ГлавнаяНовостиСтатьиКаталогВендорыСтандартыОбучениеКонтакты  +7 (495) 231-4831    © 


[ Список статей ] ...


WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

С-Терра СиЭсПи. Защита удаленного доступа. Доверенный сеанс связи

CNews. Fortinet включает защиту уровней доступа в систему обеспечения ИБ

CNews. ИТ-подразделениям всё труднее контролировать корпоративные данные в «облаке»

Jammer.ru. Apple следит за своими поль-зователями через Yosemite

Lenta.ru. Разоблачение «Корпорации добра»

Securelist. Доставка от спамеров: опасность гарантирована

Lenta.ru. Интернет-Мерфи

3DNews. Сноуден как повод

Компьютерра. Plug&Pray: скрытая атака через USB

SecurityLab. Как я взломал роутер

Securelist. Дыры в защите корпоративной сети: облачные сервисы

Андрей Козенко, Султан Сулейманов. «Не понимают, как работает интернет»

Евгений Царев. Впечатление от PHDays 2013 или кто заказчик кибербезопасности в России?

Олег Парамонов. Десять страхов: крах интернета, Big Data, утрата знаний и другие вещи, которые пугают учёных и футурологов

Brian Donohue. Альтернативные браузеры с улучшенной защитой

Бёрд Киви. Специалисты предупреждают...

Андрей Шуклин. Big Data: новый рынок, новые перспективы

Luis Corrons. Twitter, Facebook, Apple, Microsoft… кто следующий?

Антон Носик. Лохотрон в зоне .рф

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 Chad Perrin 

  

Десять самых распространенных ошибок в сфере компьютерной безопасности, которые ни в коем случае нельзя совершать


  В этой статье я хочу рассказать о десяти ошибках, связанных с обеспечением безопасности, которые совершаются прямо-таки повсеместно. Это не просто «распространенные ошибки» — это исключительно глупые и элементарные ошибки, для предотвращения которых, казалось бы, вполне достаточно даже самого минимального набора знаний в области безопасности.

  1. Отправка конфиденциальных данных в незашифрованных электронных письмах. Прекратите слать мне пароли, личные идентификационные номера и данные учетных записей в незашифрованных электронных письмах, очень вас прошу! Я прекрасно понимаю, что большинство рядовых пользователей слишком лениво, чтобы пользоваться шифрованием, но я-то не рядовой пользователь. Если уж вы готовы слать незашифрованные конфиденциальные данные им, уважьте и меня — обеспечьте надежную защиту при отправке секретной информации.

  См. также:

  2. Использование «контрольных» вопросов, ответ на которые легко угадать. Номер страховки, девичья фамилия матери, имя домашнего питомца, дата рождения — все это не является надежным средством идентификации личности. Использование таких «контрольных» вопросов для восстановления пароля конечного пользователя делает сам пароль практически бесполезным, потому что любой, у кого есть время и желание, может в таком случае с легкостью подобрать ключик к чужой учетной записи.

  3. Использование чересчур строгих ограничений на выбор пароля. Мне приходится возмутительно часто сталкиваться с системами управления финансами онлайн (типа интернет-банкинга), которые устанавливают такие строгие ограничения на выбор пароля, что защищенность интерфейса от этого только снижается. Пароли из шести цифр пользуются у нас просто устрашающей популярностью, и это еще не самый вопиющий пример.

  См. также:

  4. Слепое доверие в вопросах безопасности производителям программного обеспечения. Поставщиков ПО, которым можно безоговорочно доверять, просто не существует. В конечном счете, единственное, что интересует производителей — это их собственная прибыль и доля на рынке. Иногда это действительно побуждает их укреплять безопасность своих программных продуктов и услуг, но порой — совсем наоборот. Поэтому определение «надежной безопасности» от поставщика ПО всегда следует ставить под сомнение. Не разрешайте производителям решать за вас, что для вас важнее.

  5. Непонимание того, насколько важен профессиональный опыт в сфере безопасности. Руководители корпораций (и технически подкованные ИТ-специалисты в том числе) часто не уделяют должного внимания проблеме профессионализма в области безопасности. Доходит до того, что в исследовательские группы по разработке стандартов безопасности входит немало талантливых программистов и ни одного специалиста по криптографии (как это было в случае с WEP) — притом что они пытаются создавать стандарты, опирающиеся непосредственно на шифровальные алгоритмы.

  См. также:

  6. Непонимание того, насколько важна независимая проверка. Даже работу экспертов по специфическим видам безопасности должны проверять такие же опытные специалисты. В сфере безопасности взаимные проверки — нечто вроде священного Грааля абсолютной защиты, и никакая система не может считаться безопасной до тех пор, пока не будет тщательно и глубоко испытана специалистами, не причастными к ее разработке.

  См. также:

  7. Излишняя забота о секретности. Многие разработчики программного обеспечения в сфере безопасности не только недооценивают важность независимой проверки, но и переоценивают значимость секретности. Они обосновывают свой отказ отправить работу на проверку независимым специалистам тем, что самое главное — это держать политику безопасности в секрете. Между тем, как гласит принцип Керкгоффса (одна из фундаментальных аксиом науки безопасности), если безопасность системы зависит исключительно от сохранения ее архитектуры в секрете, такая система не может считаться надежно защищенной.

  8. Использование средств идентификации личности, которые легко подделать. Любые системы, предусматривающие пересылку по факсу подписей, фотокопий или сканов удостоверений/паспортов в качестве средства идентификации личности, являются, по сути, декоративными — ворох мишуры и отсутствие реального результата (то есть, в данном случае, безопасности). Подделать такие некачественные копии, сделанные с помощью технических средств прошлого (или даже позапрошлого) поколения, — легче легкого. На самом деле, копии подписей и паспортов могут служить надежным средством идентификации личности только тогда, когда на копии совсем не похожи. Другими словами, только качественная преднамеренная подделка оригинала может считаться хорошей копией, усложняющей злонамеренную подделку.

  См. также:

  9. Бессмысленное изобретение велосипеда. Очень часто разработчики нового ПО в сфере безопасности пытаются заново создать то, что уже было создано до них, не имея на то веских оснований. Многие производители программного обеспечения страдают «синдромом оригинальности» и в итоге создают программы, не имеющие новых полезных функций. Само по себе это еще не страшно, но ведь новое программное обеспечение зачастую не проходит независимой проверки, изобилует ошибками, уже устраненными в других воплощениях подобных программ, и в общем, ужасно все портит. Прежде чем приступать к разработке нового ПО, подумайте, нет ли уже готовых качественных приложений такого рода, и если ваша будущая программа обладает действительно новыми и полезными функциями, не лучше ли добавить эти функции к чему-то уже существующему вместо того, чтобы создавать себе и людям кучу проблем, пытаясь это существующее заменить.

  10. Подмена реальной безопасности ложным чувством защищенности. Ошибка настолько абсурдная, что даже трудно сформулировать ее суть. Тем не менее, она так распространена, что не включить ее в этот список просто нельзя. Люди вручают ключи от своей системы безопасности любому, кто представится экспертом, причем делают это охотно, с энтузиазмом и порой даже ни капли не задумываясь. «Центры сертификации» говорят, кому доверять, лишая пользователей возможности самостоятельно принимать решения о доверии; провайдеры услуг электронной почты предлагают серверное шифрование и дешифрование данных, лишая людей возможности самостоятельно шифровать письма и управлять собственными шифровальными ключами; операционные системы самовольно запускают службы и приложения, лишая пользователей возможности защититься от мобильного вредоносного ПО. Не доверяйте управление безопасности третьим лицам! Конечно, не все могут разработать надежную программу или политику в области безопасности исключительно самостоятельно, но это еще не значит, что такая программа или политика должна лишать вас возможности управлять ею самолично.

Источник: winblog.ru  




Рейтинг @Mail.ru

Rambler's Top100
Rambler's Top100