차례:
- 1 10. 암호화의 백도어
- 2 9. 유행어
- 3 8. 토스터, 자동차 및 커피 머신이 공격 할 때
- 7. 모든 것을 암호화하십시오
- 5 6.은 총알이 없습니다
- 6 5. 모바일 AV가 작동하지 않습니다
- 7 4. 운전석의 보안
- 3. 보안에 더 많은 사람들이 필요합니다
- 9 2. 새는 앱은 모바일 멀웨어보다 더 나쁘다
- 10 1. 감시가 사라지지 않는다
비디오: ë´ì ë ì¸ë¯¸ì»¨ëí¸, ì ê³ ìµì´ ê³ ì ì°ì AD컨ë²í° ê°ë°ãìë£Â·ì°ì ì© ì¥ë¹, ë°°í°ë¦¬ ìëª ëë ¸ë¤ã (십월 2024)
얼마 전까지 만해도 보안 뉴스는 데스크톱 컴퓨터에 모호한 취약성 및 바이러스 확산을 의미했습니다. 그러나 이제 모든 곳의 사람들이 정부 기관을 스누핑하고 Heartbleed가 웹에서 개인 데이터를 느슨하게하고 모바일 위협이 증가하는 것에 대해 걱정하고 있습니다. 에드워드 스노 든의 국가 보안 국의 국내 감시 활동에 대한 누수는 올해 퓰리처 상을 수상했다. 우리의 삶이 디지털 장치와 인터넷에 초점을 맞추면서 점점 더 많은 사람들이 보안에 대해 걱정하고 있습니다. 문제는 실제 문제는 무엇이며 주류 미디어의 월간 풍미는 무엇입니까?
실제로 중요한 사항에 대한 확실한 개요를 보려면 RSA 컨퍼런스를 위해 수천 명의 참석자가 샌프란시스코로 몰려 들었던 지난 2 월로 돌아갑니다. 그중에는 보안 제품 제작자와 가장 큰 보안 사례를 깨뜨린 연구원들이있었습니다. 동종 최대 규모의 모임 중 하나이며 RSAC의 아이디어는 일년 내내 디지털 보안에 큰 영향을 미칠 것입니다.
눈과 보안
사람들은 미국 정부가 모든 사람들의 말을 듣고 있다고 농담했지만, 더 이상 아무도 그것에 대해 웃지 않습니다. 국가 안보국과 RSA 보안 간의 혐의로 인해 더 이상 RSA 회사와 직접 관련이없는 회의가 열렸다.
놀랍게도 NSA는 올해 다시 전시 회장에 참석하기로 결정했습니다. 그들이하지 않더라도 NSA를 피하는 것은 어려웠습니다. 일부 벤더들은 에이전시 로고가 붙은 코스터를 나눠 주었고, 다른 벤더들은 퍼블릭 화이트 보드에 멍청한 말을 썼습니다. 한 공급 업체는 NSA 부스 근처에있는 것에 반대하고 다른 공급 업체는 Snowden에 대한 루핑 비디오를 실행할 기회를 얻었습니다.
일부 연사들은 항의 시위를 열었고 Trustycon이라는 경쟁적인 하루 행사를 조직했습니다. 개인 정보 보호 문제에 대한 인식을 높이는 데 도움이되었지만 일부 사람들은이를 다르게 보았습니다.
중국 누구?
작년에, 모든 사람의 침대 아래 부기맨은 중국이었습니다. 업계 내부자들의 우려는 중국이 지적 재산을 훔쳐서 판매하거나이를 중국 경쟁 업체에 제공하는 정부 후원 또는 고독한 공격자들이었습니다. 또한 국가 간 사이버 전쟁의 위협이 있었으며, 정교한 Advanced Persistent Threat에 대한 지속적인 보고서를 통해 더욱 현실화되었습니다.
올해로 빨리 넘어 가면 우려가 더 순조로워집니다. 연사들은 "지적 재산 절도"에 대해 언급했지만 누가 그 뒤에있을 것인지에 대한 필요성을 보지 못했습니다. 작년에 "국가 국가"공격이 언급되었을 때는 거의 "중국"을 의미했지만 올해는 "미국"을 쉽게 의미 할 수있었습니다.
열 가지
이 큰 이야기 외에도 RSA에는 유망한 개발, 새로운 기술 및 검증 된 조언이있었습니다. 무엇보다 먼저? 소프트웨어를 패치하십시오. 또한 암호를 지나고 싶어하는 공급 업체도 많았으며, 곧 비밀번호를 확인할 수있을 것입니다. 또한 내년 공연 전에 모두 읽기를 바랍니다.
이들은 보안 전문가들이 화제를 모으고있는 큰 이야기 중 일부일 뿐이지 만 유일한 것은 아닙니다. 현재 보안에서 일어나고있는 10 가지 주요 아이디어는 다음과 같습니다.
-
5 6.은 총알이 없습니다
우리는 RSAC에서 프레젠테이션과 개인에 대해 많은 시간을 보냈지 만, 이 행사는 전시회이며 쇼 플로어는 구매자에게 그들의 제품이 최고라는 것을 확신시키기 위해 노력하는 벤더들로 가득차 있다는 것을 잊지 말아야합니다. 놀랍게도 많은 보안 회사는 여전히 모든 보안 문제에 대한 단일 서빙 솔루션 인은 총알에 대한 아이디어를 추진하고있었습니다. 작년에 공격에 대한 수많은 수단이 있음을 입증했으며, 공격의 배후와 후행에 따라 다를 수 있다는 점을 감안할 때 약간 놀랍습니다. HP의 Art Gilliland 수석 부사장은 기업들이 새로운 무기를 찾는 것을 멈추고 보안에 대해보다 총체적인 접근을하도록 제안했습니다. 그의 개선 목록에서 가장 중요한가? 개인에 투자하고 보안 교육을 개선하십시오. -
10 1. 감시가 사라지지 않는다
새로 나온 FBI의 제임스 코메이 (James Comey)는 RSAC 2014 프레젠테이션에서 두 가지 사실을 분명히 밝혔습니다. FBI는 사이버 위협에 대항하기 위해 비즈니스와의 협력이 필요하지만 전자 감시는 여기에 있습니다. 한 단계에서 우리는 모두 이것을 알고 있습니다. 악당이 이메일 및 기타 도구와 통신 할 때 스파이와 경찰이 계속 전화를 두드리기를 기대할 수 없습니다. 사회로서, 우리는 디지털 커뮤니케이션이 대상 일 수 있고 합법적 인 것임을 인정해야합니다. 마찬가지로, 미국 정보 기관 내부의 흥미로운 원탁 회의에서 패널리스트들은 NSA가 "불량 기관"이 아니며 다른 모든 국가가 전자 감시에 참여하고 있다고 강조했다. 그들은 또한 국내 스파이가 개인 정보 보호와 더 나은 균형을 유지해야하며, 선출 된 공무원들이 정보 운영을 위해 그럴듯한 거부 가능성에 대한 "표적 이야기"를 사용하도록 허용해서는 안된다고 말했다.
1 10. 암호화의 백도어
국가 안보국 (National Security Agency)은 올해 회의에서 모든 사람들의 마음에 있었고 지난해 가장 큰 안보 이야기였습니다. RSA 컨퍼런스는 RSA Security 회사와는 별개의 단체이지만 RSA와 NSA 간의 수백만 달러 연결은 자주 논의되는 주제였습니다. RSA 회장 Art Coviello는 기조 연설에서이 주장을 일축했지만 스파이 기관 내에서 개혁을 요구했다. 작년과는 대조적으로, 중국에 대한 우려는 암호화가 생각만큼 안전하지 않을 수 있다는 우려에 뒤지지 않았습니다.
2 9. 유행어
단어가 유행어에 도달하면 유용한 의미가 없어집니다. 슬프게도 RSAC에는 많은 사람들이 같은 단어를 사용했지만 그 정의에 동의 한 사람은 없었습니다. 위협 인텔리전스와 관련하여 우리는 타협의 지표에 대해 이야기하고 있었습니까, 아니면 타사 소스로 기존 데이터를 강화하는 것에 대해 이야기하고 있습니까? "차세대"는 더 이상 무엇을 의미합니까? 이 시점에서 우리는 차세대에 있어야합니다. 많은 제품이 어떻게 보안 혁명을 일으킬 수 있습니까? 업계는 더 이상 유망한 것을 알고 있습니까?Flickr 사용자 Soumyadeep Paul을 통한 이미지
3 8. 토스터, 자동차 및 커피 머신이 공격 할 때
올해 사물 인터넷이 RSA 컨퍼런스에 참여했으며 모든 사람들이이를 확보 할 것으로 걱정하고 있습니다. 가장 큰 어려움은 매우 어려울 정도로 가전, 의료 기기 또는 자동차 등 모든 기기를 보호 할 준비가되지 않았다는 것입니다. 그럼에도 불구하고 범죄자들은 커넥 티드 카를 원격으로 제어하거나 추락하려고 시도하지 않을 것이라고 말하면서 일부는 걱정하지 않았습니다. 범죄자는 "업스트림"으로 이동하여 사물을 사용하는 서버 (예: 자동차 용 OnStar 서버)를 손상시키고 수익을 창출 할 가능성이 높습니다.사물 인터넷은 더 많은 장치가 연결됨에 따라 점점 더 커질 것입니다. Heartbleed의 결과로 연구원들은 서버뿐만 아니라 연결된 모든 장치에 대해 걱정하지 않았습니다.
7. 모든 것을 암호화하십시오
보안, 특히 모바일 보안을 개선하는 방법에 대한 모든 사람의 대답은 암호화, 암호화, 암호화였습니다. 모바일 앱은 인터넷을 통해 많은 양의 정보를 이동하고 있으며, 많은 개발자들이 이러한 거래를 암호화하지 않기로 선택하여 공격자와 국가 상태를 살펴볼 수 있습니다. Co3의 CTO 인 Bruce Schneier는 NSA로 다시 돌아와서이 기관이 아마도 어떤 형태의 암호화를 깨뜨 렸지만 엄청난 양의 암호화 된 데이터를 처리 할 수 없다고 말했다. 그는 암호화되지 않은 수많은 정보가 단순히 데이터를 비축하고 싶어하는 사람들에게는 너무나 쉽게 만들 수 있다고 말했다. 2 월에 암호화에 대한 우려는 NSA에서 생성 된 취약점과 Apple의 SSL 문제로 인해 발생했습니다. Heartbleed의 발표는 우리가 가진 최고의 도구조차도 완벽하지 않다는 것을 상기시켜줍니다.Flickr 사용자 익명 계정을 통한 이미지
6 5. 모바일 AV가 작동하지 않습니다
그는 안드로이드와 함께 그리고 더 나은 보안을 위해 일하는 보안 커뮤니티를 축하했지만 구글의 안드로이드 보안 담당 수석 엔지니어는 지금까지 모바일 보안을 어둡게 보았습니다. 그는 구글의 목표는 조용하고 보이지 않는 보안을 제공하는 것이 었으며 보안 회사는 관심을 끌고 판매를 늘리는 것에 더 많은 관심을 가지고 있다고 제안했다. 법의학 CEO이자 공동 설립자 인 Andrew Hoog도 모바일의 기존 보안 모델에 대해 문제를 제기했습니다. 그는 모바일 운영 체제의 앱 샌드 박싱이 앱 보안을 잘 수행하지만 보안 앱이 위협을 처리하는 기능도 제한한다고 지적했습니다. 그의 해결책? 보안 개발자에게 루트 권한에 대한 액세스 권한을 부여하십시오.나는 두 입장에 전적으로 동의하지 않지만, 모바일 위협이 증가함에 따라 새로운 장치 보안 방법이 필요합니다. 악의적 인 앱으로부터 보호하는 것만으로는 충분하지 않으며, 보안 회사가 모바일 앱에 추가하는 도구는 유용하지만 영원히 충분하지는 않습니다.
Flickr 사용자 Tiago A. Pereira를 통한 이미지
7 4. 운전석의 보안
우리는 보안이 조직의 DNA의 일부가되어야하는 방법과 보안 팀이 위기 나 소방 모드에 항상 대응할 수없는 방법에 대해 많이 이야기합니다. 일반적인 공격 합의를 막기 위해 더 나은 보안 관행을 갖추거나 다른 팀과 통합하여 보안 문제가 처음부터 올바르게 고려되고 있는지에 대한 일반적인 합의가 위협보다 앞서 가고있는 것 같습니다.
3. 보안에 더 많은 사람들이 필요합니다
우리가 계속 들었던 것 중 하나는 보안 전문가가 부족한 방법이었습니다. 전통적으로 보안에 대해 생각할 필요가 없었던 (데이터 보호 또는 제품의 보안 유지) 기업은 이제 숙련 된 보안 전문가를 찾는 데 어려움을 겪고 있습니다. 정부 기관은 가장 밝은 해커를 끌어 모 으려고 노력하고 있습니다. 보안 전문 인력이 충분하지 않고 회사가 좋은 채용을하지 않기 때문에 기술 격차가 있습니다.기술과 정보 보안 분야에서 더 많은 여성이 필요합니다. RSAC의 세션은 infosec에 관심이있는 여성을 장려하기 위해 지원 구조를 만드는 데 중점을 두 었으며 성과도 강조했습니다.
9 2. 새는 앱은 모바일 멀웨어보다 더 나쁘다
멀웨어에 대한 방어는 많은 모바일 보안 회사에 계속 초점을 맞추고 있지만, 이것이 유일한 위협은 아닙니다. RSAC 회의의 많은 참석자들은 유출 된 앱 (즉, 암호화없이 또는 대량으로 사용자의 개인 데이터를 전송하는 앱)이 사용자에게 훨씬 더 큰 위협이라고 제안했습니다. 우리의 모바일 위협 월요일 보도의 독자들에게 이것은 놀라운 일이 아닙니다. 올해 우리는 viaProtect와 같은 새로운 도구를 사용하여 소비자가 자신의 앱이 실제로 무엇을하고 있는지 확인할 수 있도록 노력하고 있습니다. 즉, 누군가 5 분 안에 안드로이드 앱을 찢고, 수정하고, 재 포장하는 것을 보는 것은 멀웨어가 여전히 문제라는 것을 상기시켜줍니다.Flickr 사용자 Grotuk를 통한 이미지
