今週は繁栄し、牧草地や渓谷を流れ、主要な情報セキュリティ会議であるRSA Conference 2017が盛況のうちに終了しました。 セキュリティに関する研究はほとんどありませんが(それほど多くはありませんが)、革新的な技術について多くの美しい言葉があります。 言葉も必要です。必要かどうかにかかわらず、情報セキュリティは純粋に技術的な現象でなくなり、社会的なものになりました。 おそらく、昨年はイベントに参加していたが、今年は参加していなかったためか、今回は少しだけ懐疑的な見方をしているRSAと言葉を交わしています。
これは、最近、情報安全なマーケティングがしばしば奇跡への何らかの期待に基づいているという事実によるものかもしれません。 技術者がプロジェクトの組み立てを待っている間、別のマーケティング担当者は、すべての問題、絶対にすべての問題を飛び越えて解決するウィザードを備えた青いヘリコプターを夢見ています。 しかし、ありません。 夢と過酷な現実の不均衡の良い例は、サイバー防御に移行した将来の技術、特に人工知能と量子コンピューティングに関するセミナーでした( ニュース )。
これらの技術に本当に精通している招待された専門家は、聴衆の熱意をいくらか冷やしました。 要するに、サイバーセキュリティの人工知能は、大量のデータを処理し、異常を検索する場合にのみ役立ちます(具体的には、これらのタスクには誰もが考えているAIは必要ありません)。 スマートマシンが複雑な脅威を個別に検出することを期待しないでください。 そして、いや、量子コンピューティングは、近い将来も遠い将来も、暗号化システムをまだ脅かしていません。 暗号化は、不正なコードと政治家による国家のバックドアの構築の試みによって脅かされています。 セミナーの終わりに、会話はセキュリティ研究者にとって信頼できるデータ保護技術と快適な条件の利用可能性に変わりました-これは改善の必要があるところです。 テクノロジーに関しては、ここで発明するものは何もありません。 働く必要があります。 未解決の問題(暗号化と機械学習技術の両方、および一般的な)ワゴンと小さな台車。 彼らは対処する必要があり、銀の弾丸の到着を待つ必要はありません。
同じトピックについて別のLinus Torvalds が話しました。 コーディングするだけです。
Androidエコシステムのセキュリティと5000のビルド
ニュース 。
GoogleのAndroidの最高セキュリティ責任者であるAdrian Ludwigは、今年RSAカンファレンスを訪れました。彼は、Androidプラットフォームをサイバー脅威から保護する基調講演を行いました。 Googleのイニシアチブはもちろん驚くべきものです。毎日7億5千万台のデバイスでマルウェアがチェックされ、60億を超えるアプリケーションが定期的にスキャンされ、アクティブなデバイスの総数は16億になります。 引用:「[問題]の規模について考えるほど複雑になります。」
Androidセキュリティの3つの主要な作業分野は、プラットフォーム自体の信頼性(読み取り-オペレーティングシステム)、セキュリティサービス、アプリケーションセキュリティです。 後者は、Google Playアプリストアの概念によって支えられています。GooglePlayアプリストアでは、誰もがルールに従ってプレイ(またはプレイしよう)します。 より興味深いサービスで。 Googleによると、ベンダーが存在し、条件付きウイルス対策(および保護技術とサービス全般)の独立したサプライヤーが存在するエコシステムは、MicrosoftとWindowsの大きな遺産であり、異なる方法で行う必要があります。 Googleによると、セキュリティサービス(たとえば、盗まれたデバイスのリモートブロッキング)をOSに統合し、Webへのアクセスを制限するまで、企業データを保護するAPIを大企業に提供する必要があります。
これは大丈夫ですが、Ludwigのプレゼンテーションの1つの数字は、控えめに言っても心配です。同社は、過去2年間に5033種類のAndroidに対処しなければなりませんでした。 はい、確かに、「315のモバイルオペレーター」は、可能な限り迅速にユーザーにセキュリティパッチを提供するために可能な限りのことを行っています。 しかし、それを気にして、5000のアセンブリ! 要約すると、GoogleはAndroidのセキュリティを向上させるために本当に多くのことを行っています。 しかし、同時に(RSA以前の両方で)、GoogleはAndroidのセキュリティをテーマにしたふりをしており、今ではすべてが素晴らしいものになっています。 しかし、これはそうではありません。 プラットフォームの巨大な断片化は、Androidの問題でした。 美しい言葉と合理化された定式では解決できません。 おそらく、プラットフォーム自体を捨てずにこの問題を解決することはできません。 そのような状況では、なだめるような手の動きをするよりも、本当に難しい状況から進む方が良いです。
暗号学者のブルース・シュナイアーがモノのインターネットの州規制を要求
ニュース 。 Bruce Schneierのブログのインストールドキュメント 。
有名な暗号作成者であるブルース・シュナイアーは、昨年11月にIoTセキュリティの州規制が必要であるという考えを初めて表明しました 。 RSAでトピックを開発し、議論をサポートするために、スタンドアロンおよびネットワーク接続デバイス用のソフトウェアの安全な開発に関するさまざまなガイドラインおよびその他の推奨事項の長いリスト(上記のリンク)を提供しました。 一般に、これらを読む必要はありません。すべて既知の脆弱性をコードに挿入しないために、既存のエクスペリエンスを適用し、デバイスのセキュリティなどの独立した評価を促進することになります。
問題があります。これらの美しい言葉は機能しません。 ルーターとIPウェブカメラの形式のIoTは、貧しい予算と微視的なマージンのために中国で作られていますが、良くなることはありません。 このようなデバイスの主な問題はバグでさえありませんが、アップデートのインストールが根本的に不可能であることもあります。 ブルースのスピーチは、Habréに関する私の投稿の下での議論を非常によく補完します: IoTと「 ベンダーにセキュリティを強制する 」について。
モノのインターネットについては、議論はしばしば定義の正しい解釈に帰着します。彼らは「本当のIoT」と「偽物」があると言います。 後者にはルーター、セットトップボックス、カメラが含まれます。これらは実際には機能がわずかに低下したコンピューターです。 共通のネットワークプロトコルをサポートすること以外は、共通点がほとんどありません。 それが、昨年のIoTの投稿で、「かぎ針編みの波が続かないように、「永続的に接続された自律デバイス」の解釈を提案した理由です。 シュナイアーは演説の中で、実際のIoTのさらに別の基準、つまりネットワークに数十億の新しいスマートデバイスを含めることはまだ満たされていないことを認めました。 彼の主張は、IoTが同じ方法で1か所で開発された場合、手遅れになったときに最初の真のグローバルなデジタル黙示録の基礎になるということです。 猫がいる場所がDDoSのために脱落した場合と、冬にサーモスタットが利用できなくなった場合です。
そして、モノのインターネットへの政治的介入に関しては、それはすべて簡単です。 シュナイアーは、他の技術者と同様に、この調整を好まない。 州の機関が来てあなたの好みに合わせてすべてを調整するのを待つことができないようです。 自分で何かを提供する必要があります。 痛みを伴います。安全にはお金がかかります(マイクロマーグを思い出します)。 しかし必要。
免責事項 :このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。