RSA：セキュリティのプロが失敗したとき

セキュリティのプロが台無しになったとき

サンフランシスコで開催されたRSAカンファレンスのフロアで、SecurityWatchチームは、セキュリティの最大手に、彼らが失敗した時代について尋ねてきました。 私たちはすべて人間であり、いくつかのセキュリティの基本についての良い復習であるということを心から覚えています。

忘れて許して（自分）

ホワイトハットの創立者兼最高技術責任者であるジェレマイア・グロスマンは、「自白」の瞬間に彼が台無しになった時間について尋ねられたとき、暗号化されたデータのすべてをほぼ失ったことを再考する前に、二度考える必要はありませんでした。 ハッキングではなく、government索する政府機関の仕事ではなく、単純な物忘れです。

グロスマンはすでにホワイトハットのブログで痛みを伴うエピソードを詳細に語っているが、それを再び語っている間にしかめっ面した。 セキュリティ志向の人間である彼は、データを保護するために極端になりました。 「私は攻撃の標的になっています」と彼は説明しました。そのため、彼はすべての情報を暗号化された仮想ドライブに保存しました。 「AES-256暗号」とグロスマンは言いました。 「NSAグレードのもの。」 問題は、ある日、パスワードを思い出せないことに気づいたことです。

これは単純なパスワードではありませんでした。 グロスマンは、非常に長いパスワードを思い付くことができ、それらを書き留める必要がないことを意味する精神的なシステムがあると言いました。 Grossmanは、一度だけそれらを最も必要としたときを除き、重要なパスワードを完全に思い出せないことを発見しました。 「私は、6人のキャラクターのように離れていることを知っていました」と彼は言いました。

最後に、グロスマンはジョン・ザ・リッパーの作成者の助けを借りました。クリッパーはパスワードを解読してデータを復元することができました。 確かに謙虚な経験であり、物理的なパスワードをバックアップしておくことがなぜ役立つのかを説明するものでした。

士気が改善するまで恥辱は続く

スペクトルのもう一方の端には、LookoutのシニアプロダクトマネージャーであるDerek Hallidayがいました。DerekHallidayは、安全なコンピューティングプラクティスを実施するための会社の独特な方法について語りました。 LookoutはAndroid用のモバイルセキュリティスイートを作成し、昨年PC Magazineのエディターの選択を得ました。 ただし、会社にはログイン中に従業員がコンピューターを放置するという独自のセキュリティ問題があったようです。

それはオフィス環境ではささいな懸念のように思えるかもしれませんが、だれでもやって来て機密情報を盗まれた可能性があることを意味します。 または、さらに悪いことに、何百万ものモバイルユーザーを保護するシステムにマルウェアを追加しました。

Lookoutが採用しているソリューションは、残忍であると同時にエレガントです。 従業員は、セキュリティで保護されていないコンピューターを見つけると、すぐに歩き、コンピューターから所有者への非難のメッセージとともに会社全体に放送される特別な内部リストに電子メールを送信できます。 これは、誰がどのように失敗したかを公に宣言し、犯罪者をオフィスの真のヘスター・プリンにします。

ハリデーは、個人的にこれに関与したかどうか、またはそれが機能するかどうかは言いませんでしたが、負の強化は非常に効果的であるという私の結論に同意しました。 ただし、これはセキュリティ手法の1つであり、PC Magがテストすることを決定しないことを望みます。

RSAからの投稿の最新情報を必ず入手してください！