wederom zich wendend tot de NSA, stelde Co3 CTO Bruce Schneier dat het bureau waarschijnlijk een vorm van codering heeft verbroken, maar geen enorme hoeveelheden gecodeerde gegevens kan verwerken. Hij zei dat de enorme hoeveelheid niet-gecodeerde informatie die rondvliegt, het eenvoudig maakt voor iedereen die gegevens wil opslaan.
6. Er zijn geen zilveren kogels
We hebben veel tijd besteed aan het praten over presentaties en individuen op RSAC, maar we moeten niet vergeten dat het evenement een beurs is en dat de beursvloer vol zit met verkopers die kopers proberen te overtuigen dat hun product de beste is in de buurt. Verrassend genoeg drongen veel beveiligingsbedrijven nog steeds op het idee van zilveren kogels - een oplossing met één portie voor al uw beveiligingsproblemen. Dit is een beetje verrassend, gezien het feit dat het afgelopen jaar heeft aangetoond dat er talloze mogelijkheden zijn voor aanvallen en dat deze kunnen verschillen, afhankelijk van wie er achter zit en waar ze achteraan zitten. Senior Vice President Art Gilliland van HP suggereerde dat bedrijven stoppen met zoeken naar nieuwe wapens en een meer holistische benadering van beveiliging hanteren. Het belangrijkste op zijn lijst met verbeteringen? Investeer in individuen en verbeter beveiligingstrainingen.
5. Mobile AV werkt niet
Terwijl hij de beveiligingsgemeenschap vierde die met en binnen Android werkte om het beter te maken, zag Google's hoofdingenieur voor Android-beveiliging tot nu toe een zwak beeld van mobiele beveiliging. Hij zei dat het doel van Google was om stille, onzichtbare beveiliging te bieden en suggereerde dat beveiligingsbedrijven meer aandacht wilden trekken en de verkoop wilden stimuleren. viaForensics CEO en mede-oprichter Andrew Hoog ging ook in op traditionele beveiligingsmodellen op mobiel. Hij wees erop dat sandboxing van apps in mobiele besturingssystemen goed werkt bij het beveiligen van apps, maar het beperkt ook het vermogen van beveiligingsapps om met bedreigingen om te gaan. Zijn oplossing? Geef beveiligingsontwikkelaars toegang tot rootrechten.
Ik ben het niet volledig eens met beide posities, maar toenemende mobiele bedreigingen vragen om nieuwe manieren om apparaten te beveiligen. Bewaken tegen kwaadaardige apps is niet genoeg, en hoewel de tools die beveiligingsbedrijven toevoegen aan hun mobiele apps nuttig zijn, zullen ze niet voor altijd genoeg zijn.
4. Beveiliging in de bestuurdersstoel
We praten veel over hoe beveiliging deel moet uitmaken van het DNA van de organisatie en hoe beveiligingsteams niet alleen kunnen reageren op crises of in de brandweermodus. De algemene consensus lijkt de bedreigingen voor te blijven, of het nu is door betere beveiligingsmethoden te hebben om aanvalswegen af te sluiten of door te integreren met andere teams om ervoor te zorgen dat beveiligingsproblemen vanaf het begin worden overwogen.
3. We hebben meer mensen nodig in beveiliging
Een van de dingen waar we steeds over hoorden, was dat er een tekort was aan beveiligingsprofessionals. Bedrijven die traditioneel niet aan veiligheid hoefden te denken - hun gegevens beschermen of ervoor zorgen dat hun producten veilig waren - hebben nu moeite om ervaren beveiligingsprofessionals te vinden. Overheidsinstanties proberen de slimste hackers aan te trekken om hun gelederen te vullen. Er is een vaardigheidskloof, deels omdat we niet genoeg mensen hebben die gespecialiseerd zijn in beveiliging, maar ook omdat bedrijven niet goed werk werven.
We hebben meer vrouwen nodig in technologie, en met name informatiebeveiliging. Sessies bij RSAC waren gericht op het creëren van ondersteunende structuren om vrouwen die geïnteresseerd zijn in infosec aan te moedigen, maar ook om enkele van hun prestaties te benadrukken.
2. Lekke apps zijn erger dan mobiele malware
Verdediging tegen malware blijft een aandachtspunt voor veel mobiele beveiligingsbedrijven, maar dat is lang niet de enige bedreiging. Veel aanwezigen op de RSAC-conferentie suggereerden dat lekkende apps - dat wil zeggen apps die persoonlijke gegevens van gebruikers verzenden zonder codering of in grote hoeveelheden - een veel grotere bedreiging voor gebruikers vormen. Voor lezers van onze dekking op Mobile Threat Monday zou dit geen verrassing moeten zijn. Dit jaar kijken we uit naar nieuwe tools zoals viaProtect om consumenten te helpen zien wat hun apps echt doen. Dat gezegd hebbende, het bekijken van iemand die een Android-app in vijf minuten uit elkaar scheurt, aanpast en opnieuw verpakt, is een herinnering dat malware nog steeds een probleem is.
1. Surveillance gaat niet weg
Vers geslagen FBI-directeur James Comey maakte twee dingen duidelijk in zijn RSAC 2014-presentatie: de FBI heeft samenwerking van het bedrijfsleven nodig om cyberdreigingen te bestrijden, maar dat elektronische toezicht is er om te blijven. Op één niveau weten we dit allemaal. We kunnen niet verwachten dat spionnen en agenten op telefoons blijven tikken wanneer de slechteriken communiceren met e-mail en andere hulpmiddelen. Als samenleving moeten we accepteren dat digitale communicatie een doelwit is en misschien een legitiem doelwit. Evenzo benadrukten de panelleden in een fascinerende rondetafel van Amerikaanse geheime insiders dat de NSA geen "schurkenstatenbureau" is en dat elke andere natiestaat bezig is met elektronisch toezicht. Ze zeiden ook dat binnenlandse spionage een beter evenwicht moet vinden met privacy, en dat mensen gekozen ambtenaren niet moeten toestaan om hun "cover story" van plausibele ontkenning te gebruiken voor inlichtingenoperaties.
Afbeelding via Flickr-gebruiker Niko Notibär
