ГлавнаяНовостиСтатьиВендорыКаталог  +7 (495) 231-0169 © 

[ Список статей ] ...


ITSec.ru. Watchguard: во втором квартале 2020 года число атак уменьшилось, но вредоносное ПО стало агрессивнее

CISO CLUB. Ультимативный гайд по электронным подписям от УЦ ITCOM

WhatsBetter.ru. Лучшие антивирусы 2020

WhatsBetter.ru. Лучшие браузеры 2020

WhatsBetter.ru. Какая операционная система лучше?

WhatsBetter.ru. Что лучше: Windows 10, 8, 7, Vista или XP?

WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

Илья Шабанов. Названы самые комфортные в работе антивирусы

Мария «Mifrill» Нефедова. Облава: о том, как спецслужбы ловят дропов, и не только

Алексей Кадиев. Ботнет Bredolab. Конец истории?

Юрий Ильин. «Добровольные» DDoS-атаки: комментарии экспертов

Берд Киви. За кулисами кибервойны

Берд Киви. Шифровальщик устал...

Chad Perrin. Эффективное уничтожение данных на жестких дисках и других накопителях

Н.Н. Федотов. Риски системного администратора: семь и еще один способ подвести сисадмина под монастырь

Берд Киви. Ближе к железу

Microsoft TechNet. Десять непреложных законов безопасности

Анатолий Темкин. Как карта ляжет

Андрей Сидельников. Правообладатели не придумали, как делить болваночный сбор

Антон Носик. Лохотрон в зоне .рф

Максим Букин. Лжевирусы атакуют

habr.ru. Взгляд на современные системы защиты от спама веб-форм

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 Chad Perrin 

  

Десять самых распространенных ошибок в сфере компьютерной безопасности, которые ни в коем случае нельзя совершать


  В этой статье я хочу рассказать о десяти ошибках, связанных с обеспечением безопасности, которые совершаются прямо-таки повсеместно. Это не просто «распространенные ошибки» — это исключительно глупые и элементарные ошибки, для предотвращения которых, казалось бы, вполне достаточно даже самого минимального набора знаний в области безопасности.

  1. Отправка конфиденциальных данных в незашифрованных электронных письмах. Прекратите слать мне пароли, личные идентификационные номера и данные учетных записей в незашифрованных электронных письмах, очень вас прошу! Я прекрасно понимаю, что большинство рядовых пользователей слишком лениво, чтобы пользоваться шифрованием, но я-то не рядовой пользователь. Если уж вы готовы слать незашифрованные конфиденциальные данные им, уважьте и меня — обеспечьте надежную защиту при отправке секретной информации.

  См. также:

  2. Использование «контрольных» вопросов, ответ на которые легко угадать. Номер страховки, девичья фамилия матери, имя домашнего питомца, дата рождения — все это не является надежным средством идентификации личности. Использование таких «контрольных» вопросов для восстановления пароля конечного пользователя делает сам пароль практически бесполезным, потому что любой, у кого есть время и желание, может в таком случае с легкостью подобрать ключик к чужой учетной записи.

  3. Использование чересчур строгих ограничений на выбор пароля. Мне приходится возмутительно часто сталкиваться с системами управления финансами онлайн (типа интернет-банкинга), которые устанавливают такие строгие ограничения на выбор пароля, что защищенность интерфейса от этого только снижается. Пароли из шести цифр пользуются у нас просто устрашающей популярностью, и это еще не самый вопиющий пример.

  См. также:

  4. Слепое доверие в вопросах безопасности производителям программного обеспечения. Поставщиков ПО, которым можно безоговорочно доверять, просто не существует. В конечном счете, единственное, что интересует производителей — это их собственная прибыль и доля на рынке. Иногда это действительно побуждает их укреплять безопасность своих программных продуктов и услуг, но порой — совсем наоборот. Поэтому определение «надежной безопасности» от поставщика ПО всегда следует ставить под сомнение. Не разрешайте производителям решать за вас, что для вас важнее.

  5. Непонимание того, насколько важен профессиональный опыт в сфере безопасности. Руководители корпораций (и технически подкованные ИТ-специалисты в том числе) часто не уделяют должного внимания проблеме профессионализма в области безопасности. Доходит до того, что в исследовательские группы по разработке стандартов безопасности входит немало талантливых программистов и ни одного специалиста по криптографии (как это было в случае с WEP) — притом что они пытаются создавать стандарты, опирающиеся непосредственно на шифровальные алгоритмы.

  См. также:

  6. Непонимание того, насколько важна независимая проверка. Даже работу экспертов по специфическим видам безопасности должны проверять такие же опытные специалисты. В сфере безопасности взаимные проверки — нечто вроде священного Грааля абсолютной защиты, и никакая система не может считаться безопасной до тех пор, пока не будет тщательно и глубоко испытана специалистами, не причастными к ее разработке.

  См. также:

  7. Излишняя забота о секретности. Многие разработчики программного обеспечения в сфере безопасности не только недооценивают важность независимой проверки, но и переоценивают значимость секретности. Они обосновывают свой отказ отправить работу на проверку независимым специалистам тем, что самое главное — это держать политику безопасности в секрете. Между тем, как гласит принцип Керкгоффса (одна из фундаментальных аксиом науки безопасности), если безопасность системы зависит исключительно от сохранения ее архитектуры в секрете, такая система не может считаться надежно защищенной.

  8. Использование средств идентификации личности, которые легко подделать. Любые системы, предусматривающие пересылку по факсу подписей, фотокопий или сканов удостоверений/паспортов в качестве средства идентификации личности, являются, по сути, декоративными — ворох мишуры и отсутствие реального результата (то есть, в данном случае, безопасности). Подделать такие некачественные копии, сделанные с помощью технических средств прошлого (или даже позапрошлого) поколения, — легче легкого. На самом деле, копии подписей и паспортов могут служить надежным средством идентификации личности только тогда, когда на копии совсем не похожи. Другими словами, только качественная преднамеренная подделка оригинала может считаться хорошей копией, усложняющей злонамеренную подделку.

  См. также:

  9. Бессмысленное изобретение велосипеда. Очень часто разработчики нового ПО в сфере безопасности пытаются заново создать то, что уже было создано до них, не имея на то веских оснований. Многие производители программного обеспечения страдают «синдромом оригинальности» и в итоге создают программы, не имеющие новых полезных функций. Само по себе это еще не страшно, но ведь новое программное обеспечение зачастую не проходит независимой проверки, изобилует ошибками, уже устраненными в других воплощениях подобных программ, и в общем, ужасно все портит. Прежде чем приступать к разработке нового ПО, подумайте, нет ли уже готовых качественных приложений такого рода, и если ваша будущая программа обладает действительно новыми и полезными функциями, не лучше ли добавить эти функции к чему-то уже существующему вместо того, чтобы создавать себе и людям кучу проблем, пытаясь это существующее заменить.

  10. Подмена реальной безопасности ложным чувством защищенности. Ошибка настолько абсурдная, что даже трудно сформулировать ее суть. Тем не менее, она так распространена, что не включить ее в этот список просто нельзя. Люди вручают ключи от своей системы безопасности любому, кто представится экспертом, причем делают это охотно, с энтузиазмом и порой даже ни капли не задумываясь. «Центры сертификации» говорят, кому доверять, лишая пользователей возможности самостоятельно принимать решения о доверии; провайдеры услуг электронной почты предлагают серверное шифрование и дешифрование данных, лишая людей возможности самостоятельно шифровать письма и управлять собственными шифровальными ключами; операционные системы самовольно запускают службы и приложения, лишая пользователей возможности защититься от мобильного вредоносного ПО. Не доверяйте управление безопасности третьим лицам! Конечно, не все могут разработать надежную программу или политику в области безопасности исключительно самостоятельно, но это еще не значит, что такая программа или политика должна лишать вас возможности управлять ею самолично.

Источник: winblog.ru  

Рейтинг @Mail.ru
Rambler''s Top100