Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Bezpieczeństwo - porozmawiajmy poważnie...

Nosiłem się z pomysłem na ten wpis od bardzo dawna. Ostatecznie wciąż się waham co o tym wszystkim myśleć. O czym?

A no o tym, że bezpieczeństwo w świecie IT stało się popularnym motywem. Stało się trendy. Czyli stan, o którym osoba odpowiedzialna za bezpieczeństwo informacji, wymarzyła sobie lat temu 10. Dziś pewnie pluje sobie w brodę. Ja sobie pluję. Bo wraz ze wzrostem popularności "bezpieczeństwa", bezpieczeństwo dewaluowało się. Brudziło. Podobnie jak sam internet, w którym od dawna więcej jest śmieci niż wartościowych treści. Co gorsza, bezpieczeństwo, hacking, wiedza o tym, zdaje się być przez niektórych postrzegana jak rodzaj elitarności. Zdaje się dawać urojoną przewagę nad innymi. Naturalny popęd defacto, ale ilu dziś siedemnastolatków wyposażonych w loica ma się za Petera Parkera?

Popularne jest przekonanie, że wyznacznikiem bezpieczeństwa jest ilość zabezpieczeń. Czasem ktoś pomyśli także o jakości zabezpieczeń, choć zazwyczaj gdy mowa już o jakości to wzmiankowany poziom bezpieczeństwa wyznacza iloczyn jakości i ilości. A przecież tak nie jest. Bezpieczeństwo to umiejętność zachowania równowagi między zabezpieczeniami a funkcjonalnością i wartością zabezpieczanego. Pomówmy o tym przez chwilę.

Co zabezpieczamy?

Czy pomyślałaś kiedyś czytelniczko albo Ty, czytelniku, co zabezpieczasz szyfrując swój dysk? Taki w domku, w komputerze który stoi w pokoju? No co tam masz, tak naprawdę? Zdjęcia z wakacji? CV? Nieopublikowane wiersze? Co zabezpieczasz, gdy zakładasz kolejne ACL na kolejne porty na swoim routerze? Zaszyfrowane pakiety http? Czy stajesz się bezpieczniejszy, gdy popatrzysz na kłódeczkę przy pasku adresowym? A na pewno to rozumiesz, wiesz co to oznacza? Jak myślisz, ilu złych przestępców czyha na Twoje dane dostępowe do Facebooka?

Tymczasem bez zmrużenia oka udostępniamy zdjęcia na portalach społecznościowych oddając je pod kontrolę, na którą nie mamy nawet złudnego wrażenia wpływu. Przesyłamy CV do pracodawcy, robiąc podobnie. Zakładając blokady na porty w końcu dojdziemy do takiego stanu, że nie uda nam się odpalić gry, a o uruchomieniu własnej nasłuchującej aplikacji będziemy mogli tylko poczytać w książkach o grzecznych chłopcach.

Poziom zabezpieczeń bowiem trzeba mądrze dostosować do zabezpieczeniami objętych elementów. Mówi się, że koszt przełamania zabezpieczenia powinien wynosić więcej niż wartość zabezpieczonych elementów. To uproszczenie. Nie jest tak do końca. Może się bowiem zdarzyć tak, że niezależnie od wartości elementów nie można je zabezpieczyć na tak wysokim poziomie.

Przykład? Nasz biznes opiera się na udostępnianiu usług powiedzmy finansowych. Realizujemy operacje kartami kredytowymi. Musimy więc przestrzegać bardzo surowych, ale jasno określonych reguł. Dodatkowo chcemy oferować dodatkowe usługi dla naszych klientów lub klientów naszych klientów. Musimy więc wystawić nieco więcej, niż każdy wystawia. Świadomie narażamy się na ryzyko, ale je podejmujemy.

Kiedy zabezpieczamy?

Analiza ryzyka. Dwa kluczowe słowa w kontekście bezpieczeństwa przez duże B. Firmy pracujące na rynku IT (choć moje doświadczenia ograniczone są głównie do dziedziny IT związanej z internetem) prześcigają się w ich tworzeniu. W czasie trwania analizy generowana jest lista aktywów (systemów, które będziemy zabezpieczać), lista potencjalnych zagrożeń wraz z prawdopodobieństwem wystąpienia, lista zabezpieczeń przeciw zagrożeniom wraz z ich ewentualną skutecznością. Na podstawie tych danych oblicza się różne współczynniki (między innymi tzw. security delta. Określa ona wartość bezpieczeństwa. W przypadku, gdy jest wyższa od zera uważa się, że wartość [koszt] bezpieczeństwa jest za wysoka, gdy niższa - wartość jest za niska). Na podstawie tych współczynników tworzona jest mapa bezpieczeństwa. Ta natomiast przekazywana jest właścicielom aktywów.

