10 أفكار كبيرة في الأمن الرقمي

منذ وقت ليس ببعيد كانت أخبار الأمن تعني نقاط الضعف الغامضة والفيروسات المنتشرة عبر أجهزة كمبيوتر سطح المكتب. لكن الآن الناس في كل مكان قلقون بشأن تحايل الوكالات الحكومية ، و Heartbleed ترك بياناتهم الشخصية فضفاضة على شبكة الإنترنت ، وتهديدات الهاتف المحمول المتزايدة. هيك ، تسربت تسريبات إدوارد سنودن حول جهود التجسس المحلية لوكالة الأمن القومي حصلت على جوائز بوليتزر هذا العام. نظرًا لأن حياتنا أصبحت أكثر تركيزًا على الأجهزة الرقمية والإنترنت ، فإن المزيد من الناس يشعرون بالقلق بشأن الأمن ، وهو الأمر الصحيح. والسؤال هو ، ما هي القضايا الحقيقية - وما هو مجرد الضجيج بنكهة الشهر من وسائل الإعلام الرئيسية؟

للحصول على نظرة عامة قوية حول ما يهم حقًا ، يمكنك الترجيع إلى شهر فبراير الماضي ، عندما تدفق الآلاف من الحضور إلى سان فرانسيسكو لحضور مؤتمر RSA. من بين هؤلاء المبدعين للمنتجات الأمنية والباحثين الذين كسروا بعضًا من أكبر القصص الأمنية. إنه واحد من أكبر التجمعات من نوعها ، وسوف يكون لأفكار RSAC تأثير كبير على الأمن الرقمي لبقية العام.

سنودن والأمن

اعتاد الناس على المزاح بأن الحكومة الأمريكية كانت تستمع إلى كل ما قاله الجميع ، ولكن لم يعد أحد يضحك حقًا حيال ذلك. ألقت الصفقة المزعومة بين وكالة الأمن القومي و RSA Security بظلالها على المؤتمر ، الذي لم يعد تابعًا مباشرةً لشركة RSA.

والمثير للدهشة أن وكالة الأمن القومي قررت مرة أخرى أن يكون لها حضور في صالة العرض هذا العام. حتى لو لم يفعلوا ذلك ، كان من الصعب تجنب ضمانات الأمن السلبية. قام بعض البائعين بتسليم الوقايات مع شعار الوكالة عليها ، في حين أن آخرين أخذوا يكتبون ملاحظات عنيفة على السبورات العامة. اعترض أحد البائعين على ما يبدو على وجوده بالقرب من كشك وكالة الأمن القومي ، في حين انتهز آخر الفرصة لتشغيل مقاطع فيديو حول حلقات سنودن.

سحب بعض المتحدثين عروضهم الاحتجاجية ونظموا حدثًا منافسًا ليوم واحد يدعى Trustycon. كان الهدف من ذلك المساعدة في زيادة الوعي بقضايا الخصوصية ، على الرغم من أن بعض الناس رأوا ذلك بطريقة مختلفة.

الصين من؟

في العام الماضي ، كانت الرقصة تحت سرير الجميع هي الصين. كان الخوف بين المطلعين على الصناعة برعاية الدولة أو المهاجمين الوحيدين من الصين الذين يسرقون الملكية الفكرية ويبيعونها أو يقدمونها للمنافسين الصينيين. كان هناك أيضًا تهديد للحرب الإلكترونية بين الأمم ، والتي أصبحت أكثر واقعية من خلال التقارير المستمرة عن التهديدات المستمرة المتقدمة.

بسرعة إلى الأمام لهذا العام والمخاوف أكثر يانع. ذكر المتحدثون "سرقة الملكية الفكرية" ، لكنهم لم يروا الحاجة إلى قول من سيكون وراءها. عندما تم ذكر هجمات "الدولة القومية" العام الماضي ، كان من شبه المؤكد أنها تعني "الصين" ، لكن هذا العام كان يمكن أن يعني بسهولة "الولايات المتحدة الأمريكية".

عشرة أشياء

خارج هذه القصص الكبيرة ، كانت هناك بعض التطورات الواعدة ، والتكنولوجيا الجديدة ، والمشورة المجربة والحقيقية في RSA. اولا في المقام الاول اولا قبل كل شي؟ تصحيح البرامج الخاصة بك. كان هناك أيضًا العديد من البائعين الذين يحرصون على تجاوز كلمات المرور ، ونأمل أن يحدث ذلك قريبًا. أيضا ، آمل أن تقوموا جميعا القراءة قبل عرض العام المقبل.

كانت هذه بعض القصص الكبيرة التي يتحدث عنها خبراء الأمن ، لكنها ليست الوحيدة. فيما يلي أهم عشرة أفكار كبيرة تحدث في مجال الأمن الآن.

1 10. في الخلفية في التشفير

كانت وكالة الأمن القومي في أذهان الجميع في مؤتمر هذا العام ، وكانت أكبر قصة أمنية في العام الماضي. وعلى الرغم من أن مؤتمر RSA هو كيان متميز عن شركة RSA Security ، فإن الاتصال المزعوم بملايين الدولارات بين RSA و NSA كان موضوع نقاش متكرر. رفض رئيس RSA Art Coviello هذه المزاعم في خطابه الرئيسي ، لكنه دعا إلى إجراء إصلاحات داخل وكالة التجسس. في تناقض صارخ مع العام الماضي ، اتخذت المخاوف بشأن الصين مقعدًا خلفًا للمخاوف من أن التشفير قد لا يكون آمنًا كما كنا نظن.



2 9. الطنانة قتل الكلمات

بمجرد أن تصل الكلمة إلى حالة الكلمة الطنانة ، فإنها لا تعني أي شيء مفيد. للأسف ، كان هناك الكثير من الكلمات مثل هذه في RSAC ، حيث كان الجميع يستخدمون نفس الكلمات ، لكن لا أحد وافق على التعريف. عندما يتعلق الأمر بمخابرات التهديد ، هل كنا نتحدث عن مؤشرات التسوية ، أم كنا نتحدث عن إثراء البيانات الحالية مع مصادر خارجية؟ ماذا يعني بالضبط "الجنرال التالي" يعني حتى الآن؟ في هذه المرحلة ، يجب أن نكون في الجيل القادم. كيف يمكن للعديد من المنتجات أن تبشر بثورة أمنية؟ هل الصناعة تعرف حتى الآن ما يعد به؟

الصورة عبر فليكر المستخدم Soumyadeep بول



3 8. عندما تهاجم المحامص والسيارات وآلات القهوة

لقد تسللت إنترنت الأشياء إلى مؤتمر RSA هذا العام والجميع قلقون بشأن إمكانية تأمينها. إن الوجبات الرئيسية - بشكل محزن للغاية - هي أننا لسنا مستعدين بعد لتأمين جميع أجهزتنا ، سواء كانت الأجهزة المنزلية أو الأجهزة الطبية أو السيارات. ومع ذلك ، لم يكن البعض مهتمًا بذلك ، قائلين إنه من غير المحتمل أن يحاول المجرمون التحكم في سيارة متصلة أو تعطلها عن بُعد. من المرجح أن يتجه المجرمون إلى "المنبع" للتسوية على الخوادم التي تستخدم الأشياء - مثل خوادم OnStar للسيارات - واستثمارها.

لا شك في أن إنترنت الأشياء سينمو أكثر فأكثر مع اتصال المزيد من الأجهزة. في أعقاب Heartbleed ، لم يكن الباحثون مهتمين فقط بالخوادم ولكن بأي أجهزة متصلة.



