Edukacija o bezbjednosti - 5 mitova o podizanju svijesti

Gotovo je nevjerovatno koliko, čak i u samoj zajednici profesionalaca u IKT bezbjednosti opstaje pogrešna slika o vrijednosti edukacije  ljudi i podizanju svijesti o informacionoj bezbjednosti ( eng. Security awareness programs) .

U nastavku je objašnjenje za pet najčešćih mitova odnosno zabluda, koje se često čuju a nisu tačne.



 

       1.       Edukacija ne funkcioniše

Često se čuje sljedeća izjava: „Programi edukacije su beskorisni. Još nisam vidio slučaj da je program edukacije o bezbjednosti promijenio ponašanje ljudi“.

Iskreno, u mnogome se lako složiti sa ovom izjavom. Često smo bili svjedoci različitih obuka, koje zaista nisu uticale na ponašanje ljudi. Međutim, mnogi  programi iz prošlosti nisu ni bili iskreno namijenjeni da utiču na ponašanje ljudi. Sprovođeni su da bi se postigla usklađenost sa planovima, i da se čekira da je zadatak izvršen. U skladu sa tim, izvođeni su uz minimalne troškove i resurse . bile su to PowerPoint prezentacije jednom godišnje, koje su u najboljem slučaju slijedili formalni testovi provjere znanja, ili periodična propagandna poruka.

Da bi program edukacije dao rezultate on mora biti kreiran sa osnovnim ciljem da iz korjena promijeni ponašanje i da se to prilikom kreiranja uvijek ima na umu. Takođe, treba da je kontinuiran.

       2.       Nije vrijedno truda jer će neko uvijek zabrljati
Vlada mišljenje da je edukacija neuspjeh, jer  koliko god trenirali ljude, uvijek će postojati  grupa ljudi koji će biti žrtve nepažnje. Ali, ljudi, pa bezbjednost je priča o smanjenju rizika, a ne eliminaciji!

Svjesnost nije ništa drugo nego još jedna bezbjednosna kontrola. Zašto ljudi posmatraju svjesnost kao potpuno posebnu kategoriju u bezbjednosti – ostaje tajna. Svjesnost se ne razlikuje od šifrovanja, na primjer, FW  ili detekcije upada. Međutim, sa povećanjem svijesti može se dobiti puno veći povraćaj uloženog. Ispitivanja su pokazala da se nakon intenzivne edukacije i testiranja, rizik sa 95% smanjuje na 5%. Postoji li ijedan uređaj sa takvim rezultatima?

       3.       Ljudi već znaju  šta treba da rade

Postoje mišljenja da ljudi jako dobro znaju pravila, te šta treba da rade a šta ne, samo se jednostavno ne pridržavaju toga. Ovo mišljenje često ćete čuti i među profesionalcima.

Činjenica je da je ovakvo mišljenje paušalno i potpuno neutemeljeno. Profesionalci koji drže obuke po organizacijama svjdoče da zaposleni  ne samo da obično zaista nemaju pojma koja pravila treba da slijede, i naročito - zašto, već su i naprosto gladni da uče u toj oblasti. Većina ljudi zna da opasnost preti sa mreže, da postoje neki „loši momci“ , ali ne znaju šta tačno treba da urade da bi se zaštitili. Dakle, problem nisi ljudi. Problem je što obuka nije efikasna.

Evo primjer jedne stvari koju većina zaposlenih prije obuke nije znala: da je održavanje operativnih sistema i aplikacija ažurnim i njihovo redovno pečovanje presudno za bezbjedan rad njihovih računara, tableta i mobilnih telefona.

       4.       Sve je u prevenciji

Kad se diskutuje o bezbjednosnoj svjesnosti, ona se često posmatra isključivo u diskursu prevencije. Pokušava da se nametne i sprovede ideja „ljudskog zida“. Prevencija jeste važna, ali zašto se ograničavati? Idealno je da ljude posmatramo ( i treniramo da budu) upravo i detektori  incidenata.

Važno je da zaposleni steknu saznanje o kompromisu koji se nameće: ne može se sve preduprediti, ali dobro je i ako se detektuje i prijavi . Dobar primjer za uvođenje ovakvog ponašanja je da se prilikom terstiranja zaposlenih podložnosti prevarama i napadima ( npr. interna fišing procjena) , pored broja radnih stanica sa kojih je pokrenut „opasan“ link, vodi evidencija i o broju radnika koji su incident prijavili. Ovakvim treninzima istinski jačamo svoju organizaciju.

       5.       Ma to je jednostavno!

Mnogo ljudi, čak i iz oblasti IKT bezbjednosti reći će: edukacija zaposlenih – ma to je jednostavno! Da, ukoliko vam je usaglašenost sa propisima i standardima jedini cilj, onda jeste. Održi se bilo kakvo predavanje i čekira se aktivnost „podizanje svijesti“ .

Međutim, ukoliko je cilj da se efikasno smanji rizik od zloupotrebe ljudskog ponašanja, potrebno  je imati jasan plan i držati ga se. Konkretno,  potrebno je da u pripremi vašeg programa identifikujete koje su to promjene u ponašanju koje bi bitno smanjile rizik u vašoj organizaciji, a zatim kako se angažovati da se one najefikasnije sprovedu.

Jedna od najčešćijh prepreka je, zapravo, obeshrabrenje na samom početku – Kako uopšte početi?

Ukoliko u organizaciji nemate profesionalca, ovaj posao povjerite iskusnom edukatoru, ili pronađite organizaciju koja već ima pripremljen program.  Ovo nije posao koji se završava jednom serijom predavanja. Ljudi obično ne vole predavanja, ali sa druge strane – vole da uče! Bitno je da se ova obuka na samom početku napravi privlačnom, uz isticanje važnosti, te da se nastavlja kontinuirano uz redovna testiranja. Zaposleni će je vrlo brzo prihvatiti, i prigrliti osjećaj "važne karike" koji će im ovakva obuuka pružiti. 

Dobra strategija je da se počne sa kraćim video sadržajima, a da se periodično održavaju i prezentacije. Prezentacije treba da budu pripremljene posebno za različite tipove korisnika ( npr nije ista za zaposlene u IT sektoru, za top menadžment,  za poslovne funkcije, i npr. službe obezbjeđenja).

Posteri sa bezbjednosnim porukama istaknuti po organizaciji su nenametljiv, ali vrlo efikasan alat. Slično tome su i povremeni informacioni mejlovi, kao i poruke koje se izmjenjuju periodično na intranet portalima organizacije.

Jednom kad se uspostavi ovakav kontinuitet edukacije, i pravilo da se svaki novozaposleni odmah edukuje,  ostaje samo da se program ažurira novim sdržajima ( uvijek je bitno predstaviti nove opasnosti – npr. iako je lažni antivirus prisutan već nekoliko godina, malo je programa za edukaciju koji daju primjer kako konkretno izgleda i kako se nositi sa tim).

Lično sam veliki pobornik preduzimanja obuke za  podizanje svijesti u bezbjednosti IKT. Takođe, bavim se izučavanjem socijalnog inženjeringa i ljudskog ponašanja. Najjednostavnije rečeno, iako je svako od nas posebna jedinka kompleksnog ponašanja, može se sprovesti generalizacija da je zaposleni prilikom obavljanja radnih zadataka samo jedan operativni sistem – ljudski, možda malo nestabilniji od onog što inače tako zovemo , ali ipak sa definisanim operacijama. I vrlo skalabilan. Ako to tako posmatramo, onda će smanjenje rizika ići uporedo sa održavanjem tog ljudskog OS ažurnim, kao što to radimo i na mašinama.

Treba takođe iskoristiti ljudsku prirodu i reći : koliko se žalimo da je ljudska nepažnja neograničena, isto možemo posmatrati i da je u drugom smjeru neograničena ljudska inventivnost i želja da se uči. U tom slučaju, kao što već poslovično svuda povećava rizik, ljudski faktor na drugoj strani postiže najbolje rezultate i na smanjenju rizika.  Bitno je za šta se odlučimo.

7 servisnih zahtjeva od kojih bi se IT osoblje najradije rasplakalo

Širom svijeta, u svakom trenutku neko zove IT podršku da riješi neki problem. Danas malo šta može da funkcioniše bez toga. Pored činjenice da se mnogi problemi uspješno i stručno riješe, postoje i oni koji su toliko bizarni, da ljudi iz IT podrške ne znaju da li da se smiju ili da plaču...

