Δέκα --άξιες λόγου-- τάσεις στην ασφάλεια
Στο Hack in the Box, o Bruce Schneier είχε μία μικρή λίστα
Σε ομιλία που μεταδόθηκε ως webcast τον προηγούμενο μήνα στο συνέδριο ασφάλειας Hack in the Box που έγινε στην Κουάλα Λουμπούρ της Μαλαισίας, ο Bruce Schneier, CTO της εταιρείας παροχής υπηρεσιών ασφάλειας Counterpane Internet Security Inc, αναγνώρισε 10 τάσεις που επηρεάζουν τον τομεά της ασφάλειας πληροφοριών σήμερα.
01. Η πληροφορία είναι πολυτιμότερη από ποτέ.
Για παράδειγμα, η Amazon.com Inc. βασίζεται σε πληροφορίες για να κάνει την αγορά των βιβλίων ευκολότερη μέσω του συστήματος αγοράς -- με ένα πάτημα του ποντικιού -- που διαθέτει. Ομοίως, όταν η επιχείρηση λιανικού εμπορίου μέσω του internet, pets.com, πτώχευσε, η βάση δεδομένων των πελατών της εταιρείας ήταν "το μόνο περιουσιακό στοιχείο" που είχε αξία, ανέφερε.
Η πληροφορία έχει επίσης αξία σε διαδικασίες ελέγχου πρόσβασης, όπως είσοδος στο σύστημα και αναγνώριση χρήστών, όπως και για τις αστυνομικές αρχές που χρησιμοποιούν την πληροφορία ως βοήθημα ανίχνευσης εγκληματιών και συλλογή αποδεικτικών στοιχείων.
02 Τα δίκτυα είναι κρίσιμες υποδομές
Το internet δεν σχεδιάστηκε για να χρησιμοποιηθεί ως κρίσιμη υποδομή. "Απλά συνέβη", ανέφερε ο Schneier, σημειώνοντας ότι αυτό δεν εμπόδισε περισσότερα κρίσιμα συστήματα
να μεταναστεύσουν προς το internet.
Το internet βοηθάει τις επιχειρήσεις να λειτουργούν πιο αποδοτικά και διευκολύνει τν επικοινωνία μεταξύ ανθρώπων, ωστόσο αυτό συμπεριλαμβάνει και ρεαλιστικά οικονομικά ρίσκα. "Αν το δίκτυο καταρρεύσει, ή αν μέρος του δικτύου καταρρεύσει, οι συνέπειας στην οικονομία είναι πραγματικές", ανέφερε.
03. Οι χρήστες δεν έχουν απαραίτητα έλεγχο της πληροφορίας που τους αφορά.
Για παράδειγμα, οι ISP ελέγχουν αρχεία καταγραφής που περιέχουν τα WWW sites που επισκέπτονται οι χρήστες, και τα μηνύματα email που στέλνουν και λαμβάνουν. Επίσης, μερικές εταιρείες κινητής τηλεφωνίας διατηρούν αντίγραφα των επαφών των χρηστών τους στους server τους.
"Η πληροφορία που σχετίζεται με εσάς έχει πολύ μεγάλη αξία", είπε ο Schneier. "Ωστόσο δεν έχετε κανένα έλεγχο στην ασφάλειά της, ακόμα και αν είναι εξαιρετικά προσωπική".
04. Το hacking είναι όλο και περισσότερο ένα εγκληματικό επάγγελμα.
Το hacking δεν είναι πλέον για χομπίστες. Όλο και περισσότερο, επιθέσεις οργανόνωνται και κατευθύνονται από εγκληματίες που έχουν ως στόχο το κέρδος. "Η φύση των επιθέσεων αλλάζει καθώς αλλάζει και ο εχθρός", είπε ο Schneier.
O εκβιασμός που συνδέεται με επιθέσεις DoS και Phishing είναι δύο παραδείγματα εγκληματικών επιθέσεων. Άλλωστε, υπάρχει μία μαύρη αγορά για αδυναμίες των συστημάτων που επιτρέπουν τους επιτιθέμενους να εισβάλλουν σε εταιρικά συστήματα ΙΤ.
05. Η πολυπλοκότητα είναι εχθρός
"Όσο τα συστήματα γίνονται πιο πολύπλοκα άλλο τόσο γίνονται και λιγότερο ασφαλή", είπε ο Schneier, χαρακτηρίζοντας το internet ως "η πιο πολύπλοκη μηχανή που έχει φτιαχτεί ποτέ".
Η πρόοδος στην τεχνολογία της ασφάλειας απλώς δεν έχουν τον ίδιο ρυθμό με αυτόν της ανάπττυξης του internet. "H ασφάλεια καλυτερεύει, αλλά η πολυπλοκότητα χειροτερεύει γρηγορίτερα" είπε ο Schneier.
06. Oι επιθέσεις είναι πιο γρήγορες από τις διορθώσεις/patches
Νέες αδυναμιές στα συστήματα ανακαλύπτονται γρηγορότερα από ότι οι κατασκευαστές τους μπορούν να τις διορθώσουν. Σε άλλες περιπτώσεις, οι αδυναμίες σε μερικά ενσωματομένα συστήματα όπως οι router της Cisco Systems Inc. δεν μπορούν να επιδιορθωθούν, αφήνοντας τις επιχειρήσεις ευάλωτες.
07. Τα σκουλήκια είναι πιο εξελιγμένα από ποτέ
Ήδη εμπεριέχουν εργαλεία εκτίμησης τρωτότητας, και εξετάζουν την άμυνα των επιχειρήσεων για αδυναμίες ενώ χρησιμοποιούν την Google Inc. για συγκέντρωση στοιχείων. "Αυτή η τάση είναι αποτέλεσμα του ότι περισσότερα σκουλήκια είναι εγκληματικά".
08. Τα άκρα είναι ο πιο αδύναμος κρίκος.
"Δεν έχει σημασία το πόσο καλές οι διαδικασίες αναγνώρισης/ταυτοποίησης που έχετε είναι, αν ο απομακρυσμένος Η/Υ είναι αναξιόπιστος", ανέφερε ο Schneier. Σε πολλές περιπτώσεις, οι Η/Υ που βρίσκονται έξω από την ασφάλεια της επιχείρησής σας είναι ο πιο αδύναμος κρίκος. Αυτοί οι Η/Υ είναι συχνά μολυσμένοι με κακόβουλο λογισμικό που δίνουν μία ευκαιρία στους επιτιθέμενους.
09. Οι τελικοί χρήστες αντιμετωπίζονται ως απειλές.
Οι εταιρείες όλο και περισσότερο αναπτύσσουν λογισμικό που στοχεύει στην άμυνα ενάντια στον τελικό χρήστη, ανέφερε ο Schneier, αναφερόμενος στα DRM ως παράδειγμα. "Όλο και συχνότερα βλέπουμε πρακτικές ασφάλειας που δεν προστατεύουν το χρήστη αλλά προστατεύουν από το χρήστη".
Σε μία τουλάχιστον περίπτωση, που περιλάμβανε λογισμικό DRM που εγκαθίστατο από την Sony Corp. χωρίς τη συναίνεση του χρήστη, το λογισμικό προκαλούσε βλάβη στον Η/Υ του χρήστη. "Οι κανόνες και οι κανονισμοί γύρω από αυτό πρόκειται να είναι ένα μεγάλο πεδίο μάχης", ανέφερε ο Schneier, προβλέποντας ότι η μάχη θα διεξαχθεί μεταξύ του λογισμικού που προστατεύει το χρήστη και του λογισμικού που προστατεύει από το χρήστη.
10. Οι κανονισμοί θα προωθήσουν τις εξετάσεις ασφάλειας (security audits).
Δεν υπάρχει έλλειψη σε κανονισμούς που περιγράφουν λεπτομερώς πως οι εταιρείες θα πρέπει να διαχειρίζονται τα δεδομένα. Κανονισμοί όπως η Sarbanes-Oxley Act θα είναι η κινητήριος δύναμη πίσω από εταιρικες εξετασεις ασφαλειας.
Στο Hack in the Box, o Bruce Schneier είχε μία μικρή λίστα
Σε ομιλία που μεταδόθηκε ως webcast τον προηγούμενο μήνα στο συνέδριο ασφάλειας Hack in the Box που έγινε στην Κουάλα Λουμπούρ της Μαλαισίας, ο Bruce Schneier, CTO της εταιρείας παροχής υπηρεσιών ασφάλειας Counterpane Internet Security Inc, αναγνώρισε 10 τάσεις που επηρεάζουν τον τομεά της ασφάλειας πληροφοριών σήμερα.
01. Η πληροφορία είναι πολυτιμότερη από ποτέ.
Για παράδειγμα, η Amazon.com Inc. βασίζεται σε πληροφορίες για να κάνει την αγορά των βιβλίων ευκολότερη μέσω του συστήματος αγοράς -- με ένα πάτημα του ποντικιού -- που διαθέτει. Ομοίως, όταν η επιχείρηση λιανικού εμπορίου μέσω του internet, pets.com, πτώχευσε, η βάση δεδομένων των πελατών της εταιρείας ήταν "το μόνο περιουσιακό στοιχείο" που είχε αξία, ανέφερε.
Η πληροφορία έχει επίσης αξία σε διαδικασίες ελέγχου πρόσβασης, όπως είσοδος στο σύστημα και αναγνώριση χρήστών, όπως και για τις αστυνομικές αρχές που χρησιμοποιούν την πληροφορία ως βοήθημα ανίχνευσης εγκληματιών και συλλογή αποδεικτικών στοιχείων.
02 Τα δίκτυα είναι κρίσιμες υποδομές
Το internet δεν σχεδιάστηκε για να χρησιμοποιηθεί ως κρίσιμη υποδομή. "Απλά συνέβη", ανέφερε ο Schneier, σημειώνοντας ότι αυτό δεν εμπόδισε περισσότερα κρίσιμα συστήματα
να μεταναστεύσουν προς το internet.
Το internet βοηθάει τις επιχειρήσεις να λειτουργούν πιο αποδοτικά και διευκολύνει τν επικοινωνία μεταξύ ανθρώπων, ωστόσο αυτό συμπεριλαμβάνει και ρεαλιστικά οικονομικά ρίσκα. "Αν το δίκτυο καταρρεύσει, ή αν μέρος του δικτύου καταρρεύσει, οι συνέπειας στην οικονομία είναι πραγματικές", ανέφερε.
03. Οι χρήστες δεν έχουν απαραίτητα έλεγχο της πληροφορίας που τους αφορά.
Για παράδειγμα, οι ISP ελέγχουν αρχεία καταγραφής που περιέχουν τα WWW sites που επισκέπτονται οι χρήστες, και τα μηνύματα email που στέλνουν και λαμβάνουν. Επίσης, μερικές εταιρείες κινητής τηλεφωνίας διατηρούν αντίγραφα των επαφών των χρηστών τους στους server τους.
"Η πληροφορία που σχετίζεται με εσάς έχει πολύ μεγάλη αξία", είπε ο Schneier. "Ωστόσο δεν έχετε κανένα έλεγχο στην ασφάλειά της, ακόμα και αν είναι εξαιρετικά προσωπική".
04. Το hacking είναι όλο και περισσότερο ένα εγκληματικό επάγγελμα.
Το hacking δεν είναι πλέον για χομπίστες. Όλο και περισσότερο, επιθέσεις οργανόνωνται και κατευθύνονται από εγκληματίες που έχουν ως στόχο το κέρδος. "Η φύση των επιθέσεων αλλάζει καθώς αλλάζει και ο εχθρός", είπε ο Schneier.
O εκβιασμός που συνδέεται με επιθέσεις DoS και Phishing είναι δύο παραδείγματα εγκληματικών επιθέσεων. Άλλωστε, υπάρχει μία μαύρη αγορά για αδυναμίες των συστημάτων που επιτρέπουν τους επιτιθέμενους να εισβάλλουν σε εταιρικά συστήματα ΙΤ.
05. Η πολυπλοκότητα είναι εχθρός
"Όσο τα συστήματα γίνονται πιο πολύπλοκα άλλο τόσο γίνονται και λιγότερο ασφαλή", είπε ο Schneier, χαρακτηρίζοντας το internet ως "η πιο πολύπλοκη μηχανή που έχει φτιαχτεί ποτέ".
Η πρόοδος στην τεχνολογία της ασφάλειας απλώς δεν έχουν τον ίδιο ρυθμό με αυτόν της ανάπττυξης του internet. "H ασφάλεια καλυτερεύει, αλλά η πολυπλοκότητα χειροτερεύει γρηγορίτερα" είπε ο Schneier.
06. Oι επιθέσεις είναι πιο γρήγορες από τις διορθώσεις/patches
Νέες αδυναμιές στα συστήματα ανακαλύπτονται γρηγορότερα από ότι οι κατασκευαστές τους μπορούν να τις διορθώσουν. Σε άλλες περιπτώσεις, οι αδυναμίες σε μερικά ενσωματομένα συστήματα όπως οι router της Cisco Systems Inc. δεν μπορούν να επιδιορθωθούν, αφήνοντας τις επιχειρήσεις ευάλωτες.
07. Τα σκουλήκια είναι πιο εξελιγμένα από ποτέ
Ήδη εμπεριέχουν εργαλεία εκτίμησης τρωτότητας, και εξετάζουν την άμυνα των επιχειρήσεων για αδυναμίες ενώ χρησιμοποιούν την Google Inc. για συγκέντρωση στοιχείων. "Αυτή η τάση είναι αποτέλεσμα του ότι περισσότερα σκουλήκια είναι εγκληματικά".
08. Τα άκρα είναι ο πιο αδύναμος κρίκος.
"Δεν έχει σημασία το πόσο καλές οι διαδικασίες αναγνώρισης/ταυτοποίησης που έχετε είναι, αν ο απομακρυσμένος Η/Υ είναι αναξιόπιστος", ανέφερε ο Schneier. Σε πολλές περιπτώσεις, οι Η/Υ που βρίσκονται έξω από την ασφάλεια της επιχείρησής σας είναι ο πιο αδύναμος κρίκος. Αυτοί οι Η/Υ είναι συχνά μολυσμένοι με κακόβουλο λογισμικό που δίνουν μία ευκαιρία στους επιτιθέμενους.
09. Οι τελικοί χρήστες αντιμετωπίζονται ως απειλές.
Οι εταιρείες όλο και περισσότερο αναπτύσσουν λογισμικό που στοχεύει στην άμυνα ενάντια στον τελικό χρήστη, ανέφερε ο Schneier, αναφερόμενος στα DRM ως παράδειγμα. "Όλο και συχνότερα βλέπουμε πρακτικές ασφάλειας που δεν προστατεύουν το χρήστη αλλά προστατεύουν από το χρήστη".
Σε μία τουλάχιστον περίπτωση, που περιλάμβανε λογισμικό DRM που εγκαθίστατο από την Sony Corp. χωρίς τη συναίνεση του χρήστη, το λογισμικό προκαλούσε βλάβη στον Η/Υ του χρήστη. "Οι κανόνες και οι κανονισμοί γύρω από αυτό πρόκειται να είναι ένα μεγάλο πεδίο μάχης", ανέφερε ο Schneier, προβλέποντας ότι η μάχη θα διεξαχθεί μεταξύ του λογισμικού που προστατεύει το χρήστη και του λογισμικού που προστατεύει από το χρήστη.
10. Οι κανονισμοί θα προωθήσουν τις εξετάσεις ασφάλειας (security audits).
Δεν υπάρχει έλλειψη σε κανονισμούς που περιγράφουν λεπτομερώς πως οι εταιρείες θα πρέπει να διαχειρίζονται τα δεδομένα. Κανονισμοί όπως η Sarbanes-Oxley Act θα είναι η κινητήριος δύναμη πίσω από εταιρικες εξετασεις ασφαλειας.
