`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Дмитрий Гриненко

10 мифов безопасности в ИТ

+99
голосов

Мифы обладают удивительной способностью распространятся так широко и укореняться столь глубоко, что становятся похожими на правду. Не стала в этом смысле исключением и мифологизация некоторых заблуждений в вопросе обеспечения безопасности в ИТ. Рассмотрим 10 самых, пожалуй, наиболее распространенных.

Безопасности не бывает много

Американский криптограф, писатель и специалист по компьютерной безопасности Брюс Шнайер (Bruce Schneier) разъясняет, почему на самом деле методика «много не бывает» при защите ИТ-систем не работает: «В сфере безопасности больше далеко не всегда означает лучше. Во-первых, безопасность всегда требует тщательного просчета – дополнительные решения могут попросту не окупиться. К примеру, не следует выделять десятки тысяч долларов на обеспечение защиты нескольких килограмм обычных яблок. Конечно, яблоки будут защищены достаточно надежно, но намного логичнее было бы вначале оценить степень потенциальной опасности, и уж потом подбирать соответствующие способы защиты. Кроме того, дополнительные средства обеспечения безопасности означает уменьшение прибыльности. Возьмем, к примеру, магазин самообслуживания, который задался целью снизить уровень краж на 25% и выделяет на это определенные денежные средства. Однако, попытка уменьшить кражи еще на столько же повлечет за собой гораздо большие затраты. Всегда существуют некоторые пределы разумного, переступать за которые бессмысленно. Аналогично – не существует ничего абсолютно безопасного».

DDoS? Расширяйте каналы!

По словам Карла Херберга (Carl Herberger), вице-президента по защитным решениям компании Radware, «В нашей жизни существует множество мифов, правдоподобность которых ежедневно проверяется реальной жизнью. Одним из них является уверенность ИТ-администраторов в том, что атаки DDoS не страшны для обладателей достаточно широких каналов связи. На самом деле, опыт прошлого года убедительно продемонстрировал, что свыше половины атак DDoS приходится на конкретные приложения, а не на каналы связи вообще. Атакующие направляют удары в уязвимые места определенной программы или нескольких программ одновременно, нарушая ее (их) работоспособность. В таких случаях широкий канал скорее поможет нападающему, а не защищающемуся. На сегодня всего примерно в четверти случаев атак DDoS более широкий канал стал бы каким-то спасением».

Смена паролей каждые 30 дней

Глава RSA Laboratories Ари Джуелс (Ari Juels) подчеркивает: «В какой-то мере это сродни советам «Как сохранить здоровье? Пить 2 литра воды в день». На самом деле никто точно не знает, откуда появился этот совет. Обязательная замена паролей каждые 30 дней может применяться в определенных случаях, связанных с действительно высоким риском. В обычной же жизни постоянная смена паролей может, наоборот, привести к снижению эффективности защиты. Оптимальным средством поддержания безопасности на должном уровне является замена паролей каждые 90-120 дней».

Виртуализация – спасение от частных «железок» на рабочем месте

Аналитик Gartner Джон Прескаторе (John Pescatore) обращает внимание на все шире распространяющуюся сегодня уверенность в том, что решением растущей тенденции использования частного устройства сотрудника в качестве основного рабочего инструмента (принцип BYOD – bring your own device) является запуск на них двух независимых виртуальных машин: приватной и служебной, используемых соответственно, в том или ином случае. Исследователь скептически относится к такой идее.

По его словам, «ту же концепцию пытались некогда применять американские спецслужбы. Национальное агентство безопасности США, нанявшую небольшую (на тот момент) компанию Vmware для разработки продукта под названием NetTop, предназначавшегося для аналитиков служб. С помощью NetTop на ПК создавались отдельные виртуальные машины для документов и проектов под грифам «Секретно», «Совершенно секретно» и «Неклассифицированные», что приводило к возникновению многочисленных проблем. Сотрудники спецслужбы частенько нарушали порядок работы (вначале в среде «Секретно», потом в «Совершенно секретно» и т. д.), раз за разом путая среды и помещая документы с другими грифами в «чужую» виртуальную машину.

С большой долей вероятности, указывает Джон, то же самое будет происходить и с виртуальным разделением работы и развлечений. Первая проблема, с которой возникнут сложности – клиентская виртуализация электронной почты. С ней нужно работать не только в корпоративной, но и в личной среде, причем необходимо обеспечить прозрачный перенос из одной среды в другую, для чего пользователь воспользуется обычным USB-накопителем и вся идея «разделения» окажется под угрозой. В итоге виртуализация стала очередным примером в пустую потраченных средств – хотя именно специальные службы кажутся идеальным кандидатом для их использования, NetTop получил очень незначительное распространение».

Генератор случайных паролей – идеальное пользовательское средство

По мнению Кевина Хейли (Kevin Haley), возглавляющего центр Security Response в Symantec, полностью случайные пароли, конечно, сильнее традиционных. Но у них есть и недостаток: их сложно запоминать и вводить. «С помощью несложных методик можно достаточно легко создавать пароли, по силе нисколько не отличающиеся от случайных, но значительно более легкие для запоминания. Создайте пароль в котором будет легкая для запоминания фраза, состоящая по меньшей мере из 14 символов, причем в них должны применяться заглавные и строчные буквы, две цифры и два специальных знака.

Все вирусы на компьютере подают признаки существования

«Мой любимый миф – что каждый компьютерный вирус обязательно даст знать о себе сообщением на дисплее, исчезновением файлов, а в отдельных случаях вообще взрывом ПК, – отмечает Дэвид Перри (David Perry), президента американского подразделения G Data Software. – Причем это заблуждение распространяется на любые проблемы с компьютером: пользователи винят во всех бедах вирусы. В свою очередь отсутствие проблем означает для них, что их системы полностью свободны от любого вредоносного кода».

Нас незачем атаковать

«Первое, что чаще всего слышишь от жертв киберзлоумышленников: «Меня-то за что?», – говорит Алан Брилл (Alan Brill), один из владельцев специализирующейся на оценке рисков компании Kroll. «Почему-то люди считают, что никто даже и подумать не может о том, что они владеют чем-то ценным. По мнению одних, такая маленькая фирма как их никого не заинтересует. Другие полагают, что не хранят ни номеров кредитных карт, ни других опасных или ценных данных. Чаще всего, ошибаются и те, и другие».

Современное ПО такое же «дырявое», как и много лет назад

Многие почему-то уверены, что если в современных приложениях находят бреши в защите, это означает, что на протяжении многих лет ничего в этом вопросе не поменялось. Гэри МакГроу (Gary McGraw), технический директор специализирующейся на безопасности и оценке качества ПО компании Cigital, уверяет, что ничего подобного. «Параметр плотности ошибок в программах существенно снижается, причем постоянно. Сегодня методы разработки безопасного исходного кода известны намного лучше, чем 10 или 20 лет тому назад, а специальные средства доступны каждому желающему. Но по сравнению с эпохой Windows 95 создается так много кода – буквально квадратные километры – что избежать брешей невозможно».

Передача информации через SSL абсолютно безопасна

«Компании обычно применяют SSL для передачи важной информации клиентам или получения ее от них, причем они считают этот способ абсолютно безопасным, – подчеркивает Райнер Эндерс (Rainer Enders), технический директор NCP Engineering, разработчика ПО для безопасного обмена сообщениями в Интернете или публичных сетях. – Со временем в SSL были найдены слабые места и в прошлом году жертвой манипуляций с этим протоколом стал банк Citigroup (и не он один). Недавно швейцарские ученые опубликовали документ, в котором разъяснялись принципы перехвата передаваемых через SSL данных с помощью ряда брешей, имеющихся в модулях шифрования, в частности, AES. В свете возникших сомнений в SSL возможным решением мог бы стать отказ от повторного использования ключа для подписывания разных документов. Еще одним мифом буквально до недавнего времени была неуязвимость подтвержденных сертификатов СА. Прошлогодние атаки на центры сертификации окончательно подорвали эту веру».

У нас брандмауэр, мы в безопасности!

Кевин Батлер, эксперт по вопросам безопасности Университета Арканзас, свыше 10 лет администрировавший брандмауэры, утверждает, что с работой этих устройство связано множество заблуждений. «В некоторые из них я и сам верил, причем на протяжении долгих лет. Среди моих любимых мифов – брандмауэр это опорный столб безопасности, и в случае правильной настройки он защитит от любых неприятностей. Что касается последнего, то тут достаточно вспомнить о вредоносных приложениях, включенных «внутрь» сессии SSL, успешно проникающих таким образом на рабочие станции. Еще одним мифом, связанным с брандмауэрами, является уверенность, что с ним не нужен антивирус. Для «комплекта» – утверждения некоего производителя, что его брандмауэр защитит даже от атак класса «нулевого дня». Не следует считать брандмауэр решением типа «подключил и забыл».

+99
голосов

Напечатать Отправить другу

Читайте также

>>Передача информации через SSL абсолютно безопасна
У некоторых интернет-магазинов, не говоря уже про самые обычные сайты, даже SSL-авторизация отсутствует :(

>Передача информации через SSL абсолютно безопасна


На самом деле немного сгустили краски: вот.
 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT