TAGS
Miércoles es cuando RSA comienza a mostrar la cepa de la semana. Las resacas martes están en todas partes. La gente de la cabina son un poco más hosco y las palabras de moda salen en vigor. El miércoles es cuando se empieza a ver que es lo que realmente está pasando en la industria de la seguridad. ¿Qué tan bueno es?
La industria está empezando a mostrar su edad. La bravuconería de toda la noche de fiesta y la contraseña de craqueo están creciendo tedioso. A nadie le gusta el tipo de seguridad más arrogante. Sin embargo, la seguridad todavía tiene una seria adicción al miedo. Sin embargo, la metadona de la racionalidad está empezando a trabajar. Dondequiera que iba, había gente hablando de la aplicación del análisis y la inteligencia para la seguridad. Seguridad de la información está realmente creciendo?
Mandiant ha convertido en el Benedict Cumberbatch de la comunidad de seguridad de la información. Yo digo que, en relación con completa para ellos. (Cumberbatch juega el inmensamente fascinante Sherlock Holmes en la serie de la BBC Sherlock y el nuevo villano de Star Trek en la oscuridad.) Mandiant producir algunas herramientas muy buenas para la comunidad y claramente han llevado a cabo algunas investigaciones fascinantes. Yo también los respeto porque son muy similares a los negocios. Ellos no aparecen en las camisetas negras con tud todo el pirata informático '.
Su presentación se centró en su informe, publicado esta semana en los ataques patrocinados por el estado en que China está llevando a cabo a través de una unidad militar llamado PLA 61398. La presentación expuso los hechos básicos detrás de su caso, y fueron convincentes. El dato más interesante, lo que realmente dio sus datos de un elemento humano era cómo los hackers saltar inmediatamente en Gmail y YouTube una vez que se hacen cargo de un sistema remoto. Estos dos servicios, así como muchos otros, están fuertemente filtran en China. Como tal, estos atacantes se haría cargo de los sistemas y, luego usarlos para navegar por sitios web sin que el resto del ejército chino seguimiento. Esto es a la vez miedo y un poco triste. Pensar que estos piratas informáticos tienen, básicamente, para evadir su propio gobierno para navegar por la web.
toda la presentación realmente pone de manifiesto la realidad de la piratería patrocinada por el Estado. Este problema está realmente creciendo en complejidad y prevalencia. Hace algunos años, yo era muy desdeñoso de los ataques de tipo "ciberguerra" ya que parecían tan sensacional. Ahora, yo soy un poco más realista en cuanto a eso. Este es un problema real.
El otro dato que salió de esto es el nivel de sofisticación de estos ataques APT. Estos no son ataques destructivos. Son de lleno centra en conseguir el interior, el mantenimiento de una presencia y tomando sólo pequeños trozos de información altamente relevante. Estos ataques no van a borrar archivos y sistemas corruptos. Ellos van a buscar lentamente para los datos útiles y sacarlo del medio ambiente de la manera más tranquila y menos invasiva posible.
Sin embargo, tampoco podía dejar de pensar cómo algunas defensas básicas dejarían de la mayoría, si no todos estos ataques. Medidas de seguridad simples sobre el filtrado de DNS y salida en los servidores de seguridad harían inmediatamente estos ataques APT inútiles. Por todo lo dicho sobre estos ataques APT horribles, he oído muy poco acerca de la defensa, a excepción de los vendedores.
La próxima sesión que asistí fue en la cultura de seguridad. Fue realmente estúpida. El presentador, Ira Winkler, es un tipo de seguridad conocido. Su presentación se sentía desorganizada y condescendiente. He estado estudiando mucho sobre el liderazgo y la cultura de los negocios últimamente, y fue muy claro el Sr. Winkler no entendía lo que es la cultura empresarial. Salí después de 30 minutos.
Lo que puedo decir acerca de la cultura es que los buenos líderes deben confiar en su gente. Y cuanto más se puede confiar en ellos, más se va a confiar en la organización y hacer lo correcto. Y confiar en la gente no es sinónimo de libertad ilimitada. Usted puede confiar en su gente, pero todavía tienen los mismos deben limitarse a las expectativas y requerimientos específicos del trabajo.
El Sr. Cerf ve y suena como que amable profesor, chiflado que tenía en la universidad. Su presentación era un poco fuera de foco. Pero tenía un montón de humor. Honestamente, no puedo recordar quitando gran parte de ella. No era una mala palabra, pero no memorable o muy inspirador.
El siguiente fue Phillippe Courtot de Qualys. Su discurso fue todo el negocio pero no es terriblemente perspicaz. Después de tomar a un alto nivel acerca de cómo todo está a habilitar a Internet, se volvió la presentación a John Pescatore anteriormente de Gartner y ahora trabaja en SANS. John es un tipo inteligente que puede comunicarse bien. Sin embargo, todavía tiene una gran cantidad de Gartner dejado en él, y se nota. Se dice mucho sobre un poco y que asciende a un gran "duh." Liga realmente ha dominado el arte de hacer el revolucionario sonido mundano. El caso en cuestión, leer gran revelación de mi John a RSA: hay una gran cantidad de dispositivos de Internet por ahí. En realidad, John, de ninguna manera! Creo que John comió uno a muchos Cuadrante Mágico de nuevo en su círculo de tambores en la Universidad de Gartner.
Sin embargo, sí apuntó esta lista de 20 controles SANS ha dado a conocer que cada organización debe tener. Esta es una lista excelente. No hay nada en la lista que es nuevo para nosotros en Anitian. Hemos estado recomendando estos controles a los clientes durante 15 años. Sin embargo, después de haberlos codificadas en una lista que está detrás de SANS, definitivamente no duele.
Un tipo de Cisco fue el siguiente, que era aburrido, así que me fui.
Esta fue una presentación del panel de Allan Paller y Johannes Ullrich del SANS y Ed Skoudis de Counterhack. Esta fue una presentación fantástica, sobre todo debido a un enorme entusiasmo y la pasión Skoudis 'para la seguridad.
Skoudis descrito por primera vez cómo las herramientas y tácticas forenses están siendo incorporados en herramientas de hacking. Esto permite al atacante a tamizar a través de los datos para localizar el archivo o dato específico que desean. Esto reduce la huella de lo que debe ser exfiltraron fuera del medio ambiente, reduciendo así la probabilidad de ser descubierto. En lugar de descargar un archivo de 20 GB, que se detecta fácilmente, se puede encontrar el archivo solo 500K que quieren, y que deslizarse fuera de mando y sistemas de control.
El siguiente concepto estaba a punto de toma de huellas dactilares de malware. Durante mucho tiempo, parte de la forma en que los investigadores podría rastrear el origen de malware estaba analizando la forma en que se codificó. Los creadores de malware tienden a codificar de la misma manera o reutilizar el código una y otra vez. Ahora que los estados-nación están entrando en el juego de software malicioso, que no quieren tomar las huellas digitales de esta manera. Como tales, están inyectando a propósito defectos y marcadores en su código de software malicioso para engañar a los investigadores. No sólo era un concepto fascinante, realmente se demuestra lo sofisticado que el juego del gato y el ratón de malware y APT se ha convertido. También demuestra cómo las naciones sofisticados se han convertido en el desarrollo y despliegue de "armas cibernéticas".
La charla se volvió a la posibilidad de un "ciberataque" se convierta en un daño cinética. Es decir, un hacker podría causar algún daño físico, tales como cortes de energía o armas para explotar. Si Stuxnet demostró algo, es demostrado que los ataques pueden tener cinética afectar.
Un bit de datos que nos dejó en este punto era el hecho de que el 90% de los ataques se inició con algún tipo de spearphishing ataque. Es decir, el atacante engañar a alguien para que haga clic en un archivo adjunto de correo electrónico o página web y luego infectar a sí mismos con algún tipo de exploit kit.
Otra táctica que se discutió fue ataques DNS reflectantes, que utilizan un servidor DNS abierta, lo que permite realizar consultas DNS recursivas para redirigir el tráfico. Lo triste de estos ataques es que son bastante fáciles de defender. Simplemente limitar las consultas DNS a una fuente de confianza haría imposible este tipo de ataques. Incluso hay grandes servicios DNS externos, como OpenDNS que eliminan la posibilidad de ataques DNS reflectantes. Sin embargo, las organizaciones necesitan para restringir DNS saliente a estas fuentes autorizadas y no permitir la amplia resolución de DNS abierta.
Al final, estos chicos comenzaron a dar algunas soluciones para combatir estas tácticas de ataque peligrosas. Parcheo era, por supuesto, la primera y más importante recomendación. Esto se hace eco de lo que siempre recomendamos a Anitian. Sin embargo, ¿qué hacer acerca de los dispositivos cuando el vendedor no será parche? Skoudis tiene una simple respuesta - IPS de red. Eso fue música para mis oídos. Esto condujo a una discusión acerca de cómo manejar las vulnerabilidades de seguridad de otros proveedores.
Paller recomienda que solicite a los proveedores de terceros para mostrar los resultados de una prueba de penetración de terceros en su producto. Paller estaba claro destacar que la prueba debe ser de un tercero independiente. Por supuesto, siendo uno de los probadores de terceros, que estaba encantado de escuchar eso.
Entonces le dijo a una gran historia sobre una organización sanitaria en Europa que puso a cabo una solicitud de propuesta para un sistema grande de recursos humanos. Cuando compraron el sistema, la empresa utiliza sus propios probadores internos en el producto y descubrió miles de vulnerabilidades. Cuando se acercaban al vendedor acerca de estas vulnerabilidades, que eran indiferentes. Reiteraron que el PP no requería el producto a someterse a dicha prueba y que su producto cumple todos los requisitos técnicos de la RFP. La compañía tuvo que pasar casi dos veces más que el producto original para arreglar las vulnerabilidades de seguridad.
Tal vez la tendencia más significativa que he notado en RSA este año es el número de organizaciones y agentes que finalmente están utilizando el lenguaje y el enfoque que hemos estado utilizando en Anitian durante 15 años. La racionalidad y pragmatismo están de moda. Las empresas están apoyando sus afirmaciones con datos, no especulación salvaje y el lenguaje sensacionalista. Palabras como "inteligencia" y "analítica" están en todas partes. Esto es muy alentador.
También hay una disminución palpable en el lenguaje miedo y FUD. Aunque no ha desaparecido por completo, su ser marginado. Junto con eso, las empresas que viven y respiran FUD también se ven obligados a cambiar su enfoque. Perenne esparcidor de FUD Symantec ha demostrado que pueden romper su adicción miedo y traer datos reales y la penetración de la tabla. Incluso de Palo Alto Networks parece haber retrocedido desde el borde del acantilado FUD (que no debe confundirse con el precipicio fiscal.) ¿La industria finalmente crecido?
Creo que si. Esto también refleja la madurez de Anitian como una empresa. Ahora que nuestro mensaje se está convirtiendo en el mensaje de la industria, estoy notando nuestro enfoque está ganando terreno.
Si hay un inconveniente de todo esto estallido de la racionalidad, es la pérdida de drama. RSA es mucho menos dramática de este año. Los colores, la multitud y el contenido es toda la materia más fresca y de hecho. Esto lo convierte en menos entusiasmo, pero más tranquilidad.
.
