44CON — London — Efter to års pause vendte Londons informationssikkerhedskonference 44CON tilbage den 16.-16. september 2022. Passionerede sikkerhedsevangelister fik selskab af arkitekter og ledere fra førende teknologivirksomheder for at nyde en to-dages festival med cybersikkerhedsforskning fra globale hovednavne. Folk kom for at mødes, lave forretninger, snakke og lære, og 44CON-holdet sørgede for sjov, god mad og underholdning med cybersikkerhedstema.
Det er lidt ligesom Babylon 5 fra det britiske infosec-samfund.
Jeg spurgte Adrian Mahieu, grundlæggeren af 44CON og drivkraften bag konferencens genopstandelse, hvad der motiverede ham til at starte op igen post-COVID. "Jeg ønskede at lave en konference, som jeg gerne vil gå til, med nogle seriøse dybdegående tekniske foredrag, et par interessante sponsorer, som ikke er de sædvanlige mistænkte, du vil se på andre tekniske sikkerhedskonferencer, men mest interessante for mig er at få folk til at tale og lære af hinanden,” siger han.
Dette fokus viser sig selv i enkle aspekter, såsom den måde, konferencearrangørerne viede et stort fællesareal til bordsiddepladser på, så deltagerne kunne dele kaffe, nyde fremragende mad eller bare have improviseret fugle-af-en-fjer-sessioner. Mennesker på alle stadier af deres cybersikkerhedskarriere er til stede, lige fra ivrige nyuddannede, der skaber forbindelser til industriledere, der spotter talent og teambuilding, såvel som et stort antal mennesker, der retfærdiggør beskrivelsen "ekspert".
Flere industrisektorer var repræsenteret, herunder broadcast-underholdning og cloud-tjenesteudbydere. "Jeg fortæller sælgerne, at det eneste, de skal medbringe, er en kulisse til deres udstillerbord," forklarer Mahieu. "Jeg ønsker ikke, at de store paladsagtige boder optager det fælles rum, jeg vil have, at alle er frie til at tale sammen!"
Aftenens underholdning inkluderede et krigsspil for sikkerhedskommunikation designet og hostet af innovative spiludviklere Sten papir saks. Threat Condition simulerer de problemer og problemer, der opstår efter et omdømmeskadende cyberangreb og fremhæver de deraf følgende organisatoriske og kommunikationsmæssige udfordringer. SPS designede, hvad jeg tror, kan være det bedste krigsspil, jeg nogensinde har set, ved katastrofe-gendannelse på bord.
En ting, der adskiller 44CON fra andre konferencer, er dets COVID-19 forholdsregler. 44CON installerede kraftige luftrensere i hele spillestedet for at give ren, åndbar luft til deltagerne.
Chatham House Chats
Drøftelser afholdes under Chatham House regel, der giver folk mulighed for at tale og dele deres forskning frit. I den egenskab kunne jeg føre en dybdegående samtale med en af verdens cloud-sikkerhedseksperter. Vi diskuterede, hvilken type begivenheder han ser, og hvilke der er "brandalarm"-begivenheder.
"Identitet er altid først," sagde han. "Vores CIRT reagerer på få minutter på et legitimationslæk på et offentligt kildekodelager." Når man overvejer identitet-først-sikkerhed, bliver problemet med snedkere, flyttemænd og forladere stort, da alt, hvad cloud-tjenesteudbyderen ser, er et symbol. "Vi står over for et valg, når vi skal justere tokens levetid - for kort, og brugeroplevelsen bliver dårlig med alt for hyppige login-udfordringer; for lang, og tokenet bliver sårbart i sådanne tilfælde som endpoint-tyveri." Risikovurdering af hver transaktion fra slutpunktet er mulig. Men i betragtning af bredden af aktivitet for enhver cloud-tjenestebruger, styrter dette hurtigt ind i sikkerhedens skalerbarhedsbarriere.
Altid nysgerrig efter, hvordan insider-problemet udvikler sig, benyttede jeg lejligheden til at spørge, hvordan førende cloud-tjenesteudbydere adresserer traditionelt vanskelige problemer såsom DLP, og hvordan det migrerer i et cloudmiljø. Mange sikkerhedsudøvere har stadig problemer med at konvertere deres gamle tankegange til en cloud-native. Min sikkerhedsekspert var ivrig efter at illustrere: "Vi ser et almindeligt problem, hvor en forretningsapplikationsbruger vil eksfiltrere information til personlige AWS-bøtter. Det betyder, at cloud-loggen er i deres personlige bøtte, og virksomheden har ingen synlighed af den. Der er dog et simpelt svar - vi råder erhvervskunder til at oprette en servicebevidst politik, der begrænser bucket-adgang til virksomhedsejede buckets."
Hvad dette betyder er, at mange sikkerhedsudøvere stadig er begrænset til ældre tænkning og arkitektoniske modeller, hvoraf en nøgleindikator er, når praktikere forsøger at filtrere baseret på IP-adresse, dybest set forsøger at genskabe deres traditionelle datacenter i et cloud-tjenestemiljø. Cloud-forekomster er flygtige af natur, hvilket giver kyndige arkitekter og udviklere mulighed for at oprette og ødelægge forekomster efter behov. IP-adresser er bare ligegyldige i denne sammenhæng.
Deltagelse og præsentation
Capture-the-flag (CTF)-begivenheder er en fast bestanddel for mange cybersikkerhedskonferencer, men selv her har 44CON sit eget spin. Dette års CTF blev organiseret af Trace Labs, en canadisk non-profit organisation, der samarbejder med retshåndhævende myndigheder for at udnytte kraften i crowdsourcet OSINT-indsamling til at hjælpe med igangværende efterforskninger af savnede personer. I stedet for at kaste deres udnyttelsessæt mod et mål, blev deltagerne inviteret til at "bruge deres kræfter til det gode" og tage sager om virkelige savnede personer og jage efter manglende stykker open source-intelligenseller flag. Jo flere flag et hold finder, jo flere point får de, alt imens det hjælper med at gøre databasen over forsvundne personer mere komplet.
Og gemmer det bedste til sidst - samtalerne! Med overskriften af James Forshaw fra Google Project Zero var fremragende præsentationer til rådighed, hvilket giver os alle mulighed for at lære om det seneste inden for sårbarheder og udnyttelse, uanset om du er en rød eller blå holdspiller. Erlend Andreas Gjære, medstifter og administrerende direktør for sikkerhedsuddannelsesrådgiveren Secure Practice, talte om behovet for en menneskelig berøring inden for cybersikkerhed, og den mystiske fremmede, der kun blev identificeret som "cybergibbons", forklarede, hvordan han tog kontrol over krydstogtskibe, olierigge og andre handelsflådefartøjer i en tale kaldet "Jeg er kaptajnen nu!"
Sidst men ikke mindst var et inspirerende foredrag af Haroon Meer, som afsluttede konferencen med at opfordre alle deltagerne til at slippe deres innovation løs og skabe sikkerhedsprodukter, som verden har brug for. Meer observerede, hvor mange af de produkter, der i øjeblikket er på markedet, er slangeolie, som sælges af folk, som du ikke ville efterlade alene i dit hjem med din bedstemor. Han påpegede også, at vejen til en profitabel SaaS-forretning ganske enkelt er at finde noget, som 1,000 mennesker gerne vil bruge - muligvis det bedste råd til spirende iværksættere siden Ron Gulas fem-slide pitch-dæk.
