Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 7, 2009

Когато защитите паднат (Не ако, именно когато)

Рано или късно, някой ще придобие достъп до вътрешната ви мрежа. Дали чрез social engineering, или чрез браузър експлоит, чрез пробив в уязвим сървър, приложение или просто като постъпи на ниска позиция в компанията за да открадне данни - това ще се случи

от , 14 юли 2009 1 15010 прочитания,
Страница 1 от 2

Александър Свердлов

Това твърдение се базира на солиден опит и много, много случаи в които съм виждал компрометирани защити. Нека разгледаме най-добрия възможен вариант на добре защитена компания.

Имаме изградени процедури по създаване, проверка, одобрение и изпълнение на всяка възможна промяна в бизнес системите, имаме най-добрите корпоративни защитни стени и антивирусни системи, имаме IDS и IPS системи пред и зад защитната стена, включително и на всеки клиентски компютър. Обаче... в един момент тези системи се обръщат срещу нас. Имаме сървъри, на които работят критични за бизнеса приложения. Един ден разбираме, че е налице уязвимост в сървърната операционна система, но не можем да си позволим да приложим кръпката - има опасност за бизнес процесите ако сървъра престане да работи, и просто приемаме риска. "Кой ще атакува точно нас, точно сега, с точно тази уязвимост? Едва ли. Затова, приемаме риска".

Никой няма да се цели точно в нашата компания

Да... реално, никой няма да атакува точно сега, срещу точно тази уязвимост, точно вас. Защото наистина, едва ли на някой ще му се занимава да следи точно вашата компания и да чака да се появи уязвимост (освен ако не сте "на прицел" - ще се спра и на това) и причината е проста. Когато е налице публично експлоатирана уязвимост, т.нар. 0-day, изключително бързо на сцената излизат роботи, програмирани да сканират цели мрежови сегменти за тези уязвимости и да се възползват от тях. Никой няма да се занимава да ви атакува, да търси уязвимости, да рискува безопасността си с опасни действия - просто ще се случи автоматично. Естествено, не говорим за частни експлоити, които се търгуват на черния пазар и излизат наяве чак след като някой независим изследовател намери същата уязвимост и я публикува - тези частни експлоити се използват, когато сте под таргетирана атака.

Когато сте на прицел

Ако разполагате с информация, която може да е търсена на черния пазар - лични и банкови данни, уникален и скъп софтуер, медицински тайни, патентовани непубликувани технологии - и някъде по света някой е готов да плати за тях, има голяма вероятност също така някъде, някой по света да иска да вземе парите и да открадне информацията от вас. И ако този някой е опитна група от специалисти, ... не съм чувал за случай, в който такава група да не постигне целта си и да не успее да проникне в целевата организация. Може да има такива случаи, но аз не знам за такива. Когато чуя "таргетирана компания", чувам всъщност "компания в чиято мрежа има нарушител".

Следователно е време да смените начина си на мислене - от "какви защити имаме" е време да минете на "как пазим информацията" - а ако информацията ви е от особена стойност просто приемете, че във всеки момент от време, в мрежата ви има нарушител(и). Дори не е нужно те да имат връзка помежду си - чувал съм за това как някой прониква в дадена компания, и открива следи от предишни прониквания. И ето една интересна мисъл: ако компанията знаеше за предишните, мислите ли че нямаше да изчисти тези следи? Имайки предвид това, въпросът който трябва да си задавате в момента е: "Ако в мрежата ни има нарушител, как ще предпазим данните си?"

Този начин на мислене може да ви предпази много по-добре, отколкото оглеждането за най-добрата защита на пазара. Просто няма такава - има най-добре продавана защита, но не най-добра сама по себе си.

Враг в крепостта

И така, имаме нарушител (не "потенциален,", реален). Ако е в мрежата, той вече има достъп до потребителското име и парола на поне един служител в най-добрия случай, в най-лошия има достъп до домейн контролер като администратор и може да получи достъп до всяка точка в мрежата, която се контролира от този домейн контролер.

1 2

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов