Názory k článku Bezpečnost a marný boj s nahodilostí
-
anonymní"Dobrý správce musí mít zabezpečenou infrastrukutru..." atd.
Ukažte mi takového správce, jestli někde exituje. Já znám jen takové experty, kteří klidně smažou Vámi naisntalovaný Firefox nebo Lynx. A melou si přitom kecy o bezpečnosti.
A výsledek, když náhodou se dostanete na podzřelé místo nebo mail, tak nemáte možnost se na to nejprve podívat opatrně jinak. Například jen přílohu dopisu rozkódovat Total Commanderem, protože opět ten nesmíte mít na počítači.
V zásadě tedy protestuji proti neznalosti uživatelů. Největší problémy plynou z imbecilních správců sítí a softwaru, kterým na podnikovém školení vygumovali mozek vychvalováním MS-softwarem a výhružkami o nelegálnosti jakéhokoliv jiného softwaru. -
Accuphose (neregistrovaný)No, všechno má svoje důvody http://swordfish.buslab.org/?p=50 Prostě když se chce, všechno jde. Záleží na tom, zda má ve firmě větší slovo nějaký manager nebo bezpečnostní specialista. Nejjednodušší je, citlivé data nemít vůbec na počítači s internetem. Díky lidem je ale i tady možnost data ukrást. Naštěstí existuje biometrika, tokeny.
Co se týká software, tak je to politika firmy. Hodně opatření nesouvisí ale s bezpečností, jako spíše s produktivitou práce. Celá věc je komplikovaná. Ale pravda je, že já znám správce z vlastní zkušenosti, kteří řešili víceméně problémy na úrovni, proč nejde tiskárna a jaké mají v kanceláři kafe a sekretářka novou minisukni :-D -
anonymníKdyž si někdo koupí tiskárnu, tak je u ní instalační disketa. Na to není potřeba správce sítě, aby ji zastrčil do počítače a klikak na Next!
Ledaže by se zase jednalo o nějaké nafoukané systémové hovado (to se jinak nedá napsat), které uživateli na počítači všechno zakázalo (včetně měnění grafického rozlišení obrazovky) a samozřejmě neřekl uživateli heslo na adminstrátora.
A jaký je výsledek - třeba u nás ve firmě. Někteří lidé si raději koupí svou notobook, nosí si ho do práce a komunikují i s firemními daty přes podivnou (nezabezpečenou) WiFi síť. A management firmy si hraje na nezasvěcené. - I když on si třeba nehraje, on zvládl pouze práci ve Wordu a nejnadanější z vedení i Excel.
P.S.
A můžete mi říci jaká je produktivita práce, když 20% času někdo stráví obcházením nesmyslných ochran od správce, scháněním a doprošováním se správce, aby mu něco přišel opravit nebo alespoň hledáním na internetu, jak se už někomu podařilo něco vyřešit jinak (třeba onu změnu grafického rozlišení).
Většinou se to totiž najde, protože správci svá omezení nevymýšlejí, ale aplikují jednotná doporučení slavného MS. Ještě že ten umí udělat všechno akorát strašně děravé. -
Dôrazne nesúhlasím. Reštrikčná politika by mala byť základným kameňom práce každého admina. V prvom rade je nutné všetko zakázať a to dôkladne a nepriestrelne a až potom definovať a stavať systém povolení. Hovado, ktoré by mi na sieti spúšťalo neschválený SW z flashdisku by som osobne vykopal z miestnosti tak, že by si týždeň nesadol ;-) Našťastie aj proti kakýmto mudrlantom sa dá účinne brániť a je možné zakázať aj správcom necertifikované externé zariadenia a USB kľúče a pod. Pracovník sa má venovať práci výhradne so schválených SW + HW a nemá čo meniť jeho nastavenia a konfiguráciu a už vôbec nie niečo inštalovať. Základom bezpečnostných politík je práve definovanie zodpovednosti, ak je za to zodpovedný admin, musíte to rešpektovať a zároveň musí existovať proces, ktorým užívateľ "povie" adminovy aký SW potrebuje k práci a admin to po dôkladnom otestovaní a schválení môže kľudne povoliť resp. to posunie na nejaký scvaľovací proces pre nákupcov alebo vedenie firmy. Podstatné je, aby mal správca dokonalý prehľad kde mu aký SW beží (alebo môýe bežať) a to včetne verzií! Nie je to pre srandu králikom ale pre pezpečnosť, pretože dobrý správca by mal reagovať okamžite napr. pri zistení diery v určitej verzii SW a okamžite konať, upgradovať, záplatovať a pod.
Tiež je maximálna nechutnosť ak zamestnanec pchá do USB vlastné zariadenia alebo zariadenia neschválené adminom. To je základná slušnosť, veď to sa predsa nerobí! To pravíte aj keď prídete k niekomu na návštevu? Pichnete mu do USB vlastný HW bez opýtania? Nehovoriac o tom, že hacker môže po parkovisku firmy zámerne "postrácať" pár USB kľúčov s nebezpečným obsahom, napr. SW šitý na mieru pre získanie informácií z vnútra firmy a nezaškolení blbečkovia to samozrejme v práci otvoria bez rozmyslu, pretože to má názov MojeFotkyzDovolenky.exe. Takže dobrý správca nedopustí ani použitie neschválených externých zariadení ;-) resp. ich povolí ale BFU musia byť veľmi dobre zaškolení. Reštrikcie nie sú pre buzeráciu, sú naozaj pre vyššiu bezpečnosť. -
Accuphose (neregistrovaný)Tohle by bylo na celý článek, ale rozhodně nesouhlasím se skoro ničím.
1) Útoky jsou buď automatizované nebo neautomatizované. Nasazení není úměrno zabezpečení, ale prioritou pro útočníka.
2) Globální útoky odpovídají globálnímu stupni ochrany, pokud se zvýší informovanostr uživatelů, na které to všechno stojí, potom se nasadí sofistikovanější metody kriminality
3) Zranitelnosti se objevují a prezentují zejména za účelem zviditelnění autorů, to však neznamení, že to nikdo nepoužil ještě a nepoužije, jen je to opět věc na zakázku, než nějaký obecný jev
4) Dobrý správce musí mít zabezpečenou infrastruktura na každém stupni a vhodně to zkombinovat s lidskými zdroji. Těch rizik je hrozně moca pokud to dělá poctivě, tak pomocí naučených rutin je schopen řešit například nšjakou nezaáplatovanou zranitelnost jiným způsobem. Špatný správce, nejistá firma. O tom jak zvládnout optimálně rizika je plno publikací. Od obecných spíš až po velmi detailní.
Rozhodně bych neřekl, že to je marný boj, ti co s tím bojují vyhrávají, ale je plno těch, co s tím nebojuje, řekl bych drtivá většina. Ještě horší je situace těch, kteří si myslí, že obecná bezpečnost zastaví cílené útoky.
ČLÁNKY DO MAILU