Help desk?

Tehnička podrška je tu da pomogne. Ali, kao što mnogi help-desk zaposleni to znaju, ponekad nije tehnologija, nego korisnik taj koji na kraju napravi problem.  Evo sedam priča iz prakse, preuzetih sa http://www.csoonline.com koje govore o tome kako su IT ljudi ušli u priču i savladavajući se da drže jezik za zubima uspjeli da lošu situaciju ne naprave – još gorom.

izvor clker.com

Priča prva: Sumnjivi  atačment

Proslijeđivanje mejla sa spear-phishing atačmentom, to je ono što napadači upravo žele da uradimo. Nećete vjerovati, jedan korisnik je dobio mejl pod nazivom "CIA Prism Watch List" , i pratećom porukom da se u atačmentu nalazi word dokument sa imenima svih ljudi koje CIA posmatra. Naravno, otvorio ga je, i naravno proslijeđen je svima iz adresara.

Priča druga:  Zbrka sa portovima

Kupac je koristio aplikaciju vendora, koja po pravilu koristi tri navedena TCP porta: 9898, 8080 i 1169. Međutim, kupac nije htio da koristi te brojeve portova “iz bezbjednosnih razloga” . To je u redu, kupcima je dozvoljena i takva alternativa, ali na nesreću, ovaj je izabrao brojeve portova 1, 2, i 3.

Budući da su ovi portovi rezervisani od sistema za druge svrhe, to je izazvalo nestabilnost mreže. Nakon godinu dana stalnog pozivanja podrške, kupac je pristao da promijeni portove, ali sa novim zahtjevom:  pitao je da na ponuđene četverocifrene brojeve portova doda “50” na početak svakog !!

Priča treća: Podsjetnici za lozinke

Da pisanje lozinki na stikere koji stoje zalijepljeni na monitor nije najstrašniji prizor koji IT oči mogu da vide potvrđuje korisnica koja je svoju lozinku ispisala markerom na poklopac laptopa.

Priča četvrta:  Virtualna glavobolja

Kao odgovor na pitanja koja je korisnik upućivao i  rješenje problema, predloženo mu je da poveća memoriju dodijeljenu virtualnom uređaju. Nakon čekanja od nedjelju dana, stigao je odgovor od korisnika koji odbija da poveća memoriju: “ VM neće imati dodatni vRAM. Budući da je uređaj  “deployed appliance”  , to znači da je sve prvobitno bilo upakovano kao virtuelna hardverska konfiguracija, i kao takva ima sve što će joj ikad trebati. Štaviše, smatramo da  alokacija vRAM-a može/će izazvati da uređaj postane nestabilan”

Priča peta: Pozajmljivanje laptopa

Jedna korisnica otišla je na dvonedeljni odmor, i ostavila svoj službeni laptop mlađem bratu. Kako se to otkrilo? Kad se vratila sa odmora i pokušala da koristi laptop, bio je potpuno neupotrebljiv zbog malicioznih programa. Help desk je oporavio laptop, i ponovo joj, u četiri oka ponovili instrukcije o politici kompanije i sigurnom korišćenju računara. Najzanimljivije je ovdje što ona i dalje zove i pita šta je zapravo uradila pogrešno ?!

Priča šesta: Kad se DVD umiješa

Korisnik je proslijedio zahtjev u kom se žali da mu fajl sistem javlja grešku “zabranjen pristup” kad pokuša da pristupi određenim folderima. Brine ga to što se ti folderi prate i sa drugih servera,a nigdje se ne pojavljuje ta greška.  Serviser mu je za početak poslao generički odgovor gdje su definisana prava pristupa i mogući problemi. Uskoro je stigao odgovor:  “ Problem je bio u činjenici da je na mojoj VM mašini sa D: mapiran DVD drajv. Uklonio sam to sa VM, i sad radi bez ikakvih problema.”  Serviser je samo pomislio: Ko zna kakvo bi pitanje bilo da je u drajvu bio i neki disk...

Priča sedma: Kad Serveri zaćute

Klijent je naručio “big-data” projekat, potrošeno je puno vremena i truda da bi dobio upravo ono što je tražio. ( Migracija podataka u i iz baze je uvijek dobra zabava, zar ne? ) . Nakon nekoliko dana od migracije i puštanja u produkciju, serviser je nazvao korisnika da pita kako ide.  Ovaj je oštrim glasom odgovorio: “Nikako!Sve je stalo, evo, sve stoji! “

Na strani podrške je počelo panično pripremanje za reverzni  inženjering čitavog procesa, kad se začuo veseli glas korisnika: “A, ne ! Samo je server baze podataka bio restartovan! “

I na kraju, moj komentar. Ovo su internacionalana iskustva. Kad bi se sjetili, imali bi ih mi ohoho. Ja ću prepričati još jedno iz života:

Svojevremeno, u jednoj banci, imali smo na šalterima Unix konfiguraciju, gdje se pri podizanju server prvo “spašavao” na jednog od klijenata. Jednom to nije dobro urađeno, i koleginica telefonom instruira ženu na šalteru da restartuje komunikacije. Kao odgovor treba da se na ekranu pojave pojedine komponente, te 1 ili 0 s obzirom da li rade ili ne. Prosto.

Kad je ova to uradila, koleginica kaže:

-          Ajde, sad mi čitajte te brojeve što vidite desno odozdo na gore.

-          Nula...

-          Dobro..

-          Jedan...

-          Dobro...

-          Četiri..

-          Četiri??!!

-          Da, četiri

-          Kako četiri, gdje vidite četiri?

-          Kod mene je četiri.

-          Na ekranu?

-          Neee, na tastaturi..

Nova verzija ISO/IEC 27001:2013 je stigla!

Međunarodno priznati standardi za upravljanje informacionom bezbjednošću, ISO/IEC 27001) i pridruženi  ISO/IEC 27002, ‘Code of practice for information security management controls’ revidirani su ove godine. Nova verzija objavljena je 25. Septembra 2013.

Nakon objavljivanja inicijalne draft verzije i široke javne rasprave , oba, i  ISO/IEC 27001 i ISO/IEC 27002 su prošli draft fazu i doživjeli finalnu publikaciju u konačnoj verziji. 

Koje su glavne izmjene?

·         Revidirani standard je pisan koristeći novu strukturu višeg nivoa, karakterističnu za sve nove standarde koji se bave upravljanjem sistemima. To dozvoljava jednostavnu integraciju kad se implementira više od jednog sistema kvaliteta.

·         Urađene su određene izmjene u terminologiji, neke definicije su sklonjene ili premještene

·         Zahtjevi procjene rizika usklađeni su sa  BS ISO 31000

·         Zahtjevi prema menadžmentu imaju naglasak na vođenju ( “leadership”)

·         Preventivne akcije su zamijenjene sa “akcije za uočavanje rizika i mogućnosti”

·         SOA  zahtjevi su slični, sa  mnogo jasnije naznačenom potrebom da se kontrole određuju kroz proces upravljanja

·         Kontrole u  Anexu A su izmijenjene tako da odražavaju promijenjene pretnje, da se otklone duplikati i postigne bolje lokalno grupisanje. Dodate su i specifične kontrole u vezi kriptografije i bezbjednosti u vezama sa dobavljačima

·         Stavljen je veći naglasak na postavljanje ciljeva, praćenje performansi i metriku

Za više informacija:

 http://en.wikipedia.org/wiki/ISO/IEC_27001:2013

http://www.neupart.com/media/138936/iso27001rev2013riskmgmtprocess.pdf

9 popularnih praksi u IT bezbjednosti koje jednostavno – ne rade ono što očekujemo

Bezbjednosni proizvodi i tehnike na koje se oslanjamo često nas ne čine onoliko sigurnim koliko mislimo

Kad je IT bezbjednost u pitanju, FUD princip (fear, uncertanity, doubt) je više od sredstva u rukama prodavaca da prodaju sljedeći u nizu svojih prehvaljenih proizvoda.  To je realnost u kojoj žive iskusni profesionalci IT bezbjednosti,  zahvaljujući u najvećoj mjeri  nedostacima tradicionalnih pristupa u obezbjeđenju IT sistema i podataka.

Istina je da proizvodi i tehnike IT bezbjednosti najčešće ne rade baš onako kako su reklamirani, ostavljajući nas mnogo izloženijima zlonamjernom kodu nego što smo toga svjesni. To je stoga što tradicionalni pristup bezbjednosti funkcioniše po principu stalnog ponavljanja istih obrambenih (reaktivnih) postupaka na pretnje, ostavljajući nas da čekamo naredni talas inovativnih malvera, koji se uglavnom prvo otkriju – na Internetu.

Dok ne riješimo taj problem – to jest dok se ne stvori kritična masa pogođena njime da se odluči da se ide u rješavanje – mi i dalje zavisimo od sigurnosnih rješenja koja nam ne pružaju dovoljnu zaštiti imajući u vidu eskalaciju malicioznog softvera i metoda za kompromitovanje sistema i krađu podataka.

U nastavku je dato 9 najčešćih proizvoda i tehnika u IT bezbjednosti koje ne čuvaju naš sistem baš u onolikoj mjeri koliko to mislimo.

Bezbjednosna greška 1.  Antivirusni skener neće otkriti prave ubice mreže.

Tradicionalni sve-u-jednom antivirus skeneri, onakvi kakve ih danas poznajemo, otkriveni su kasnih osamdesetih. Prije toga, ukoliko se sumnjalo na neku određenu malicioznu aplikaciju, pokretao se detekcioni program pravljen isključivo za tu vrstu virusa. Ukoliko se virus pronađe, tu je bio program za njegovo neutralisanje. Naravno, to je moglo zadovoljiti potrebe tog  vremena.  Mekafijevi  ViruScan i VirexPC bili su među prvim antivirus programima koji su pomerili granicu sa pojedinačnog virusa na “sve poznate”.

I zaista, ranih devedesetih, takvi sve-u-jednom antivirus skeneri bili su vrlo pouzdani u pronalaženju (jednog od desetina tada prisutnih) virusa, crva, Trojnaca. AV industrija je tako uspješno pronalazila načine za borbu sa malverom, da se čak vjerovalo da će maliciozni softver biti u potpunosti uništen, odnosno da neće postojati motivacija da se pravi. Međutim, desilo se suprotno, kako se industrija kreiranja malicioznog softvera širila, bile su potrebne sve veće i komplikovanije procedure za njihovo otkrivanje i neutralisanje, i to je uslovilo da između pojave virusa i odgovora antivirus programa prolazi sve više vremena.  Realnost je da se taj period može mjeriti danima pa i mjesecima, iako svi živimo u uvjerenju da je zaštita koju nam pruža naš AV softver tačna i potpuna. Istina je da profesionalni “loši momci” danas proizvode na hiljade ( ako ne i milione) novih malvera mjesečno, što je daleko više od onoga što bilo koji AV program može otkriti. To se kosi sa tvrdnjama proizvođača AV softvera da nude 100% pouzdanost detekcije malvera, pokazujući brojna priznanja, nagrade, reference. Stvarnost govori drugačije. Svi smo izloženi novom malveru koji AV programi naprosto nisu u stanju otkriti, i to nije rijetkost. Neki od vas su sigurno imali iskustva sa postavljanjem nekog novog malicioznog koda na sajt poput VirusTotal, pri čemu se vidi da pojedini virusi, crvi ili Trojanci ostaju neotkriveni danima, pa i nedjeljama.

Ne treba kriviti prodavce.  Budući da je činjenica da postoji više loših nego legitimnih fajlova na svijetu, antivirus skeniranje je težak posao, a liste “dobrih” i “loših” fajlova su postale predugačke.  U baze se moraju smejstiti milioni “potpisa” različitih malvera, i načini kako se otkrivaju novi virusi, za koje još ne postoji izolovan “potpis”, a samo skeniranje se mora raditi tako da ne ometa i ne usporava rad računara na kom se pokreće.

Internet je zaista zastrašujuće mjesto za izlazak bez zaštite, ali isto tako, zaštita koju danas dobijamo prestaje da bude pouzdana garancija.

Bezbjednosna greška 2.  Zaštita koju pruža Firewall je mala

Što se tiče IT bezbjednosti, Firewall postaje još manje relevantna zaštita od antivirus programa. Zašto? Zato što većina malicioznih programa radi tako da zavara krajnjeg korisnika da aktivira maliciozni kod na svom računaru, pri čemu je prethodno prošao Firewall zaštitu kao legitiman fajl ili njegov dio. Štaviše, loši programi se “provlače” koristeći portove 80 ili 443 koji su uvijek otvoreni na Firewallu.

Mnogi su zaštićeni sa više Firewall instanci: prema okruženju, na samoj radnoj stanici pa čak i nivou filtriranja aplikacija. Ali, ipak izgleda da sva ta tvrđava od pokušaja host-port izolacije naprosto ne brani kako treba. Izloženi smo i dalje.

Bezbjednosna greška 3.  Pečevi nisu lijek

Dugo godina broj jedan među bezbjednosnim savjetima je bilo da se samo redovno primjenjuju pečevi. Svaki softver ima ranjivosti, i pečevi su tu da se one otklone. Uprkos postojanju desetina peč-menadžment sistema koji obećavaju savršeno ažuriranje, i nekog razloga izgleda da to nije moguće ostvariti. Često razlog neuspjehu nije  peč-menadžment softver već  - menadžeri. Oni pečuju samo neke proizvode, ali često propuštaju da to urade upravo na najpopularnijima, kao što su Java, Adobe, Flash. Drugi je razlog što to ne rade u preporučenim intervalima, a često izostane i provjera da li su svi njihovi ljudi primjenili posljednji lansiran peč, i da li u tom smislu postoji možda neki procenat ranjivih korisnika.

Čak i u najboljem slučaju, širenje pečeva na veliki broj korisnika nikad nije momentalno, najčešće traje danima ili nedjeljama, dok se periodi širenja novih malvera Internetom mjere u minutima i satima.

Šta je još gore, upadi putem socijalnog inženjeringa su upravo iskoristili ovaj savjet broj jedan. Zamislite ovo: Ako sav softver ima nultu ranjivost (tj. nikad ne treba peč, ili je savršeno pečovan), to bi redukovalo izloženost  malicioznim napadima za barem 10-20% , što su pokazale studije. Kad bi se riješili napada koji koriste postojanje softvera koji zahtjeva pečeve, hakerima koji koriste upravo ovu karakteristiku softvera bio bi zaprečen jedan prilaz za njihove prljave poslove, i morali bi se pomeriti na drugu liniju napada ( čitaj: socijalni inženjering), što bi opet  smanjilo očekivanu redukciju sajber kriminala, a o čemu se govori u nastavku.

Bezbjednosna greška 4.  Edukacija krajnjih korisnika je ocijenjena – nulom.

U sam osvit personalnih računara upozoravali smo korisnike da ne pokreću računar ako je disketa u flopi drajvu, da ne dozvoljavaju pokretanje neočekivanog makroa, da ne klikću na neočekivani atačment,  i na kraju, najnovije, da ne pokreću nepoznate antivirus programe.  Od početka do danas – to još uvijek ne funkcioniše.

Kad bi politike edukacije krajnjih korisnika bile uspješne, mi bismo se dosad već odbranili od hakera i malvera.  I ako je suditi po posljednjim trendovima, svjesnost krajnjih korisnika je gora nego ikad. Upadi putem socijalnog inženjeringa kojima se obmanjuje krajnji korisnik tako da sam pokrene maliciozni program ili oda podatak su za sada najveća pretnja. Mnogi krajnji korisnici spremno dijele svu privatnost putem aplikacija ili javnih socijalnih portala; rade to bez imalo svijesti o posljedicama, što drastično povećava izglede da postanu mete i podlegnu socijalnom inženjeringu.

Ljudi koje stoje iza edukacionih programa za krajnje korisnike mnogo griješe:  u njihovim rukama krajnji korisnici postaju prisiljeni na neželjene, djetinjaste obuke. Edukacije se sprovode putem opštih, loše organizovanih programa koji često ne sadrže informacije o najnovijim napadima. Dozvolite pitanje:  Ako je sad najčešći način kojim krajnji korisnik biva napadnut Trojancem lažni antivirus program, da li je vaša kompanija pokazala svojim zaposlenima kako taj lažni antivirus program izgleda? Ako nije – zašto nije?

Takav pristup upravo dovodi IT sistem u opasnost. U prosjeku, prođe i po dvije godine da se konkretan napad nađe kao primjer u obrazovnim programima za krajnje korisnike, a samo minut je potreban napadaču da pređe na „novu temu“,  što nas stavlja u zaostatak od još dvije godine.

