デジタルセキュリティについて知っておくべき10のこと

先週、SecurityWatchチーム全体がRSA Conferenceを扇動して、新しいセキュリティの革新、最新のテクノロジー、およびセキュリティコミュニティが実際に話していることについて最新情報を入手しました。 ほとんどの人は、1週間を展示会に費やさないほど正気だったので、セキュリティについて今すぐ知っておくべき10のことを紹介します。

10. RSAとNSA

国家安全保障局は、今年の会議で皆の心にありました、そして、それは過去一年間の最大の安全物語でした。 また、RSA Conferenceは、RSA Security社とは別個の組織ですが、RSAとNSAの間の数百万ドルの接続の疑惑は頻繁に議論されていました。 RSAのArt Coviello議長は基調講演での申し立てを却下したが、スパイ機関内での改革を求めた。 昨年とはまったく対照的に、中国への不安が後をついた。

9.単語を殺す流行語

単語が流行語のステータスに達すると、有用な意味がなくなります。 悲しいことに、誰もが同じ言葉を使っていたRSACにそのような言葉がたくさんありましたが、誰もその定義に同意しませんでした。 脅威インテリジェンスに関しては、侵害の兆候について話していましたか、それとも既存のデータをサードパーティのソースで強化することについて話していましたか？ 「次世代」とはどういう意味ですか？ この時点で、next-next-genにいるはずです。 これほど多くの製品がセキュリティ革命の先駆けとなりますか？ 業界は、将来有望なことさえ知っていますか？

8.トースター、車、コーヒーマシンが攻撃するとき

モノのインターネットは今年RSA会議に忍び込み、誰もがそれらを保護する見通しを心配しています。 重要なポイントは、非常に悲惨なことに、家電製品、医療機器、自動車のいずれであっても、すべてのデバイスを保護する準備がまだ整っていないことです。 それでも、犯罪者はコネクテッドカーを遠隔操作したりクラッシュさせたりする可能性は低いと言って、一部の人はそれほど心配していませんでした。 車のOnStarサーバーなど、Thingsを使用するサーバーを侵害するために犯罪者が「上流」に移動し、それを収益化する可能性が高くなります。

7.すべてを暗号化する

セキュリティ、特にモバイルセキュリティを改善する方法に関する全員からの答えは、暗号化、暗号化、暗号化でした。 モバイルアプリはインターネット上で膨大な量の情報を移動させており、多くの開発者はこれらのトランザクションを暗号化しないことを選択しており、攻撃者や国家に十分な注意を払っています。 再びNSAに目を向けると、Co3 CTOのブルース・シュナイアーは、政府機関はおそらく何らかの暗号化を破ったが、大量の暗号化されたデータを処理できないと主張した。 彼は、大量の暗号化されていない情報が飛び回っているだけで、データを備蓄しようとする誰にとっても簡単すぎていると言いました。

6.銀の弾丸はありません

私たちはRSACでプレゼンテーションや個人について多くの時間を費やしましたが、イベントは展示会であり、展示フロアにはバイヤーに自社製品が最高であることを納得させるために働いているベンダーがたくさんいることを忘れてはなりません。 驚くべきことに、多くのセキュリティ企業は、いまだかつてないセキュリティ問題の単一サービスソリューションである特効薬のアイデアを推進しています。 過去1年間に攻撃の手段が数多く存在し、攻撃の背後にいる者と攻撃の内容によって異なる可能性があることを示していることを考えると、これは少し驚くべきことです。 HPの上級副社長Art Gillilandは、企業が新しい武器の検索を停止し、セキュリティに対するより包括的なアプローチを取ることを提案しました。 彼の改善リストで最も重要なのは？ 個人に投資し、セキュリティトレーニングを改善します。

