Espion de sécurité Reconsidérer les 10 lois immuables de sécurité, partie 3
Jesper M. Johansson
Vous ’re probablement familiarisé avec les “ 10 immuables lois de la sécurité. ” C'est un essai sur la sécurité qui a été publiée environ huit années et reste à ce jour importantes et courantes. Ceci dit, un grand nombre a changé dans le passé huit ans, J'AI ont valeur pour examiner ces lois et voir si elles toujours valable. Dans twoinstallments précédent de la colonne espion de sécurité, J'AI expliqué les sept premier de ces lois.
À ce stade, les lois contiennent des très bien, malgré les advances monumental de sécurité et connectivité que nous l'avons vu dernières années. Si quelques les lois peuvent avoir une interprétation légèrement différente aujourd'hui, et lors de l'IL est peut-être certains formulaires d'atténuation partielle pour une ou deux de la législation, ils toujours qualifier que lois. Elles sont toujours très utiles de tramage une stratégie security d'informations, et dans un système commun loi nous prévoyons des lois de croître avec nous.
Ce mois-ci, j'expliquez les trois dernières lois et conclure avec des détails sur comment l'environnement peut avoir modifié et créé une nouvelle invalider que les lois remplir plus. Et si, par chance, vous n'avez pas lu le Essai d'origine, vous pouvez le trouver sur TechNet.
Loi 8: un obsolète antivirus est uniquement marginally mieux qu'aucun anti-virus tout.
De toutes les lois, c'est celui que la plupart indique son âge. Il se n'est pas qu'il n'existe aucun virus les plus — tout à fait le contraire. Aujourd'hui, les fournisseurs de logiciels antivirus réclamer qu'ils ajouter plusieurs milliers infectors par an. Et dans le « Symantec global Internet sécurité threat rapport," publié dans avril 2008, Symantec annoncées qu'il détecte plus de 1 million différentes menaces.
Où 8 de la loi indique sa durée de vie est qu'il spécifie un logiciel antivirus. Revenir dans la 1990s au plus tard, les virus étaient assez bien ce que nous avions à vous soucier de. Toutefois, les jours lorsqu'un virus de macro est la chose pire avec laquelle il nous fallait résoudre Microsoft Word sont désormais longs a disparu. Aujourd'hui nous lutte contre les virus, vers les logiciels espions, adware, enregistreurs de frappe, les rootkits, sites Web de hameçonnage, du courrier indésirable et robots. Et si ces n'est suffisante pour vous conserver sur votre toes, vous possédez également regarder pour logiciels faux contre les logiciels malveillants.
Les virus sont une technologie assez quaint par rapport à tout les malveillants autres que nous devons traitent dès aujourd'hui. Y importe très peu, puis, si votre logiciel antivirus est périmé si tout est quelque chose qui détecte le virus ? Évidemment, pratiquement aucun anti-malware logiciel n'est actuellement disponible qui seulement détecte le virus, mais Accentuation la loi ici, sur le scanneur antivirus est où affiche son âge. Pour être utiles même marginally, une solution de logiciels anti-programme malveillant doit détecter beaucoup plus que les virus.
Comme mentionné dans le dernier article de ma série en trois parties » Mots de passe et les cartes de crédit", ceci a conduit à un écosystème de case à cocher où les différents fournisseurs de logiciels sécurité concurrence selon le nombre de cases à cocher qu'ils peuvent réclamer à remplir. Un des méthodes qu'ils remplir ces cases à cocher consiste à protéger tous les différents types de logiciels malveillants.
La plupart des logiciels anti-programme malveillant logiciel est disponible uniquement comme des suites que faire beaucoup plus de logiciels anti-programme malveillant et inclure des consoles pour gérer toutes les fonctionnalités. la figure 1 illustre la console fournie par Microsoft Windows Live OneCare, qui inclut antivirus, détection des logiciels espions et fonctionnalités de sauvegarde ; suit le filtre d'hameçonnage intégrées dans Internet Explorer ; et inclut un pare-feu distinct qui repose pas sur l'intégrée Windows (redondance est habituelles dans suites de sécurité). Aujourd'hui, un logiciel antivirus est réellement logiciels contre les logiciels malveillants généralement avec extras.
La figure 1 console le Live OneCare est très typique des suites de sécurité aujourd'hui (cliquez sur l'image pour l'agrandir)
C'est parce que pose des logiciels malveillants plus que jamais et les criminels écriture de logiciels malveillants obtenez améliorer disguising comme logiciel légitime. Il est devenu réellement un hybride des logiciels de cheval de Troie et autres logiciels malveillants.
L'utilisateur moyen dispose d'une heure très dur indiquant légitime contre les logiciels malveillants. Et beaucoup de logiciels malveillants est provenant des sites Web légitimes ou sites servant à être légitime, souvent sous la forme de publicités. Certains même faire leurs deeds malveillant automatiquement, sans intervention de l'utilisateur fasse au-delà sur le site.
Logiciels de protection contre les programmes malveillants peut aider à détecter des ces logiciels malveillants. La meilleure approche pour conserver cette vague de criminality à emplacement consiste à utiliser les logiciels de protection contre les programmes malveillants et les pratiques ordinateur judicieux. Tandis que certaines peuvent dire que judicieux pratiques sont suffisantes seul, cela dépend de jugement bon et sens commun, attributs qui sont, malheureusement, disturbingly rare.
Ou envisagez un autre scénario : ordinateur utilisé par enfants. Ils ne possèdent aucune expérience appropriée pour appeler lors ; en outre, plusieurs parents ne comprennent pas sécurité ordinateur assez bien à transmettre son importance pour leurs enfants. En outre, il est presque impossible de superviser enfants chaque minute qu'ils utilisent un ordinateur.
Dans cette situation, logiciels de protection contre les programmes malveillants fournit au moins un filet de sécurité partiel, il force les criminels pour conserver améliorer leurs pratiques. Et cela peut entraîner un cycle vicious où le logiciel malveillant est mieux et mieux, clairement qu'il conserve également tout à fait un peu d'IL à emplacement.
Logiciels de protection contre les programmes malveillants peuvent conserver au moins le logiciel malveillant plus simple de l'écosystème, permettant les professionnels de sécurité pour vous concentrer sur les attaques plus sophistiquées. Si logiciels de protection contre les programmes malveillants est supprimé entièrement l'écosystème, il est effectivement probable que nous serait être absolument saturation même par des logiciels malveillants unsophisticated. Il serait pire aujourd'hui plusieurs ordres de grandeur.
Aucun de ce répond à la question sur la table, toutefois, qui est « juridiques 8 toujours bloqué? » Bien entendu, cela dépend interprétation. Du point de vue purist, la loi indique qu'antivirus n'est pas à jour est uniquement marginally mieux qu'aucun antivirus. Toutefois, avec des logiciels malveillants mutating rapidement comme il le fait que, vous pourriez facilement dire que les logiciels antivirus qui ne sont pas à jour sont totalement inutiles. Cela peut être un peu d'un hyperbole, mais il n'est pas une déclaration entièrement raisonnable.
Pour examiner la loi 8, un beaucoup plus réaliste consiste à reinterpret pour le monde moderne. Par conséquent, J'AI serait reprenez car « logiciel anti-malware doit être utilisé et maintenue à jour. » Si une prend cette vue de la loi plus pragmatique, puis la loi 8 sans aucun doute contient. Après tout, même le plus ardent adversaires de logiciels anti-programme malveillant ne peut pas dire avec succès que nous doit Bannir il dans l'écosystème de sécurité entièrement.
J'AI personnellement ont tendance à prendre une vue assez interpretive des lois et devez dire que 8 de la loi contient toujours. Cependant, je s'ajouter, avec des logiciels malveillants mutating plus en plus rapidement, il est absolument essentiel de maintenir les logiciels de protection contre les programmes malveillants à jour.
Loi 9: anonymat absolue pas pratique dans la réalité ou sur le Web.
Lorsque je pense que sur cette loi, je trouve difficiles ne pas à déchiffrer une blague sur comment notre gouvernements et grandes entreprises Assurez-vous que nous avons peu anonymat. Gouvernement des États-Unis les sociétés TJX le ensemble effectuées que ces informations personnelles sur environ la moitié des États-Unis remplissage a entré dans le portefeuille de l'underground criminelle. Lorsque J'adorerais d'imaginer qu'il ne tout anonymat, dans tous les practicality, anonymat n'existe aujourd'hui (sauf si vous êtes prêt à déconnecter, renoncer à vos comptes bancaires, déplacer sur une île desert et supprimer entièrement désactiver le graphique en radar complètement) pas.
Il y a un montant grande d'informations sur l'ensemble des nous qui nous donnent rangement délibérément ou qui peuvent être gleaned uniquement d'interagir avec nous. Sites de réseau sociales ont collectivement garantie que la plupart des adultes qui utilisent Internet et plusieurs enfants, ont une multitude d'informations personnelles disponibles publiquement. Partie qu'il n'est pas nécessairement informations qui nous intéressent personnes ont accès à. Certaines de celui-ci sont embarrassing pour nous ou d'autres personnes. Gardez (ESPRIT qu'un employeur potentiel peut cette photo incriminating de vous).
Il y a ensuite d'informations qui peuvent être parfois dangereux. Numéros de téléphone, adresses, finances et autre type d'informations personnelles doivent être traités comme sensibles. Dans un cas, un utilisateur a proposer un très bon moyen de suivre tous les sites Internet qu'il utilise pour la banque, gestion des cartes de crédit, et ainsi de suite. Il a créé une page d'accueil personnalisé avec tous les liens qu'il est nécessaire. Pour faciliter la mémoriser toutes les parties droite d'informations, il a également analysé tous ses documents importants, y compris un chèque dont son numéro de compte bancaire imprimé sur elle, son cartes de crédit (avant et arrière), son conduire, son passport et même sa carte de sécurité sociale.
Ce serait ont travaillé également si il a mis la page Web dans un endroit sûr. Malheureusement, sa page d'accueil personnel, qui est hébergé sur son fournisseur de services Internet, n'a pas privé. L'URL a montré dans la chaîne referrer sur chaque page qu'il a cliqué sur à partir de sa page. Suivant qui arrière dévoilées informations personnelles important de plusieurs milliers de dollars sur le marché criminelle. C'est un cas extrême, mais il met en évidence le point de comment important il est que vous gérez attentivement les informations que vous permettent en ligne concernant.
Bien que les sites de réseau sociales offrent généralement options de confidentialité élaborées, ils souvent ne sont pas activés par défaut. figure 2 illustre les contrôles de confidentialité pour Facebook, même pas dans les paramètres par défaut. Le point est, tandis que vous ne pouvez pas envisagez avoir anonymat absolue, vous pouvez conserver une certaine mesure d'anonymat si vous ne faites attention.
La figure 2 paramètres de confidentialité sur Facebook peuvent être restreintes si vous modifiez les paramètres par défaut (cliquez sur l'image pour l'agrandir)
Confidentialité sur Internet, en réalité, dépend en grande partie comment vous gérez. Vous ne pouvez pas vous si une agence gouvernementale ou Entreprise mishandles vos informations personnelles, mais vous pouvez travailler sur limiter l'impact d'une telle infraction. Et vous pouvez éviter tendant sur trop d'informations si pas absolument nécessaire.
Une méthode très utile de contrôler vos informations personnelles est établissement d'une alerte de fraude avec les bureaux de crédit-génération d'états principales. Malheureusement, en raison de persistant et réussi lobbying par bureaux de crédit, ils sont autorisés à effectuer ces alertes de fraude très onerous afin d'obtenir. Ils coût n'importe où dans $6 à $12 par bureau, par période de trois mois et généralement doivent être manuellement renouvelés. Une option mieux est d'utiliser un service tiers, tel que Debix debix.com et les définir les alertes de fraude pour vous.
Si vous ne souhaitez pas obtenir crédit, vous pouvez configurer un gel de crédit, toute personne empêche extraire votre rapport de solvabilité. Toutefois, les bureaux de crédit avez vérifié que freezes crédit ne sont pas juridiques dans la plupart des états ; de nombreux autres états qu'ils sont limités uniquement aux personnes qui ont déjà leurs informations personnelles volées. Crédit fige également coût beaucoup plus d'argent et doivent souvent être définie via messagerie certified. (Curiously, ils peuvent généralement être capturées par un simple appel téléphonique.)
Un autre pour contrôler vos informations personnelles consiste à restreindre les personnes autorisées il. Ne pas transmettre il via aux organisations qui ne nécessitent pas. Coller aux organisations que vous faites confiance et ne pas patronize organisations qui ont montré un Ignorer pour votre protection dans le passé. Il n'existe aucune raison de établir un compte et fournir des informations d'identification pour obtenir des informations de base. Si accès à un manuel de produit vous demande d'enregistrer sur un site Web, soit ne pas utiliser le produit ou informations fausse permet d'enregistrer. Si vous avez besoin d'une adresse de messagerie pour ce faire, utiliser un service de messagerie Web gratuit pour configurer un compte temporaire faux.
Tout ceci réellement sert preuve que 9 de la loi la plupart des blocages sans aucun doute encore. Votre capacité à conserver les éléments privés sur le Web et dans la réalité, n'a pas reçu les meilleure dernières années ; elle a vraiment obtenu un pire bits. Puisque les lois d'origine a été publiés, pratiquement tout ce dont a disparu en ligne et Internet est maintenant utilisé comme le conduit pour une quantité énorme d'entreprise qui utilise vos informations.
Par conséquent, il est désormais plus important que jamais pour conserver suivi de vos personnelles informations. La modification une que puis-je peuvent apporter à la loi 9 consiste à réécrire comme « anonymat absolue est impossible sur le Web, mais vous êtes dans un contrôle de la fermer à anonyme que. »
Loi 10: technologie n'est pas une panacée.
La loi 10 est un piège-tout. Il est destiné à noter qu'il n'aucun bouton grand, bleu sécurisés me-maintenant, ou du moins pas qui fonctionne. Technologie seule est n'est pas capable d'effectuer des assuaging notre problèmes de sécurité. Cela est un problème sérieux dû au fait que, partie l'industrie de la sécurité a essayé de son mieux convaincre des personnes que technologie, en fait, est une panacée. Le message d'abonnement est que tout ce dont vous avez besoin est la version la plus récente de la suite de sécurité droite et vous pouvez arrêter soucier tout le reste.
Ce n'est pas réellement où Scott Culp devait avec la loi 10 quand qu'il a été écrit à l'origine, mais comme avec toutes les lois idéal, agrandir et de évoluer avec les temps. L'objectif d'origine était de souligner que technologie elle-même ne sera pas parfaite, et même s'il s'agissait, les pirates devez accédez ailleurs. Lorsque les lois ont été écrits, l'enregistrement de sécurité technique était loin d'être stellaire. Microsoft était sous siege, et 10 de la loi existait, de certaines façons, un moyen de Microsoft pour expliquer son enregistrement de sécurité.
10 De la loi, cependant, a également prescient de nombreuses façons. L'explication inclut l'instruction que si vous augmenter le coût et les difficultés d'attaque de technologie de sécurité, pirates vous répondra par décalage leur focus hors de la technologie d'et vers l'utilisateur.
C'est exactement ce qui est survenue. Technologie est trop difficile rompre ; êtres humains ne sont pas. Ainsi, les criminels sont attaquent humaines aux différents ingénierie sociale et techniques de phishing. Dans un monde où insecurity peut être monetized, c'est l'ordre naturel de choses.
Pas ne comporte que 10 de la loi, il était similaire à l'avance de sa, beaucoup à l'avance de sa, c'est-à-dire que lorsque la loi est aujourd'hui comme true, l'explication semble un peu du. Peut-être la loi dû simplement une autre connotation lorsqu'il a été écrite. Aujourd'hui il toujours contient, mais la signification a été modifié et l'interprétation doit augmenter. Nous devons rechercher au-delà des technologies et travailler sur la partie de processus de sécurité et le côté de personnes de l'équation. Pour réussir, nous doit savoir comment sécuriser ces parties de l'écosystème.
Maintenant que ?
Les lois ont révélé être très réactifs. Elles contenir donc huit ans. Quelques particulièrement 10 de la loi, semblent comme elles ont augmenté même après les heures et pourraient tout aussi facilement ont été écrites hier. La loi finale, est un piège-tout pour des raisons pratiques, a été visionary (ou moins activée hors de cette manière). Il semble avoir foreseen la nouvelle branche de sécurité logicielle est donc essentielle d'un écosystème sain.
Technologie n'est vraiment aucun panacée. Uniquement en comprendre cette situation peuvent les lois ont été formulées en premier lieu. Uniquement en prenant en compte le fait que la technologie est fallible pouvez une personne entièrement apprécier tous les autres lois. En fait, si vous examinez lois 1 à 9, à un moment donné tous sont vers le bas sécurité logicielle et de processus. Toutes les sont essentiellement sur une configuration incorrecte, un correctif manquant, un problème introduit par un être humain, ou une autre forme de mishandling du système ou les données qu'il protège.
Lorsque J'AI tout d'abord pour écrire cette série en trois parties, j'avais chaque intention d'ajouter quelques lois de mon propre. Au cours de l'analyse les lois, cependant, J'AI ont disposent de réaliser que ceci donc est inutile. La loi 10 additionne tous les autres et couvre tout ce que J'AI avez peut-être ajouté. En fait, au lieu d'ajouter, J'AI serait simplement reprenez 10 de la loi comme « technologie n'est pas une panacée et déplacement au-delà de cette misperception est essentiel de sécurité. »
N'oubliez pas que ces lois proviennent d'une heure lorsque l'environnement informatique a été décalage à partir d'un mind-set Y2K pour un monde d'experts d'audit. Sécurité a maintenant overtaken mindshare tout.
Pourquoi est-qui ? Elle est principalement en raison de la croissance explosive d'entreprises criminelles. Les criminels, bon nombre d'entre elles fonctionnent en le ouvert dans les pays sans un système juridique intéressé par nous réalisé que qu'ils peuvent valoriser sécurité informatique lax protection. Cela a touché le commerce de médicaments, le mafia dans les anciens Bloc est, groupes terroristes et ainsi de suite.
Ordinateur délit est maintenant déterminée purement par trois facteurs : greed, ideology et supremacy national. Pour combattre ces nouvelles attaques, nous doit fonctionner dans le cadre des lois immuables. Nous devez également rendre compromis difficiles, mais j'enregistrer ce sujet pour un futur article.
Jesper M. Johansson est architecte sécurité principal pour une 200 entreprises classées dans Fortune connus et contribue également à l'élaboration de TechNet Magazine. Il contient un Dr. dans Gestion des informations systèmes, a plus de 20 ans expérience de sécurité et est plus Valuable Professional (MVP Microsoft) dans la sécurité d'entreprise. Son dernier ouvrage est le Windows Server 2008 Security Resource Kit.