Från praktiker till politiker, vi saknar infosec ledtråd behövs

Om du tog dig tid att läsa alla informationssäkerhet förutsägelser som översvämmade ut runt början av det nya kalenderåret, kommer du att ha klart intryck av att sakernas Internet (IoT) kommer att vara en av våra största utmaningar i 2015. sakernas Internet innebär många, många fler nätverksanslutna enheter, de flesta av dem från företag utan en meritlista att säkra inbäddade hårdvara – så många attraktiva mål, så svårt att försvara.

Politik

Med tanke på att teknikleverantörer och analytiker tillbringade större delen av 2014 talar om för oss att sakernas är både stora och oundvikliga, det är bara naturligt att säkerhetsföretag berättade det är också skrämmande – och att vi behöver deras skydd.

Men som jag skrev i All aboard sakernas Internet infosec hype tåg, har vi fått höra om hotet av attacker via våra internetanslutna enheter för år, men de har aldrig riktigt förverkligats. Varför? Eftersom skurkarna är alltför upptagen med att göra bra pengar med hjälp av sina nuvarande metoder. Varför skulle de slösa bort sin tid på att utveckla nya attacker när de gamla fungerar fortfarande så bra?

IoT är egentligen bara en annan stegvis ökning av komplexiteten i den uppgift som proffs informationssäkerhet – flera enheter, fler typer av enheter, fler anslutningar för olika ändamål – om än en stor ökning. Det är bara en av många stegvisa ökningar i utmaningen från den stadiga ökningen av antalet och intensiteten av distribuerade denial-of-service (DDoS) attacker till allt allvarligare skador på rykte företag som orsakas av hacktivists och slumpmässiga vandaler.

Nej, de verkliga informationssäkerhet utmaningarna för 2015 handlar om politik och människor.

För ett år sedan skrev jag att 2014 skulle bli det år då informationssäkerhet blev politiskt. Edward Snowden uppenbarelser om övervakning av US National Security Agency (NSA) och dess fem Eyes allierade skulle ta centrum, naturligtvis. Men några av de andra politiska frågor som hade suttit på sparlåga skulle komma mer i fokus, alltför – från obligatorisk lagring av uppgifter till obligatorisk dataintrång anmälan till allmänhetens ökande medvetenhet om att de ger bort sitt privatliv för “gratis” internettjänster, till ökande medvetenhet om att attacker från tonåringar mot nationalstaterna fortfarande få igenom deras försvar trots alla pengar de spenderar.

Och så hände det sig. Med hacka blir mer politiskt, politikerna kom ut för att leka. Hacka på Sony Pictures, hänföras till Nordkorea i vad som var förmodligen en politiskt motiverad attack, utlöst ett politiskt svar från den amerikanska administrationen. Storbritanniens premiärminister David Cameron kom ut mot stark kryptering. Och USA: s president Barack Obama ägnat en del av sitt State of the Union-tal till några stora retorik om hotet från “cyberattacker”.

“Inga främmande nation, ingen hacker, ska kunna stänga av våra nätverk, stjäla våra affärshemligheter, eller invadera avskildheten amerikanska familjer, särskilt våra barn. Så vi att se till att vår regering integrerar intelligens för att bekämpa cyberhot, bara som vi har gjort för att bekämpa terrorism “, sade Obama.

Säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer, säkerhet, Pentagon kritiseras för cyber -emergency svar av regeringen vakthund

“Om vi ​​inte agerar kommer vi att lämna vår nation och vår ekonomi sårbar. Om vi ​​gör, kan vi fortsätta att skydda den teknik som har loss otaliga möjligheter för människor runt om i världen.”

Vad Obamas ord betyder i praktiken återstår att se, naturligtvis, liksom de andra politiska ledare. Men det är klart att politikerna kommer att agera, eller försöka att agera, och den stora frågan är om de kommer att få det rätt.

Det är verkligen en mycket, mycket ledsen anklagelse mot hela oaktsamhet som har hänt på en politisk nivå fram till denna punkt

“Internet kommer att få allt mer politiskt, eftersom det är liv”, sade James Turner, säkerhetsrådgivare med konsultföretaget IBRS och ordförande i stödgrupp Australian Information Security Association (AISA).

“Det är det som gör mig att skratta när jag hör folk prata om sakernas Internet och allt sånt, eftersom det är vad det alltid kommer att vara,” Turner berättade webbplatsen.

“Politiker bli omvald om de gör oss känna sig säkra, och att vi har tagit hand om. Så vad är de stora saker? Terrorism, naturligtvis. Och sedan finns det cyber hot. Så politiker naturligtvis investerat i det, eftersom det är ett sätt för dem att se ut som de faktiskt gör något. ”

Men problemet är att politikerna inte har en verklig förståelse av de frågor och att deras lösningar är ofta lite mer än reflexmässiga reaktioner. Turner beskrev Camerons tankebubbla om att förbjuda stark kryptering i ett ord: “. Dumb” Han är lika svidande av den australiska regeringen ger operatörer bara några dagar för att svara på deras förslag om obligatorisk lagring av uppgifter.

“Kom igen, vad fan? Det är galet”, sade han.

“I många avseenden, de saker som vi har nu, liksom skjuter för obligatorisk dataintrång anmälan, datalagring, galen saker som” Låt oss förbjuda kryptering “och så vidare, är det som plötsligt politikerna har vaknat och gått, “Min Gud, vi är 20 år i internet sak, måste vi börja clawing tillbaka en viss kontroll.” Det är verkligen en mycket, mycket ledsen anklagelse mot hela oaktsamhet som har hänt på en politisk nivå fram till denna punkt, “sade Turner.

En fråga som politiker mycket väl kan välja att ta itu med 2015 är anonymitet och identitet online.

Finansiella tjänster organisationer är redan bekant med Know Your Customer (KYC) bankregler, och de regler som omväxlande kallas mot penningtvätt (AML), anti-finansiering av terrorism (ATF), och terrorismbekämpning finansiering (CTF), såsom som Australien Anti-penningtvätt och kampen mot terrorism finansieringslagen 2006. med regeringens ökade fokus på terroristbekämpning åtgärder, skulle fokus väl öka till mer än bara penningflödet. Och även utan hänsyn till hotet från terrorismen, som mer verksamheten bedrivs på nätet, mer bedrägerier och andra brott kommer också att gå på nätet – och förr eller senare kommer regeringar måste ses agera.

“Regeringar runt om i världen inser att det finns ett akut behov av att vara mer strukturerat, att tillhandahålla tillförlitlig information för verifiering av identitet”, säger Rodolfe Belin, grundare av My Verified ID, en Sydney-baserade företag som tillhandahåller system för identitetskontroll som en tjänst.

“Du ser fler och fler länder som kommer till området för identitetskontroll på nätet varje månad. Det utvecklas mycket snabbt … Det är därför vi kallar Know Your Customer politik och efterlevnad är något som alla borde vara oroliga” Belin berättade webbsajt.

Medan Belin verksamhet skulle naturligtvis dra nytta av ökad användning av identitetsverifiering, ser han både kommersiella och moraliska förpliktelser involverade. Problemet som Belin har observerats under de senaste sex månaderna eller så är att vissa privata företag sektorn är oroade över kostnaden för att genomföra KYC politik – inte de direkta kostnaderna för att genomföra själva tekniken, som Belin beskriver som “små”, utan snarare de indirekta kostnaderna för påverkan på sina intäkter.

Vi står inför scenarier där online företagare tjänar pengar från brottslig människor att skapa falska konton, eller handel under alla typer av falska identiteter “, säger Belin.” Så länge som de har i sina villkor en klausul som säger, “Ja , är vi inte ansvariga för det, fortfarande gör de pengar från personer som använder deras tjänster. Så det är en fråga om moral följs.

Med tanke på regeringarnas naturliga motvilja mot anonymitet, och med tanke på att min Verifierad ID och andra leverantörer utan tvekan kommer att arbetar hårt – Belin redan kräver regeringen “uppmuntran” i detta avseende – mer omfattande spridningen av KYC kan mycket väl vara oundviklig.

Underliggande allt detta, dock, oavsett om detaljerna i hur det politiska landskapet kan utvecklas, är den fortsatta bristen på yrkes informationssäkerhet, något som Turner sade håller honom vaken på natten.

“Var min inre på är bristen på fenomenala färdigheter som Australien har nu, att folk slags gett läpparnas bekännelse till men ingen har riktigt tänka på, och hur det kommer att skala ut under de kommande fem åren”, sade han på webbplatsen.

Om ett par organisationer blev påkörd samtidigt, och alla dina säkerhets konsulter ute hela fick telefonsamtal på en gång, skulle det inte finnas tillräckligt många människor att gå runt.

Turner har övervägt tre nyckelkrav för en sammanhållen informationssäkerhet hållning. En är det tillräckligt många människor för att effektivt utföra på grunderna i lappning och upprätthålla åtkomstkontroller som utgör kärnbegränsnings strategier såsom australiska Signaler direktoratets Top Four? Två, när dessa säkra kontroller misslyckas, eftersom de oundvikligen kommer, finns det tillräckligt många människor att faktiskt göra incidenthantering? Tre, finns det tillräckligt många människor inom säkerhetsbranschen, i alla organisationer, som exakt kan översätta teknisk risk för affärsresultat?

Jag tror inte Australien har fått tillräckligt många människor som är bra på sitt jobb i vart och ett av dessa tre områden just nu, och jag kan inte se hur det kommer att förändras i vår fördel under de kommande åren “, säger Turner.” Utmaningen kommer att vara att regeringen förmodligen kommer att försöka bidra till att mildra en del av dessa problem med lagstiftning, och det är naturligtvis inte kommer att hjälpa.

“Till att börja med, att människan bara en grundläggande 24/7 operation, behöver du åtta personer omedelbart. Så vi inte har kapacitet att göra det, och vi vet att vi kommer att ha en säkerhetstillbud vid någon tidpunkt, så vi behöver telefonnummer för människor som vi kan ringa och har en befintlig anordning, så att när vi kallar dem, har vi fått en SLA för när de ska ha stövlar på marken. ”

Personer

Turner har forskat de företag i Australien som kan arbeta för att dessa SLA och ger dessa stövlar på marken. Vad han upptäckt är oroande.

“Vet du vad, om ett par organisationer blev påkörd samtidigt, och alla dina säkerhets konsulter ute hela fick telefonsamtal på en gång, skulle det inte finnas tillräckligt många människor att gå runt,” Turner berättade webbplatsen.

“Jag har fått höra om i Amerika som de stora konsultföretagen borta har berättat sina stora organisationer finns det en tre månaders väntelista för incidentresponsteam. Det är inte en incidenthantering, det är en obduktion.”

Hur detta panorera i Australien? Vi vet inte ens ännu, eftersom det inte finns någon obligatorisk dataintrång rapportering. Finansiella tjänster och nationella säkerhetsorganisationer skulle förmodligen vet vad som händer i deras sektorer, men det finns ingen insyn eller sikt.

“Ingen har fått en fullständig bild av omfattningen av problemet att vi faktiskt arbetar med just nu, aldrig tänka vad vi kommer att ha att göra med i fem års sikt”, säger Turner. Men ordet är, informationschef väktare (CISOs) är redan behöva ha svåra samtal med sina personalavdelningar, försöker förklara att de behöver för att erbjuda ännu mer pengar för att locka kvalificerad och erfaren infosec personal.

Enligt svenska informationssäkerhet professionell Andreas Lindh, är en del av problemet att vi gjorde misstaget att sätta all vår tillit till maskiner – brandväggar, antivirus, IPS / IDS, och så vidare – medan försumma att investera i människor och kompetens. Vi verkar inställd på att göra samma misstag igen.

Säkerhetsprodukter [har] blivit marknadsförs och säljs som “lösningar” snarare än verktyg, kraftigt automatiserad och inte riktigt mycket att arbeta med. På grund av detta har de betraktats som infrastrukturkomponenter snarare än program, du bara installera och konfigurera dem, och sedan låta dem göra sin magi “Lindh skrev på bloggen 3vildata.

“Saken om att köpa automatiserade lösningar är att det tar bort incitament att investera i kunskap om problemet lösningen skulle lösa. Varför betala pengar så att någon kan lära sig att lösa ett problem som redan har lösts, eller hur? För en företag, gör detta helt logiskt, och för ett tag fungerade. ”

Resultatet har dock varit att organisationer befolkas av informationssäkerhet anställda som kanske vet hur man driva instrumentpaneler, men kan inte förstå den bakomliggande orsaken till de problem som de visas.

“Vissa leverantörer fortfarande gör” här är vår senaste produkt som kommer att lösa alla dina problem “sång och dans, och människor fortfarande köpa det. Detta innebär att mycket industri som lider av bristen på kompetens faktiskt bidrar till det. Och ja, du skulle kunna hävda att det är köparna själva som är ansvariga för att förstå behovet av färdigheter samt produkter, men det är inte riktigt hur världen fungerar. om inte säkerhets människor berätta organisationer som du faktiskt behöver för att förstå klientsäkerhet att göra gott klientsäkerhet, det är bara inte kommer att hända “, skrev Lindh.

“[I] t är ganska farligt att förlita sig på produkter som du inte har någon aning om vad de gör. År 2015, möjlighet att låta en produkt lösa säkerhetsproblem på egen hand finns inte. Kanske är det aldrig gjorde.”

Turner är bekymrad över att försöka åtgärda problemen, kommer regeringar att göra saken värre genom en brist på samråd.

“Det finns en mängd saker att internet bara kommer att bli påverka massivt -. Varje enskild aspekt av det Så för politikerna att inte vara över det, och att bara gå,” Ja, ja, vi ska låta det hela själv -regulate och panorera i slutändan “? Nej, de kommer aldrig att göra det”, säger Turner.

“[Regeringen] därefter kommer att vilja ses för att göra något, och göra något konstruktivt. Och om det inte är att tillräckligt informerade, då det riskerar att svara på antingen fel önskemål, eller försöker sätta i lagstiftningen som faktiskt inte hjälpa någon alls. ”

Från denna författare perspektiv, verkar det som i 2015, kommer organisationer måste se till att regeringarna får goda råd, inklusive deras egna synpunkter. Företagen kommer att behöva börja bygga kompetensen hos sina datasäkerhets lag. Det kommer alla att ta tid.

Så tills dess? Korsa fingrarna och hoppas att skurkarna träffa dina konkurrenter först.

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Pentagon kritiserats för cyber nödsituationer av regeringen vakthund