5.モバイルAVが機能しない

Androidを改善するためにAndroidと連携してセキュリティコミュニティが機能していることを称えながら、GoogleのAndroid Securityのリードエンジニアは、これまでモバイルセキュリティの薄暗い見方をしていました。 彼は、Googleの目標は静かで目に見えないセキュリティを提供することであり、セキュリティ企業は注目を集めて売り上げを伸ばすことを重視していると述べました。 viaForensicsのCEO兼共同設立者のAndrew Hoogも、モバイルの従来のセキュリティモデルに問題を抱えていました。 彼は、モバイルオペレーティングシステムでのアプリのサンドボックス化は、アプリのセキュリティ保護に優れているが、セキュリティアプリが脅威に対処する能力も制限することを指摘しました。 彼の解決策は？ セキュリティ開発者にルート権限へのアクセスを許可します。

私はどちらの立場にも完全には同意しませんが、モバイルの脅威が高まるにつれて、デバイスを保護する新しい方法が必要になります。 悪意のあるアプリから保護するだけでは十分ではありません。セキュリティ企業がモバイルアプリに追加しているツールは便利ですが、永久に十分ではありません。

4.運転席のセキュリティ

セキュリティが組織のDNAの一部である必要があること、およびセキュリティチームが常に危機や消防モードに常に対応することができない方法について、多くのことを話します。 一般的なコンセンサスは、攻撃の道を閉めるためのより良いセキュリティ対策を講じるか、最初からセキュリティの懸念が考慮されていることを確認するために他のチームと統合することによって、脅威を先取りしているようです。

3. セキュリティにより多くの人々が必要

私たちが耳にしたことの1つは、セキュリティの専門家が不足していることでした。 従来、データの保護や製品の安全性の確保など、セキュリティについて考える必要がなかった企業は、経験豊富なセキュリティ専門家を見つけるのに苦労しています。 政府機関は、最も優秀なハッカーを惹きつけてランクを上げようとしています。 スキルのギャップがあります。これは、セキュリティに特化した人材が不足していることもありますが、企業が優れた求人を行っていないためです。

より多くの女性、特に情報セキュリティが必要です。 RSACのセッションは、infosecに興味のある女性を励ますためのサポート構造を作成することに焦点を当てただけでなく、彼らの成果のいくつかを強調しました。

2.リーキーアプリはモバイルマルウェアよりも悪い

マルウェアに対する防御は、多くのモバイルセキュリティ企業にとって引き続き焦点となっていますが、それだけが脅威ではありません。 RSAC会議の多くの参加者は、漏れやすいアプリ、つまり暗号化せずに、または大量にユーザーの個人データを送信するアプリは、ユーザーにとってはるかに大きな脅威であると示唆しました。 Mobile Threat Mondayの記事を読んだ読者にとって、これは驚くことではありません。 今年、消費者がアプリの実際の動作を確認できるように、viaProtectなどの新しいツールを楽しみにしています。 とはいえ、誰かが5分以内にAndroidアプリを引き裂き、修正し、再パッケージ化するのを見るのは、マルウェアが依然として問題であることを思い出させるものです。

1. 監視がなくなるわけではありません

新たに作成されたFBIディレクターのJames Comeyは、RSAC 2014のプレゼンテーションで2つのことを明らかにしました。FBIはサイバー脅威と戦うためにビジネスからの協力を必要としていますが、電子監視はここにあります。 1つのレベルで、私たちは皆これを知っています。 悪者が電子メールや他のツールと通信しているときに、スパイや警官が電話を盗み続けることは期待できません。 社会としては、デジタル通信が標的であり、おそらく正当なものであることを受け入れる必要があります。 同様に、米国intelligence報関係者の魅力的な円卓会議のパネリストは、NSAは「不正機関」ではなく、他のすべての国家が電子監視に従事していることを強調しました。 彼らはまた、国内スパイはプライバシーとのより良いバランスをとる必要があり、人々は選出された役人がintelligence報活動のためにもっともらしい否定の「カバーストーリー」を使用することを許可すべきでないと述べた。

FlickrユーザーNikoNotibär経由の画像