Šta je bolje od edukativnih programa za krajnje korisnike? Sigurniji softver i bolje difoltne postavke. Umjesto očekivanja da krajnji korisnik uvijek donese ispravnu odluku bolje je da mi to uradimo za njih. Makro virusi se neće širiti ako je difoltna postavka da se ne pokreće makro. Atačmenti neće biti tolika opasnost ako se većina njih blokira, i ako njihovo pokretanje postane komplikovanije.  Automatsko pokretanje crva sa USB uređaja neće se desiti ako Microsoft postavi kao difolt da je opcija „autorun“ sa USB priključka onemogućena.

Edukacija krajnjeg korisnika nikad nije kompletan posao, niti se na to možemo osloniti, jer je potreban samo jedan korisnik i samo jedna akcija da se zarazi cijela kompanija. Naravno, ne umanjuje se značaj ove prakse. Rizik se može značajno smanjiti, ali potrebno je sprovoditi bolje edukacije, usmjerene na konkretne teme i događaje.

Bezbjednosna greška 5.  Jake lozinke vas neće spasiti.

Često ponavljana mantra je: Kreirajte jaku lozinku, dugačku i kompleksnu, i mijenjajte je često.  A šta sa tim što su korisnici poznati po tome da istu lozinku koriste na mnogim sajtovima i domenima, da često bivaju prevareni da te “jake” lozinke unose u lažne forme za prijavu, pa čak ih i šalju mejlom. Šokantna su bila istraživanja ( na više lokacija u više zemalja)  koja su pokazala da će veliki broj ljudi dati svoju lozinku strancu na ulici, za neveliku novčanu nadoknadu. Brojni su  korisnici koji o svojim lozinkama vode mnogo manje računa nego što je očekivano.

Veći problem je što ni hakeri ne brinu pretjerano. Oni prevare korisnika Trojancem, uzmu administratorska prava, pokupe heševe za lozinke i koriste ih. Kad se jednom ima heš za lozinku to je to, isti je i isto se ponaša za “slabe” i “jake” lozinke.

Bezbjednosna greška 6.  Sistem detekcije upada (IDS) ne može da utvrdi namjeru

IDS su vrsta bezbjednosne tehnologije kojoj želimo da vjerujemo.  Definiše se gomila “potpisa” za napade, i ako IDS detektuje neki od tih stringova ili tipova ponašanja na mreži, proaktivno nas obavještava o tome, ili čak zaustavlja “napad”. Ali, kao i većina tehnologija i tehnika ovdje opisanih, jednostavno ne radi tako kao što se reklamira.

Prvo, ne postoji način da se obezbjede validni  potpisi svih napada koji mogu biti potencijalno opasni za vašu kompaniju. Najbolji  IDS mogu imati stotine potpisa dok će vaš sistem će gađati desetine hiljada napada, a toliko potpisa ne može da se smjesti u IDS, jer bi takav monitoring toliko usporio saobraćaj, da ne bi bilo vrijedno truda. Nadalje IDS uvijek imaju mnogo lažnih prijava, da se na kraju tretiraju poput firewall logova – ostaju zanemareni i nepročitani.

Ali pravi krah IDS doživljava zbog činjenice da mnogi loši momci upadaju upravo legitimnim načinima pristupa. Jer, nijedan IDS ne može razlikovati da li je direktor uputio zahtjev za podacima finansijskoj bazi, ili je to uradio napadač koristeći direktorov računar odnosno prava pristupa. To je smisao – IDS ne može da utvrdi namjeru, niti je moguće da se izda upozorenje za akciju koja po parametrima prolazi kao normalan, operativni posao.

Bezbjednosna greška 7.  PKI je oštećen

PKI je u svakom smislu matematički lijep izum. U poslovnim sistemima konstantno se instalira i unapređuje mnogo ovakvih infrastruktura. Problem je u tome što su mnogi od njih loše konfigurisani, žalosno nesigurni, i često ignorisani, čak i kad u javnom sektoru funkcionišu “besprekorno”.  U posljednje dvije godine nekoliko javnih certifikacionih tijela su užasno hakovani.  Hakerima je dozvoljeno da pristupe njihovim potpisanim ključevima, koji su trebali biti zaštićeni mnogo jače nego i jedna druga informacija, i da izdaju nove lažne ključeve drugim hakerima i  moguće, zainteresovanim vladama.

Ali, čak i kad je PKI savršen, jak i nehakovan – ljude to ne zanima. Mnogi krajnji korisnici, kad dobiju upozorenje da se postojećem digitalnom sertifikatu ne može vjerovati, jedva čekaju da kliknu na “Ignore”. Srećni su kad uspiju da mimoiđu bezbjednosnu neprijatnost, i nastave da uživaju u svom sajber životu.

Dio problema je i u tome što su sajtovi i programi koji koriste digitalne sertifikate zapravo nezainteresovani za njih, što za posljedicu ima da su poruke o grešci sertifikata postale svakodnevna pojava. Tako oni korisnici koji ne žele da ignorišu ovakve poruke, bivaju uskraćeni za veliki segment onlajn života, uključujući ponekad čak i udaljeni pristup vlastitom poslu.

Prodavci pretraživača , ukoliko bi strogo primjenjivali politiku sertifikata, i onemogućavali prikazivanje nesertifikovanih sajtova mogu samo da – izgube korisnike.  Potrošač će naprosto odabrati pretraživač koji će ga “pustiti da živi”. Zaključak : Oštećen PKI sistem se olako ignoriše, i mase uopšte ne mare za to.

Bezbjednosna greška 8. Vaši uređaji su san napadača.

Glavna prednost IT uređaja (appliances) – povećana bezbjednost - nije se pokazala.  Sa manje izloženim OS ( obično zaključani Linux ili BSD), uređaji obećavaju manju izloženost napadima nego što su to računarske konfiguracije sa tradicionalnim OS.  Ipak, to ne znači da nisu izloženi. Uređaji su zapravo operativni sistemi na zatvorenim diskovima ili sistemski softver, i upravo takav dizajn ih čini težim za primjenu pečeva.

Na primjer, jedno nedavno testiranje 100 američkih kompanija pokazalo je da je svaki od nekoliko stotina bežičnih mrežnih kontrolera nepečovani  Apache sa pokrenutim OpenSSH servisom. To oboje dozvoljava hakerima da preko javne bežične mreže pristupe internim kompanijskim mrežama kao admin. Njihovi IDS i Firewall uređaji sadržavali su skriptove davno ispoljenih ranjivosti i smiješnu autentifikaciju. Mejl servis je pokretao nesigurni FTP servis koji je dozvoljavao anonimne aploade.

Ovo nisu neobična otkrića. Uređaji često sadrže isto toliko ranjivosti koliko i njihovi softverski pandani, njih je samo teže nadograđivati i pečovati, i najčešće se to i ne radi. I umjesto da budu sredstva snažne odbrane, oni postaju san napadača.  Zato se u okruženjima sa puno uređaja preporučuje redovno penetraciono testiranje.

Bezbjednosna greška  9. Izolovana okruženja (sandboxes) su prav put ka osnovnom sistemu

Da li uzdahnuti svaki put kad se najavi novi bezbjednosni  sandbox?  Ovakva izolovana okruženja zamišljena su da spriječe upade, ili ih barem značajno otežaju. U stvarnosti, dešava se da svaki novi bezbjednosni sandbox upravo privuče pažnju hakera.  Najveća sigurna okruženja danas predstavili su Java i Google Chrome,  i oboje su iskusili preko 100 upada koji su oštetili sandbox i dozvolili direktan upad u osnovni sistem.

Ipak, to ne zaustavlja sanjare koji maštaju o tome da pronađu sigurno okruženje koje će zaustaviti sve napade, i ukinuti maliciozne napade zauvijek.

Nažalost, veliki dio kompjuterske bezbjednosti danas je više performans o sigurnosti nego sigurnost sama. Vaš posao je da između milijardu solucija izaberete one koje će zaista smanjiti vaš rizik. Bezbjednosne prakse koje su ovdje nabrojane nisu bezvrijedne, ali su naprosto previše nahvaljene. Kako to znamo? Pa zato što je svaka od njih implementirana, a hakovanje i upadi su popularniji nego ikad. Ne možemo zanemariti činjenice.

Original  preuzet sa  InfoWorld  By  Roger A. Grimes