Vidéo: 10 Choses que vous Ignoriez sur la Maison Blanche (Novembre 2024)
La semaine dernière, toute l’équipe SecurityWatch s’est entretenue pendant la conférence RSA pour se tenir au courant des dernières innovations en matière de sécurité, des technologies les plus récentes et de ce dont parle réellement la communauté de la sécurité. Puisque la plupart d’entre vous étaient suffisamment sains d’esprit pour ne pas passer la semaine à un salon commercial, voici nos dix points essentiels à connaître en matière de sécurité.
10. RSA et la NSA
Lors de la conférence de cette année, l'Agence nationale de sécurité était une préoccupation de tous et a été la plus grande histoire de sécurité de l'année dernière. Et même si la conférence RSA est une entité distincte de la société RSA Security, la prétendue connexion de plusieurs millions de dollars entre RSA et la NSA a été un sujet de discussion fréquent. Le président de la RSA, Art Coviello, a rejeté les accusations dans son discours liminaire, mais a appelé à des réformes au sein de l'agence d'espionnage. Contrairement à l’année dernière, les craintes concernant la Chine ont été reléguées au second plan.
9. Buzzwords Tuer des mots
Lorsqu'un mot atteint le statut mot à la mode, il ne signifie plus rien qui soit utile. Malheureusement, il y avait une tonne de mots comme celui-ci à RSAC, où tout le monde utilisait les mêmes mots, mais personne n’était d’accord sur la définition. S'agissait-il d'informations sur les menaces, parlions-nous d'indicateurs de compromis ou d'enrichissement des données existantes avec des sources tierces? Que veut dire exactement "next-gen"? À ce stade, nous devrions être à la prochaine prochaine génération. Comment autant de produits peuvent-ils annoncer une révolution de la sécurité? L’industrie sait-elle encore ce qu’elle promet?
8. Quand les grille-pain, les voitures et les machines à café attaquent
L'Internet des objets s'est glissé dans la conférence RSA cette année et tout le monde s'inquiète de la perspective de les sécuriser. Ce qui est important à retenir, ce qui est inquiétant, c'est que nous ne sommes pas encore prêts à sécuriser tous nos appareils, qu'il s'agisse d'appareils électroménagers, d'appareils médicaux ou de voitures. Néanmoins, certains n'étaient pas si inquiets que ce soit, affirmant que les criminels ne risquaient pas de contrôler à distance ou de faire s'écraser une voiture connectée. Il serait plus probable que les criminels se rendent «en amont» pour compromettre les serveurs qui utilisent les objets, tels que les serveurs OnStar pour voitures, et monétiser cela.
7. Tout chiffrer
La réponse de chacun sur la manière d'améliorer la sécurité - en particulier la sécurité mobile - était le cryptage, le cryptage, le cryptage. Les applications mobiles déplacent d'énormes quantités d'informations sur Internet, et de nombreux développeurs choisissent de ne pas chiffrer ces transactions, ce qui donne aux attaquants et aux États-nations beaucoup à regarder. Toujours à propos de la NSA, Bruce Schneier, CTO de Co3, a déclaré que l'agence avait probablement cassé une forme de cryptage mais ne pouvait pas traiter d'énormes quantités de données cryptées. Il a déclaré que la quantité considérable d'informations non cryptées qui circulent rend tout simplement la tâche trop facile pour quiconque souhaite stocker des données.
6. Il n'y a pas de balles d'argent
Nous avons passé beaucoup de temps à parler de présentations et d’individus à RSAC, mais nous ne devrions pas oublier que l’événement est un salon professionnel et que son stand regorge de fournisseurs travaillant pour convaincre les acheteurs que leur produit est le meilleur sur le marché. Étonnamment, de nombreuses sociétés de sécurité poussaient encore l’idée des balles argentées - une solution unique pour tous vos problèmes de sécurité. C'est un peu surprenant, car l'année dernière a montré qu'il existe de nombreuses voies d'attaque et qu'elles peuvent différer en fonction de qui se cache derrière et de ce qu'elles recherchent. Le vice-président senior de HP, Art Gilliland, a suggéré aux entreprises d’arrêter de chercher de nouvelles armes et d’adopter une approche plus globale de la sécurité. Le plus important sur sa liste d'améliorations? Investissez dans les individus et améliorez la formation à la sécurité.
5. Mobile AV ne fonctionne pas
Alors qu'il se félicitait de la communauté de la sécurité travaillant avec et au sein d'Android pour l'améliorer, l'ingénieur en chef de Google pour la sécurité Android avait jusqu'ici une vision sombre de la sécurité mobile. Il a déclaré que l'objectif de Google était de fournir une sécurité invisible et silencieuse et a suggéré que les sociétés de sécurité se focalisent davantage sur l'attention et l'augmentation des ventes. Le PDG et co-fondateur de viaForensics, Andrew Hoog, a également critiqué les modèles de sécurité traditionnels sur mobile. Il a souligné que la mise en sandbox des applications dans les systèmes d'exploitation mobiles permet de sécuriser les applications, mais limite également la capacité des applications de sécurité à gérer les menaces. Sa solution? Donner aux développeurs de sécurité un accès aux privilèges root.
Je ne suis absolument pas d'accord avec l'une ou l'autre de ces positions, mais les menaces croissantes liées aux téléphones mobiles exigent de nouveaux moyens de sécuriser les appareils. Se protéger contre les applications malveillantes ne suffit pas, et bien que les outils que les entreprises de sécurité ajoutent à leurs applications mobiles soient utiles, ils ne le seront pas pour toujours.
4. Sécurité dans le siège du conducteur
Nous parlons beaucoup de la façon dont la sécurité doit faire partie de l'ADN de l'organisation et du fait que les équipes de sécurité ne peuvent pas simplement réagir en temps de crise ou en mode lutte contre les incendies. Le consensus général semble être en avance sur les menaces, que ce soit en renforçant les pratiques de sécurité pour bloquer les attaques ou en intégrant d'autres équipes pour s'assurer que les problèmes de sécurité sont pris en compte dès le départ.
3. Nous avons besoin de plus de personnes en sécurité
L’une des choses dont nous avons constamment entendu parler était la pénurie de professionnels de la sécurité. Les entreprises qui n'avaient généralement pas à penser à la sécurité - protéger leurs données ou assurer la sécurité de leurs produits - ont maintenant du mal à trouver des professionnels de la sécurité expérimentés. Les agences gouvernementales tentent d'attirer les pirates les plus brillants pour occuper leurs rangs. Il y a un manque de compétences, en partie parce que nous n'avons pas suffisamment de personnes spécialisées en sécurité, mais aussi parce que les entreprises ne font pas du bon travail en matière de recrutement.
Nous avons besoin de plus de femmes dans les technologies, et la sécurité de l'information en particulier. Les sessions du RSAC ont été axées sur la création de structures de soutien pour encourager les femmes intéressées par l’infosec, mais aussi pour mettre en valeur certaines de leurs réalisations.
2. Les applications qui fuient sont pires que les logiciels malveillants pour mobiles
La défense contre les logiciels malveillants continue de préoccuper de nombreuses entreprises de sécurité mobile, mais ce n’est de loin pas la seule menace. De nombreux participants à la conférence RSAC ont suggéré que les applications qui fuient, c'est-à-dire les applications qui transmettent les données personnelles des utilisateurs sans chiffrement ou en très grande quantité, constituent une menace bien plus grande pour les utilisateurs. Pour les lecteurs de notre couverture Mobile Threat Monday, cela ne devrait pas surprendre. Cette année, nous attendons avec impatience de nouveaux outils, tels que viaProtect, qui aideront les consommateurs à voir ce que font vraiment leurs applications. Cela dit, regarder quelqu'un déchirer, modifier et reconditionner une application Android en cinq minutes rappelle que les logiciels malveillants constituent toujours un problème.
1. La surveillance ne va pas loin
Le nouveau directeur du FBI, James Comey, a précisé deux choses dans son exposé de 2014 sur le RSAC: le FBI a besoin de la coopération des entreprises pour lutter contre les cyber-menaces, mais cette surveillance électronique est là pour rester. Sur un plan, nous le savons tous. Nous ne pouvons pas nous attendre à ce que les espions et les flics continuent à taper sur les téléphones quand les méchants communiquent avec des courriels et d'autres outils. En tant que société, nous devons accepter le fait que les communications numériques sont une cible, voire peut-être légitime. De même, lors d'une fascinante table ronde d'initiés du renseignement américains, les intervenants ont souligné que la NSA n'était pas une "agence voyous" et que tous les autres pays se livraient à une surveillance électronique. Ils ont également déclaré que l'espionnage domestique devait trouver un meilleur équilibre avec la vie privée et que les gens ne devraient pas permettre aux élus de se servir de leur "couverture" de déni plausible pour des opérations de renseignement.
Image via l'utilisateur de Flickr Niko Notibär