Tak, tak. To właściciel aktywów, a nie dział IT (albo jednostka wyznaczona do dbania o bezpieczeństwo informacji), podejmuje decyzje o wartości bezpieczeństwa i sposobie realizacji tegoż. Dział IT wchodzi do akcji dopiero, gdy właściciel systemu będzie tego oczekiwał.

Jak zabezpieczamy?

Złudne jest założenie, że wszystko da się zabezpieczyć systemowo. Wprowadzając firewalle, ipsy, ograniczać dostęp, szyfrując, tworząc DMZ i inne karkołomne zabezpieczenia. Przecież ktoś ostatecznie musi mieć dostęp do danych wrażliwych, które staramy się chronić. Inaczej jak miałyby powstać? Możemy potworzyć miliony procedur i najbardziej restrykcyjnych zasad wewnętrznych i pewnie i tak nie uda się wszystkiego ochronić. Ostatecznie dochodzimy do momentu, kiedy można zrobić tylko dwie rzeczy. Po pierwsze przenieść ryzyko na inny podmiot (ubezpieczyć się na wypadek utraty danych itd.). Po drugie - ryzyko zaakceptować.

Akceptacja ryzyka nie powinna być traktowana jako daleko idąca ignorancja. Wręcz przeciwnie. Raczej jako świadoma decyzja. Świadoma, to słowo, na które kładę nacisk. Nie można przecież doprowadzić do sytuacji, w której zabezpieczenia sparaliżują nasz biznes. W tym miejscu jest ogromne pole do popisu dla audytora, działu IT lub kogokolwiek, kto zajmuje się bezpieczeństwem. Należy właścicieli uświadamiać.

Świadome bezpieczeństwo

Moim zdaniem właśnie świadomość i konsekwencja są prawdziwymi wyznacznikami bezpieczeństwa. Te dwie cechy pozwalają na umiejętne odnalezienie równowagi między potrzebami zachowania odpowiedniego poziomu zabezpieczeń i płynności pracy.

A na koniec kilka sloganów, w które jeszcze wierze. Po pierwsze - bezpieczeństwo to proces. Nie wolno więc pracować w trybie reakcyjnym (rzucając się na głęboką wodę, zabezpieczając coś bez sensu i bez brania pod uwagę ewentualnych konsekwencji). Po drugie - nigdy nie przeprowadza się audytu niezabezpieczonych systemów. Jaki z tego sens? Audytowi poddaje się zabezpieczenia. Po trzecie - najsłabszym ogniwem jest człowiek, najbezpieczniejszy system operacyjny, najbezpieczniejsza aplikacja, najlepsze procedury nic nie dadzą, jeśli odpowiednio nie zabezpieczymy się przed człowiekiem wewnątrz.
 

bezpieczeństwo

Komentarze

0 nowych
januszek   18 #1 23.04.2013 13:34

Gadka szmatka o bezpieczeństwie ;)

budda86   9 #2 23.04.2013 13:56

"udostępniamy zdjęcia na portalach społecznościowych"

Kto udostępnia, ten udostępnia :)

"Przesyłamy CV do pracodawcy"

Przesyłamy, ale pracodawcy muszą przestrzegać przepisów o ochronie danych osobowych. I wszystkie poważne firmy, z jakimi miałem do czynienia, ich przestrzegają.

tfl   8 #3 23.04.2013 14:07

@budda86

Przestrzegaja, czy twierdza, ze przestrzegaja? Na tym polu (agencje rekrutacyjne) mam jakies tam doswiadczenie, z ktorego wynika, ze tylko twierdza, zazwyczaj majac blade pojecie o giodo.

adamwiacek   3 #4 23.04.2013 14:29

Ten kto szyfruje dysk, zwraca uwagę na poważne aspekty bezpieczeństwa stron, szyfrowań, jest świadomy ryzyka i zapisów każdej odwiedziny i ruchu w internecie raczej nie udostępnia wpisów i zdjęć: "co dziś jadłem, co zrobiłem, gdzie byłem, z kim byłem", ba a może nawet nie posiada konta na serwisach społecznościowych wiedząc jak one działają.

Niepotrzebnie porównujesz tutaj zwykłego użytkownika z działem IT, gdzie są twarde zasady polityki bezpieczeństwa.

Tak naprawdę pracownik w pracy powinien mieć dostęp TYLKO I WYŁĄCZNIE do danych w internecie, które mu są RZECZYWIŚCIE potrzebne do wykonywania obowiązków, reszta HALT, brak dostępu.

A poza tym wpis bardzo mi się podoba.

