IT Security: la fine del medio evo (RSA Conference 2015)
Potrebbe essere una svolta epocale nella cybersecurity: la fine del medio evo della sicurezza informatica!
Amit Yoran, il nuovo Chairman di RSA ha detto tre cose importanti nel suo bellissimo keynote ieri 21 aprile 2015.
Ancora non è disponibile il video ma la trascrizione http://charge.rsa.com/amit-yoran-keynote/
- Stiamo perdendo la battaglia contro gli hackers: la tecnica delle firewall non funziona. Nel 95% dei casi vengono bypassate usando credenziali autentiche sottratte mediante attacchi di social engineering. Vengono costruiti portoni blindati e muri informatici circondati da fossati profondi pieno di coccodrilli (informatici), come nel medio evo. Ma il nemico entra dalla porta principale ed è già ovunque dentro le mura informatiche. Occorre studiare soluzioni di sicurezza che prendono atto di questo stato di cose: le mappe militari che usiamo per definire la sicurezza informatica non sono aggiornate e non descrivono il campo di battaglia. Due sono gli unici possibili pilastri della riscossa oggi: identità/autenticazione digitale e mettere in relazione i dati con i percorsi che i dati seguono.
- Identità digitale. Occorre disporre di una definizione di identità digitale che sia affidabile ma anche vera. La parte facile è “affidabile”: la crittografia risolve il 99,99% dei problemi. La parte difficile è “vera” un numero o una chiave crittografica non sono una identità: sono uno strumento di identificazione. È una differenza enorme, ma poco compresa. Il problema della “verità” dell’identità non è un problema tecnologico, è un problema linguistico, culturale e giuridico.
- Mettere in relazione i dati con i percorsi che i dati seguono. Significa che la sicurezza informatica di domani assomiglierà meno a un piano di difesa di una città sotto assedio e molto più a un codice della strada, che stabilisce dove possono camminare i pedoni, dove le auto, dove i camion, e con tutte le regole su velocità, controlli di sicurezza, ecc. ecc.
http://www.usatoday.com/story/tech/2015/04/21/rsa-amit-yoran-computer-security-failed/26139927/
http://fortune.com/2015/04/21/rsa-conference-amit-yoran-keynote/