2010 RSA大会:安全与流媒体相关吗?

而数字版权管理(DRM)在流媒体上进行了详细的讨论.Com留言板和邮件列表, 偶尔也会出现在杂志和网络文章中, 流媒体行业内部关于安全的总体讨论很少被讨论.

了解更多关于流媒体安全的潜力, 以及我们在国家重要内容交付安全方面的相互作用, 我一直在参加RSA会议——由RSA组织的, EMC的安全部门, 在旧金山. 我在那里发现的东西很有趣.

第一个, 政府机构共同努力保护自己的资产和企业公民的资产.

霍华德•施密特, 谁是白宫的网络安全协调员, 用他的主题演讲来提醒与会者——其中包括来自不同联邦政府的安全专家, 国家和地方机构以及私人公司代表提醒观众，有效的安全战略需要政策和实施的共同努力.

施密特说:“伙伴关系和透明度是齐头并进的. “如果政府希望私营企业协助确保网络安全, 我们必须有透明度. 我们需要能够寻求与工业界、政府和学术界的创新伙伴关系."

施密特宣布部分解密本届政府和上届政府所称的“综合国家网络安全倡议”, 其中有12点是保护美国境内的内容以及大使馆和联合国手中的内容所必需的.S. 美国以外的公司.S. 边界. 施密特说，企业间谍活动和政府间谍活动一样普遍.

第二个, 进一步阐述施密特关于商业间谍的说法, 人们越来越担心企业攻击的复杂性，这些攻击不仅仅是对公司防火墙的暴力攻击，目的是访问公司的内部网和文件服务器.

“极光行动”
最近的和, 有人会说, 最复杂的商业间谍案已经在新闻上出现了好几个星期.

因其广泛的攻击范围而被称为“极光行动”, 这次攻击成功地从多达100家大型软件公司获取了用户名和密码. 在“极光行动”中受到密切关注的一个领域是，每个组织中的关键人物都受到了恶意软件的攻击，这些恶意软件根据他们的兴趣或工作描述进行了调整, 试图让初始有效载荷进入公司的防火墙. 至少有一个实例包括提供需要下载插件的流媒体内容.

最著名的“极光行动”攻击发生在谷歌, 当该公司声称黑客来自中国，并利用这些漏洞来识别中国境内拥有Gmail账户的人权倡导者和持不同政见者时，他们的入侵引发了国际新闻.

在RSA的一次演讲中, McAfee公司的乔治·库尔茨指出，安全漏洞更常被用于泄露(窃取或利用)计算机程序的源代码.

在几个案例中, 攻击者执行精确攻击以获得源代码管理系统(scm)的访问权。,库尔茨说。, 谁是迈克菲的首席技术官. SCMs保存着源代码，这是任何科技公司皇冠上的宝石. 在我们对攻击的分析中，我们发现攻击者经历了几个环节，最终危及目标组织的SCM用户系统. 这意味着攻击者现在可以访问SCM系统，并且可以抽取源代码或, 更糟糕的是, 修改和添加代码."

考虑到组成软件即服务(SaaS)的数百万行代码, 桌面或移动应用程序, 这些攻击意味着公司可能不得不在将代码发布给最终客户之前重新评估代码, 以避免进一步危及其他机器的病毒或僵尸网络攻击启用程序.

流媒体行业如何防止攻击?
流媒体行业可以通过两种方式来解决“极光行动”(Operation Aurora)攻击带来的担忧:一是考虑对内容进行完全的端到端加密, 还有传输路径的加密, 并使用可信的识别系统.

前, 完全端到端加密, 正在通过与Flash Access 2的绑定进入流行的流媒体服务器，如Adobe的Flash Media Server (FMS).0. 而fms3.该公司已经在传输流上使用了AES 128位加密宣布在10月份的Adobe MAX会议上，该公司宣布将在Adobe Flash Player 10发布时对内容本身进行比特级加密.1和HTTP流宣布. 根据… 博客根据丹·雷伯恩的说法，这应该在下个月发生.

关于可信识别系统的使用, 有几种方法可以做到这一点, 这些都与流媒体传输和消费有关.

第一种是通过使用多因素身份验证解决方案. 这种类型的解决方案在安全行业中已经被一些公司推广开来，这些公司的产品被联邦机构使用, 金融服务, 医疗保健公司, 每个人都需要为客户提供访问敏感个人材料(如社会保障福利)的门户, 银行对账单, 病人的健康记录.

支持HIPAA医疗记录隐私和安全遵从性需求的双因素身份验证平台, 例如, 其中，客户创建自己的用户名和密码，然后发送带有临时密码的电子邮件或SMS文本，必须输入临时密码作为第二种身份验证形式.

比如Anakam公司, 谁的多因素身份验证服务广泛应用于医疗保健和银行业, 还提供交互式语音应答(IVR)电话呼叫，用于初始设置或在检测到试图更改密码或从外部位置登录时发出警告. 还可以将解决方案设置为在特定时间超时, 它可以提供额外的DRM级别，而不是基于设备锁定的限制.

解决这个问题的另一种方法是通过代码加固. 在最近由Infragard纽约分会主办的“极光行动”网络研讨会上, Adobe宣布正在研究Flash和Acrobat的漏洞.

第三种方法是使用一种类型的可信系统，该系统使用已知的标识来加速跨多个门户的访问. 在RSA大会上，一群业界重量级人物宣布了这样一个解决方案:CA, Equifax, 谷歌, 贝宝, 威瑞信和威瑞森宣布成立开放身份交换(OIX), 这是一个非营利组织，由博思艾伦咨询公司帮助管理，以确认从一个可信站点到另一个可信站点的凭据.

一个恰当的例子可能是将OpenID登录绑定在一起的能力, 比如Gmail用户名和密码, 使用信息卡(通常称为令牌)，采用基于该组织所称的开放身份信任框架(OITF)模型的双因素身份验证形式.

“该框架定义了身份证明, 安全, 以及身份服务提供商必须遵循的隐私策略，以达到指定的保证级别,OIX集团在一份新闻稿中说. “在某些情况下，它还将指定身份服务提供商和依赖方必须遵循的数据保护政策，以达到指定的保护水平."

为了达到一定程度的保证，即请求方是他们所说的那个人, 除了需要对内容进行一定程度的保护(例如我们在流媒体内容的数字版权管理中看到的被锁定在特定设备或时间框架上)，最后需要的是“信任框架的评估者——一个具有专业经验的人或公司，以评估身份服务提供商或依赖方是否遵守指定的政策。."

信任框架旨在发布并可公开访问, 符合信托框架中规定的资格的评估员名单也将列出. 和, 如果发生违约, OITF包括审计员和争议解决服务提供商的角色，以协助对信任框架参与者进行持续评估，并解决可能出现的任何争议."