4 7. تشفير كل شيء

كانت الإجابة من الجميع حول كيفية تحسين الأمان - وخاصة أمان الهاتف المحمول - هي التشفير والتشفير والتشفير. تعمل تطبيقات الأجهزة المحمولة على نقل كميات هائلة من المعلومات عبر الإنترنت ، ويختار العديد من المطورين عدم تشفير تلك المعاملات ، مما يمنح المهاجمين والدول القومية الكثير مما يجب عليهم النظر إليه. انتقل مرة أخرى إلى وكالة الأمن القومي ، افترض Co3 CTO Bruce Schneier أن الوكالة ربما تكون قد كسرت بعض أشكال التشفير لكنها لا تستطيع معالجة كميات هائلة من البيانات المشفرة. وقال إن الكم الهائل من المعلومات غير المشفرة التي تطير حولها تجعل من السهل للغاية لأي شخص يتطلع إلى تخزين البيانات. مرة أخرى في فبراير ، كانت المخاوف المتعلقة بالتشفير تستند إلى نقاط الضعف التي أنشأتها NSA ومتاعب SSL من Apple. يعد إعلان Heartbleed بمثابة تذكير منطقي بأنه حتى أفضل الأدوات التي ما زلنا غير مثالية.

صورة عبر حساب مستخدم مجهول Flickr

• 5 6. لا توجد رصاصة فضية

  لقد قضينا الكثير من الوقت في التحدث عن العروض التقديمية والأفراد في RSAC ، لكن لا ينبغي أن ننسى أن الحدث عبارة عن معرض تجاري وأن قاعة العرض مليئة بالموردين الذين يعملون لإقناع المشترين بأن منتجهم هو الأفضل. من المثير للدهشة أن العديد من شركات الأمن كانت لا تزال تروج لفكرة الرصاص الفضي - وهو الحل الوحيد الذي يقدم لكل المشاكل الأمنية الخاصة بك. هذا أمر يثير الدهشة بعض الشيء بالنظر إلى أن العام الماضي قد أظهر أن هناك العديد من السبل للهجمات ، وأنها يمكن أن تختلف تبعا لمن يقف وراءها وماذا بعد. اقترح نائب رئيس فن HP Gilliland من HP أن تتوقف الشركات عن البحث عن أسلحة جديدة وأن تتخذ مقاربة أكثر شمولية للأمن. الأكثر أهمية على قائمته من التحسينات؟ الاستثمار في الأفراد وتحسين التدريب الأمني.



6 5. AV Mobile لا يعمل

بينما احتفل بمجتمع الأمن الذي يعمل مع Android وداخله لتحسينه ، أبدى Google Lead Engineer لـ Android Security نظرة قاتمة على أمان الهاتف المحمول حتى الآن. وقال إن هدف Google هو توفير أمان هادئ وغير مرئي ، وأشار إلى أن شركات الأمن كانت أكثر اهتمامًا بالحصول على الاهتمام وزيادة المبيعات. الرئيس التنفيذي لشركة viaForensics والمؤسس المشارك أندرو هوج أثار مشكلة نماذج الأمان التقليدية على الهاتف المحمول. وأشار إلى أن تطبيق الحماية في أنظمة تشغيل الأجهزة المحمولة يقوم بعمل جيد في تأمين التطبيقات ولكنه يحد أيضًا من قدرة تطبيقات الأمان على التعامل مع التهديدات. حله؟ منح مطوري الأمان حق الوصول إلى امتيازات الجذر.

لا أتفق تمامًا مع أي من المواضع ، لكن تهديدات الهواتف المحمولة المتزايدة تتطلب طرقًا جديدة لتأمين الأجهزة. لا تعتبر الحماية من التطبيقات الضارة كافية ، وعلى الرغم من أن الأدوات التي تضيفها شركات الأمان إلى تطبيقات الأجهزة المحمولة الخاصة بها ، فإنها لن تكون كافية إلى الأبد.

الصورة عبر مستخدم فليكر Tiago A. Pereira



7 4. الأمن في مقعد السائق

نتحدث كثيرًا عن كيفية احتياج الأمن إلى أن يكون جزءًا من الحمض النووي للمؤسسة ، وكيف لا تستطيع فرق الأمن فقط أن تتفاعل مع الأزمات أو في وضع مكافحة الحرائق طوال الوقت. يبدو أن الإجماع العام يسبق التهديدات ، سواء كان ذلك من خلال وجود ممارسات أمنية أفضل لإغلاق طرق الهجوم أو الاندماج مع الفرق الأخرى للتأكد من أن المخاوف الأمنية يتم اعتبارها منذ البداية.



8 3. نحن بحاجة إلى المزيد من الناس في الأمن

أحد الأشياء التي ظللنا نسمعها هو كيف كان هناك نقص في المتخصصين في مجال الأمن. الشركات التي لم تكن مضطرة للتفكير في الأمان - حماية بياناتها أو التأكد من أن منتجاتها آمنة - تكافح الآن للعثور على خبراء أمنيين ذوي خبرة. تحاول الوكالات الحكومية جذب ألمع المتسللين لملء صفوفهم. هناك فجوة في المهارات ، جزئياً لأنه ليس لدينا عدد كاف من الأشخاص المتخصصين في مجال الأمن ، ولكن أيضًا لأن الشركات لا تقوم بعمل توظيف جيد.

نحن بحاجة إلى المزيد من النساء في التكنولوجيا ، وأمن المعلومات بشكل خاص. ركزت الجلسات في RSAC على إنشاء هياكل دعم لتشجيع النساء المهتمات بـ infosec ، ولكن أيضًا لتسليط الضوء على بعض منجزاتهم.



9 2. تطبيقات Leaky أسوأ من البرامج الضارة للأجهزة المحمولة

يستمر الدفاع ضد البرامج الضارة في التركيز على العديد من شركات أمان الأجهزة المحمولة ، لكن هذا ليس إلى حد بعيد التهديد الوحيد. اقترح العديد من الحاضرين في مؤتمر RSAC أن التطبيقات المتسربة - أي التطبيقات التي تنقل بيانات المستخدمين الشخصية دون تشفير أو بكميات هائلة - تشكل تهديدًا أكبر بكثير للمستخدمين. بالنسبة لقراء تغطية Mobile Threat Monday الخاصة بنا ، لا ينبغي أن يكون هذا مفاجأة. نتطلع هذا العام إلى أدوات جديدة مثل viaProtect لمساعدة المستهلكين على معرفة ما تقوم به تطبيقاتهم بالفعل. ومع ذلك ، فإن مشاهدة شخص تمزق تطبيق Android وتعديله وإعادة حزمه في غضون خمس دقائق يعد تذكيرًا بأن البرامج الضارة لا تزال تمثل مشكلة.

الصورة عبر مستخدم فليكر Grotuk

• 10 1. المراقبة لا تمضي بعيدا

  أوضح مدير مكتب التحقيقات الفيدرالي (FBI) ، جيمس كومي ، شيئين واضحين في عرضه التقديمي لـ RSAC 2014: يحتاج مكتب التحقيقات الفيدرالي (FBI) إلى تعاون من قطاع الأعمال لمكافحة التهديدات السيبرانية ، لكن المراقبة الإلكترونية موجودة لتبقى. على مستوى واحد ، نعلم جميعا هذا. لا يمكننا أن نتوقع من الجواسيس ورجال الشرطة مواصلة التنصت على الهواتف عندما يتواصل الأشرار بالبريد الإلكتروني وأدوات أخرى. كمجتمع ، نحن بحاجة إلى قبول أن الاتصالات الرقمية هي هدف ، وربما هدف شرعي. وبالمثل ، أكد أعضاء اللجنة في مائدة مستديرة رائعة من المطلعين على الاستخبارات الأمريكية أن وكالة الأمن القومي ليست "وكالة مارقة" وأن كل دولة أمة أخرى تشارك في المراقبة الإلكترونية. وقالوا أيضًا إن التجسس المحلي يحتاج إلى تحقيق توازن أفضل مع الخصوصية ، وأنه يجب على الناس ألا يسمحوا للمسؤولين المنتخبين باستخدام "قصة الغلاف" الخاصة بهم للإنكار المعقول لعمليات الاستخبارات.