Axles   16 #5 23.04.2013 14:52

Mądre podejście do tematu, a takie się najlepiej czyta. Fakt nie ma sensu przesadzać z zabezpieczeniami, ale jeszcze gorsze jest całkowite olanie tematu. Wolę być w tych sprawach pesymistą niż optymistą (a realiście nie istnieją, nie oszukujmy się :P

GBM MODERATOR BLOGA  19 #6 23.04.2013 15:39

A no mądre, i fajnie że powiedziałeś o "nagłej" popularności branżą Security. Trochę mnie przeraża ta popularność bo więcej się będzie script kiddies generowało, ale z drugiej strony - więcej użytkowników będzie się opamiętywało ;)

Podejście imho masz słuszne. Ale apropo tej świadomości bezpieczeństwa - nie ma innej drogi, jak tylko szkolenia, szkolenia i jeszcze szkolenia. Tylko takie fajne, z podejściem - a nie wyklepanie formułek że nie robimy tego i tamtego "bo tak".

Frankfurterium   9 #7 23.04.2013 16:18

Parę podstawowych (uniwersalnych i ponadczasowych) prawd z zakresu bezpieczeństwa i ryzyka. Niestety, jako nieco "miękka" wiedza, trochę giną w gawędziarskim tonie wpisu, przez co można pomyśleć, że to:
"Gadka szmatka o bezpieczeństwie"

  #8 23.04.2013 17:27

Kompletnie wpis o niczym, żadnych konkretów sama paplanina

  #9 23.04.2013 17:38
tfl   8 #10 23.04.2013 17:46

@Frankfurterium

Jak znajde wiecej czasu to spisze cos wiecej na temat osstma. Boje sie tylko, ze audytorium na dp.pl moze byc skromne.


@GBM

Z dotychczas przeprowadzanych przeze mnie audytow procedur wewnetrznych wynika, ze niestety socjotechnika pozostaje skuteczna w 95% przypadkow.

Ja poza szkoleniami proponuje czesto wstyd. Wstyd, ktory towarzysz podaniu do publicznej (wewnatrz firmowej) wiadomosci o tym, w jak prosty sposob przy pomocy metod socjotechnicznych udalo sie cos uzyskac. To naprawde skuteczna metoda :)

GBM MODERATOR BLOGA  19 #11 23.04.2013 18:09

@tfl: No zdaję sobie z tego sprawę doskonale - socjotechnika to najlepsze narzędzie do łamania zabezpieczeń, mało tego - żaden soft, firewall czy choćby honeypot się nie obroni :)

A najlepszym lekarstwem są właśnie szkolenia. Jak uświadomisz i pokażesz jak łatwo zmanipulować - jest bardzo duży procent sukcesu :)

januszek   18 #12 23.04.2013 21:24

Ale jak chcecie mierzyć "sukces" w ciągłym procesie? ;) Sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, wtopa, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, sukces, ;)

tfl   8 #13 23.04.2013 21:44

@januszek

Sam sobie odpowiedziales i nie jestem pewny, czy masz tego swiadomosc, wiec odpowiem jeszcze raz - nie chcemy.

januszek   18 #14 23.04.2013 22:03

@tfl: Ciekawe byłoby gdybyś opisał te 5% przypadków, w których socjotechnika okazała się nieskuteczna.

Shaki81 MODERATOR BLOGA  37 #15 23.04.2013 22:04

Z tym bezpieczeństwem to ciężka sprawa, bo całkiem bez zabezpieczeń to się nie da dziś funkcjonować w Internecie. Natomiast zbyt wiele zabezpieczeń utrudnia nam życie. A znalezienie złotego środka proste nie jest.

januszek   18 #16 23.04.2013 22:11

@Shaki81: Moim zdaniem nie należy mówić o bezpieczeństwie bo wtedy wpada się w pułapkę gadki-szmatki czyli teoretyzowania i ogólników. Trzeba mówić o jakimś konkretnie nazwanym oraz jasno i wyraźnie opisanym niebezpieczeństwie.

tfl   8 #17 24.04.2013 08:03

@januszek

Jasne - po otrzymaniu wiadomosci typu scam pracownik poprawnie oznaczal ja (przekazal wiadomosc do pozostalych pracownikow), nie otworzyl linka. Inny przyklad - po otrzymaniu podejrzanej wiadomosci pracownicy skorzystali z sandboxowego komputera znajdujacego sie w oddziale w celu weryfikacji zawartosci przeslanego usb. Po probie wyludzenia informacji przez telefon nastapila weryfikacja dzwoniacego.

"Trzeba mówić o jakimś konkretnie nazwanym oraz jasno i wyraźnie opisanym niebezpieczeństwie."

Ignorujesz w ten sposob wszystkie nowe i nienazwane zagrozenia. A wektory i powierzchnie atakow zmieniaja sie co chwile w realnym swiecie. Abstrahujac od tego, ze nazwane oraz jasno i wyraznie opisane niebezpieczenstwo przestaje byc niebezpieczne. Zrozumienie tego wymaga jednak odrobiny wyobrazni oraz wiedzy wykraczajacej poza podrecznikowa definicje sql injection, xss albo "nowa luka w java".

januszek   18 #18 24.04.2013 08:12

No i znowu gadka-szmatka ;)

Severus   4 #19 24.04.2013 10:33

bardzo zagmatwany tekst..