Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност

6 мита за сигурността (част 2)

от , 05 април 2018 0 10746 прочитания,

Главните изпълнителни директори (CEO) трябва да ръководят стратегическото планиране и операции в своите компании, което е голяма отговорност. Често обаче те се заблуждават, че предприемат правните стъпки срещу заплахите, докато всъщност изхабяват голяма част от своя бюджет за ИТ сигурност за неща, които всъщност не работят. Ето кои са останалите три често срещани мита за компютърната сигурност, в които главните изпълнителни директори вярват.

6 мита за сигурността (част 2)


4. Спазването на правилата гарантира по-добра сигурност

Прочетете още: 6 мита за сигурността (част 1)

Главните изпълнителни директори са задължени да гарантират, че техните компании спазват всички юридически изисквания. В днешно време обаче обикновено се налага да бъдат изпълнявани много и противоречащи си регулации.

За съжаление, това, което се посочва в закона, често не гарантира необходимите защити. Например, вече се знае, че политиката насърчаваща създаването на дълги пароли, които трябва да включват сложни думи и често трябва да се сменят, всъщност води до по-голям риск в сравнение с простите словосъчетания, които никога не се променят.

Същевременно повечето специалисти по ИТ сигурност и главните изпълнителни директори не са запознати с тези препоръки. Но дори и да знаеха, те щяха сериозно да се затруднят при следването на по-новите и по-добри съвети за пароли. Причината за това е проста – нито една от настоящите регулации не е обновявана. Именно затова спазването на изискванията не винаги гарантира сигурност. Често дори се случва точно обратното.

5. Пачовете са под контрол

Повечето CEO смятат, че пачовете са под контрол. В реалността обаче това никога не се случва, дори при сигурни устройства като рутерите, защитните стени и сървърите.

Компаниите разполагат със стотици или хиляди програми, които трябва да бъде „закърпени“. Голяма част от тях не се нуждаят от пачове, не защото нямат бъгове, а защото киберпрестъпците не биха ги хакнали. Бъговете няма да бъдат открити и следователно не трябва да бъдат поправяни.

В повечето организации най-голям е рискът от кибератака при приблизително между 10 и 20 непоправени програми. При повечето от тях вероятно пачването е на доста високо ниво, с изключение само на една или две. За съжаление, именно тези една или две програми представляват основната заплаха за повечето фирми.  Но ако числата се докладват по отделно, то ще изглежда, че нивата на „закърпване“ са почти перфектни.

Например, една компания трябва да поправи около сто програми. От тях само при една нивата на пачване са ниски. При всички останали се достигат 99,5%. Това изглежда доста добре като статистика. Но всъщност тези числа показват, че половината от компютрите са уязвими и непачнати. И много вероятно тази ненапълно поправена програма ще бъде една от основните, които хакерите ще използват, за да извършат своята кибератака.

Тук дори не става дума за огромния брой непачнати хардуер, фърмуер и драйвъри, които повечето организации дори нямат намерение да поправят. Те даже обикновено не се включват в докладите. А напоследък хакерите се насочват все по-често към хардуера и фърмуера, което определено не е просто съвпадение.

6 мита за сигурността (част 1)

6. Обученията на служителите са адекватни

Една от основните заплахи в повечето компании е свързана с използването на социалното инженерство чрез имейла, уеб браузъра или дори чрез телефонно обаждане. Ако се разгледат големите хакерски атаки, които са причинили най-значителни вреди, то социалното инженерство вероятно е част от 99% от случаите.

И въпреки това много от компании отделят само 30 минути обучения на година за социалното инженерство. Експертите по компютърна сигурност са определили един от двата основни проблема в повечето организации (другият е непачнатият софтуер) и все пак не предприемат никакви действия в тази връзка. Вместо това служителите не са адекватно обучени как да се справят при при подобни ситуации, а компании продължават да стават жертва на атаки, независимо какво правят и колко ресурси инвестират.

В крайна сметка може да се заключи, че всички последващи митове пораждат първия: че хакерите и зловредния софтуер не могат да бъдат спрени. Това създава една погрешна представа, върху която се основават всички ИТ стратегии за сигурност. За да се промени това, компаниите просто трябва да приемат, че те самите определено не са безсилни, а киберпрестъпниците могат да бъдат победени.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов