Video: # 99 Controllo sicurezza account Google | Daniele Castelletti | Maggiolina informatica (Settembre 2024)
La scorsa settimana, l'intero team SecurityWatch ha analizzato la conferenza RSA per ottenere le ultime novità sulle innovazioni in materia di sicurezza, le ultime tecnologie e ciò di cui la comunità della sicurezza sta veramente parlando. Dato che molti di voi erano abbastanza sani da non passare la settimana a una fiera, ecco le nostre dieci cose che dovete sapere sulla sicurezza in questo momento.
10. RSA e NSA
La National Security Agency era nella mente di tutti alla conferenza di quest'anno ed è stata la più grande storia di sicurezza dell'anno scorso. E anche se la Conferenza RSA è un'entità distinta dalla società RSA Security, la presunta connessione da molti milioni di dollari tra RSA e l'NSA è stata un argomento di discussione frequente. Il presidente della RSA Art Coviello ha respinto le accuse nel suo discorso di apertura, ma ha chiesto riforme all'interno dell'agenzia di spionaggio. In netto contrasto con lo scorso anno, i timori per la Cina hanno preso posto in secondo piano.
9. Parole d'ordine Uccisione di parole
Quando una parola raggiunge lo stato di parola d'ordine, cessa di significare qualcosa di utile. Purtroppo, all'RSAC c'erano un sacco di parole come quelle in cui tutti usavano le stesse parole, ma nessuno era d'accordo sulla definizione. Quando si tratta di intelligence sulle minacce, stiamo parlando di indicatori di compromesso o stiamo parlando di arricchire i dati esistenti con fonti di terze parti? Cosa significa esattamente "next-gen"? A questo punto, dovremmo essere alla prossima generazione. Come possono tanti prodotti annunciare una rivoluzione della sicurezza? L'industria sa ancora cosa promette di più?
8. Quando attaccano tostapane, automobili e macchine da caffè
L'Internet of Things è entrato nella Conferenza della RSA quest'anno e tutti sono preoccupati per la prospettiva di proteggerli. La chiave da asporto - abbastanza angosciante - è che non siamo ancora pronti a proteggere tutti i nostri dispositivi, sia che si tratti di elettrodomestici, dispositivi medici o automobili. Anche così, alcuni non erano affatto preoccupati, dicendo che i criminali non erano in grado di provare a controllare in remoto o schiantare un'auto connessa. Sarebbe più probabile che i criminali andrebbero "a monte" per compromettere i server che usano le cose, come i server OnStar per le auto, e monetizzarlo.
7. Crittografa tutto
La risposta di tutti su come migliorare la sicurezza, in particolare la sicurezza mobile, è stata la crittografia, la crittografia, la crittografia. Le app mobili stanno spostando enormi quantità di informazioni su Internet e molti sviluppatori scelgono di non crittografare tali transazioni, offrendo agli aggressori e agli stati nazionali molto da guardare. Sempre rivolgendosi all'NSA, il CTO di Co3 Bruce Schneier ha ipotizzato che l'agenzia abbia probabilmente rotto una qualche forma di crittografia ma non sia in grado di elaborare enormi quantità di dati crittografati. Ha detto che la mera quantità di informazioni non crittografate che volano in giro sta semplicemente rendendo troppo facile per chiunque cerchi di archiviare dati.
6. Non ci sono proiettili d'argento
Abbiamo trascorso molto tempo a parlare di presentazioni e persone alla RSAC, ma non dovremmo dimenticare che l'evento è una fiera e che la sala espositiva è piena di venditori che lavorano per convincere gli acquirenti che il loro prodotto è il migliore in circolazione. Sorprendentemente, molte compagnie di sicurezza stavano ancora spingendo l'idea di proiettili d'argento, una soluzione a servizio singolo per tutti i tuoi problemi di sicurezza. Questo è un po 'sorprendente dato che l'anno passato ha dimostrato che ci sono numerose strade per gli attacchi e che possono differire a seconda di chi c'è dietro di loro e di cosa stanno cercando. Art Gilliland, vicepresidente senior di HP, ha suggerito che le aziende smettono di cercare nuove armi e adottano un approccio più olistico alla sicurezza. Più importante nel suo elenco di miglioramenti? Investire nelle persone e migliorare la formazione sulla sicurezza.
5. L'AV mobile non funziona
Mentre ha celebrato la comunità della sicurezza che lavora con e all'interno di Android per renderlo migliore, il Lead Engineer di Google per la sicurezza di Android ha finora preso una visione debole della sicurezza mobile. Ha affermato che l'obiettivo di Google era fornire una sicurezza silenziosa e invisibile e ha suggerito che le società di sicurezza si occupavano maggiormente di attirare l'attenzione e aumentare le vendite. Anche il CEO e cofondatore di viaForensics Andrew Hoog ha contestato i tradizionali modelli di sicurezza su dispositivi mobili. Ha sottolineato che il sandboxing delle app nei sistemi operativi mobili fa un buon lavoro nel proteggere le app ma limita anche la capacità delle app di sicurezza di gestire le minacce. La sua soluzione? Concedi agli sviluppatori della sicurezza l'accesso ai privilegi di root.
Non sono pienamente d'accordo con nessuna delle due posizioni, ma l'aumento delle minacce mobili richiede nuovi modi di proteggere i dispositivi. Proteggere dalle app dannose non è sufficiente e, sebbene gli strumenti che le società di sicurezza stanno aggiungendo alle loro app mobili siano utili, non saranno sufficienti per sempre.
4. Sicurezza al posto di guida
Parliamo molto di come la sicurezza debba far parte del DNA dell'organizzazione e come i team di sicurezza non possano semplicemente reagire alle crisi o in modalità antincendio per tutto il tempo. Il consenso generale sembra anticipare le minacce, sia che si tratti di migliori pratiche di sicurezza per chiudere le vie di attacco o di integrarsi con altri team per assicurarsi che i problemi di sicurezza vengano presi in considerazione fin dall'inizio.
3. Abbiamo bisogno di più persone in sicurezza
Una delle cose di cui abbiamo sentito parlare è stata la carenza di professionisti della sicurezza. Le aziende che tradizionalmente non dovevano pensare alla sicurezza, ovvero proteggere i propri dati o assicurarsi che i loro prodotti fossero sicuri, ora fanno fatica a trovare professionisti della sicurezza esperti. Le agenzie governative stanno cercando di attirare gli hacker più brillanti per riempire i loro ranghi. C'è un divario di competenze, in parte perché non abbiamo abbastanza persone specializzate nella sicurezza, ma anche perché le aziende non stanno facendo un buon lavoro di reclutamento.
Abbiamo bisogno di più donne nella tecnologia e in particolare della sicurezza delle informazioni. Le sessioni di RSAC si sono concentrate sulla creazione di strutture di supporto per incoraggiare le donne interessate all'Infosec, ma anche per evidenziare alcuni dei loro risultati.
2. Le app che perdono sono peggio dei malware mobili
La difesa dai malware continua a essere al centro di molte aziende di sicurezza mobile, ma questa non è di gran lunga l'unica minaccia. Molti partecipanti alla conferenza RSAC hanno suggerito che le app che perdono, ovvero le app che trasmettono i dati personali degli utenti senza crittografia o in enormi quantità, rappresentano una minaccia molto maggiore per gli utenti. Per i lettori della nostra copertura del lunedì sulle minacce mobili, questo non dovrebbe sorprendere. Quest'anno non vediamo l'ora di nuovi strumenti come viaProtect per aiutare i consumatori a vedere cosa stanno realmente facendo le loro app. Detto questo, guardare qualcuno che fa a pezzi, modificare e riconfezionare un'app Android in cinque minuti è un promemoria che il malware è ancora un problema.
1. La sorveglianza non sta andando via
Il regista dell'FBI appena coniato James Comey ha chiarito due cose nella sua presentazione di RSAC 2014: l'FBI ha bisogno di cooperazione da parte delle imprese per combattere le minacce informatiche, ma la sorveglianza elettronica è qui per rimanere. A un livello, lo sappiamo tutti. Non possiamo aspettarci che spie e poliziotti continuino a toccare i telefoni quando i cattivi comunicano con e-mail e altri strumenti. Come società, dobbiamo accettare che le comunicazioni digitali sono un obiettivo e forse legittimo. Allo stesso modo, i panelisti in un'affascinante tavola rotonda di addetti ai servizi segreti statunitensi hanno sottolineato che l'NSA non è una "agenzia canaglia" e che ogni altro stato nazionale si sta impegnando nella sorveglianza elettronica. Hanno anche affermato che lo spionaggio domestico deve trovare un migliore equilibrio con la privacy e che le persone non dovrebbero permettere ai funzionari eletti di usare la loro "storia di copertura" della negabilità plausibile per le operazioni di intelligence.
Immagine tramite utente Flickr Niko Notibär
