Често Задавани Въпроси

Абонаменти

RSS Кратки статии RSS Пълни статии Atom

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Последни туитове

chzvnet
  • CHZV.netRT @dave_rel1k: SET v1.5 interactive shell running on OSX. No sir your machine isn't infected, mac's don't have viruses. http://yfrog.co ... - на 16/06/2011 в 09:17:09
  • CHZV.netRT @PrivacyCamp: PayPal vulnerability allows access to any account within 30 seconds http://ow.ly/5iZcK - на 16/06/2011 в 09:07:16
  • CHZV.netХроника на сагата около Сони - кога и какво е хакнато - http://t.co/sxejfv4 - на 11/06/2011 в 11:56:21
  • CHZV.netRT @mikkohypponen: Malware gang's $14.8 million bank account frozen: http://bit.ly/jrcTuf from F-Secure Weblog - на 11/06/2011 в 01:54:21
  • CHZV.netRT @mikkohypponen: Citibank says they too were hacked. They lost card information of one percent of their customers: http://t.co/5sFxWOz ... - на 09/06/2011 в 08:33:22
  • CHZV.netRT @dave_rel1k: Another Social-Engineer Toolkit (SET) update, added multi-threading to spear phishing mass mails. #sweet - на 09/06/2011 в 07:38:55
  • CHZV.netRT @taviso: Should you trust a root CA that couldn't keep track of it's own keys? Trick question, you already do. http://i.imgur.com/oTS ... - на 09/06/2011 в 07:37:36
  • CHZV.netRT @DarkReading: Meeet the 'ad hijacking' attack: http://tinyurl.com/44rfnhk - на 07/06/2011 в 17:39:03
  • CHZV.netRT @rapid7: New Metasploit modules designed specifically for testing firewalls, IDS, IPS, and DLP solutions - http://r-7.co/jZlksz - на 07/06/2011 в 03:49:34
  • CHZV.netRT @lennyzeltser: TDL rootkit implements its own file system to store files on the hard drive: http://bit.ly/jNriDd by @ESETLLC - на 07/06/2011 в 03:34:08
  • CHZV.netRT @dave_rel1k: SET v1.4.1 has been updated in the Back|Track repositories. Lot's of bug fixes and updates around relative paths and fea ... - на 07/06/2011 в 03:32:12
  • CHZV.netRT @mikkohypponen: Fun trick of the day: Try 'ping 2130706433' from the command line and figure out why it works. - на 23/05/2011 в 23:09:33
  • CHZV.netRT @dave_rel1k: The Social-Engineer Toolkit (SET) v1.4.1 has been released. Adds statistics for harvester, bug fixes, and more. - на 20/05/2011 в 22:54:02
  • CHZV.netRT @Reuters: Sony hacked again http://t.co/RI14jsL - на 20/05/2011 в 17:53:37
  • CHZV.netRT @lordparody: My new security slogan. "Better Safe Than Sony" - на 20/05/2011 в 17:51:57
My Twitter, by Xhanch
 

Как да се издъним с Информационната сигурност

March 20th, 2009 от singu

Продължавайки с наваксването – SANS са публикували много приятна статия за нещата, които не бива да правим, ако искаме смислена политика по сигурността.
Ето и превода с малко изменения, за да отговаря на реалността в България:

Как да се издъним с Информационната сигурност

Политика за сигурност и съвместимост:

  • Игнорирайте държавните изисквания, както и стандартите на партньорските ви организации
  • Приемете, че потребителите ще прочетат политиката за сигурност изцяло, просто защото сте го поискали от тях
  • Метнете се във въвеждане на стандарт като ISO 27001/27002 без предварителна подготовка
  • Създайте правила в политиката за сигурност, които не можете да наложите ефективно
  • Наложете правила за сигурност, които не са одобрени по надлежния ред
  • Сляпо следвайте изискванията за съвместимост, без да създадете цялостна политика по сигурността
  • Създайте политика по сигурността, просто за да отбележите чекбокс
  • платете на някой да ви напише политиката по сигурност, без този някой да познава вашия бизнес или процесите в организацията
  • Уверете се, че никой от служителите не може да намери и прочете политиките по сигурност
  • Приемете, че ако политиката за сигурност е работила миналата година, то тя ще работи и следващата.
  • Приемете, че ако сте изпълнили изискванията на държавата и външните организации, то вие се защитени
  • Приемете, че политиката за сигурност не се отнася за шефовете
  • Скрийте неща от одиторите

Инструменти

  • Използвайте продукт, както е изваден от кутията, без допълнителни настройки
  • Настройте IDS-а да е твърде шумен или твърде тих
  • Купувайте секюрити продукти, без да се заитересувате от поддръжката, или колко ще струва да се въведат в употреба
  • Разчитайте на антивирусен софтуер и файъруол, без да имате допълнително ниво на контрол
  • Редовно тествайте мрежите си за уязвимости, но не четете резултатите.
  • Оставете антивирусния софтуер, IDS-а и всичко останало на “автопилот”
  • Използвайте различни технологии, без да разбирате напълно какво допринася всяка за сигурността
  • Фокусирайте се на лъскавите джаджи, като пропуснете факта, че трябва да поддържате отчетността.
  • Купете скъп продукт, когато бързо и евтино решение може да адресира 80% от проблема.

Управление на риска

  • Опитайте се да приложите едни и същи правила за сигурност за всички ИТ обекти в политиката, независимо от рисковия им профил
  • Направете някой отговорн за управлението на риска, но не му давайте никакви права да взема решения
  • Игнорирайте цялостната картина, когато се фокусиране на деталите в анализа на риска
  • Приемете, че не трябва да се тревожите за сигурността, защото организацията ви е твърде малка или незначителна
  • Приемете, че сте защитени, защото не е имало инциденти със сигурността напоследък
  • Бъдете параноични, без да се замислите за ценността на дадения ИТ обект или за това доколко е изложен на риск.
  • Класифицирайте всички ИТ обекти като “свръхсекретно”

Практики

  • Не преглеждайте логовете на системи, приложения или секюрити продукти
  • Очаквайте потребителите ви да забравят за удобствата си в името на сигурността
  • Осигурете инфраструктурата толкова здраво, че да е трудно да се свърши каквато и да е работа
  • Отговаряйте с “Не” на всяко запитване
  • Наложете изисквания по сигурността, без да предоставяте необходимите обучения и инструменти
  • Фокусирайте се върху превенцията, без да обръщате внимание на механизмите за детекция
  • Нямайте демилитаризирана зона ( DMZ ) за сървърите, които са достъпни от Интернет
  • Приемете, че процеса за патчване на софтуера е ефективен, без да го проверявате
  • Трийте логове, защото са твърде големи за четене
  • Очаквайте SSL да адресира всички проблеми със сигурността във вашето уеб приложение
  • Забранете употребата на външни USB флашове, без да ограничавате по никакъв начин достъпа до Интернет.
  • Дръжте се надменно с колегите си, системните администратори и разработчиците
  • Спрете да учите за технологии и атаки
  • Въвеждайте свръхнови ИТ или секюрити технологии, без да им дадете шанс да съзреят
  • Наемете някой на работа, просто защото има много сертификати
  • Не уведомявайте мениджъра си за проблемите по сигурността, избегнати благодарение на вашите усилия
  • Дръжте отделно ИТ поддръжката и хората, които се занимават със сигурността. Не им позволявайте да се обучават заедно.

Пароли

  • Изисквайте потребителите ви да си сменят паролите твърде често
  • Очаквайте, че вашите потребители ще запомнят паролите си без да ги записват
  • Наложете твърде обременителни правила за избор на парола
  • Използвайте една и съща парола на системи, които са изложени на различен риск или съдържат данни с различна критичност.
  • Наложете изисквания за пароли, без да се съобразявате колко лесно може да бъде ресетната парола

И накрая един от любимите комикси ( Dilbert ) напоследък илюстрира точно грешния манталитет:

Dilbert.com

Подобни статии:

  1. Практическо приложение на видеокартите в информационната сигурност
  2. Сигурност при виртуализация
  3. Уволнен недоволен служител – как да се справим с риска ?
  4. Сигурност при 3G
  5. Сигурност при браузърите

Изпрати по email Изпрати по email |

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.