Ciekawostka ma już co prawda kilku dni, ale warto ją odnotować.
Po raz kolejny okazało się, że polscy specjaliści od bezpieczeństwa dorównują (jeżeli nie przewyższają) umiejętnościami swoim zagranicznym kolegom.
Gdy przez świat przebiega dyskusja na temat zbyt dobrych zabezpieczeń oferowanych przez BlackBerry, zabezpieczeń, których nie potrafią złamać siły specjalne różnych Państw w ramach prowadzonych śledztw, prawie bez echa przeszła informacja, że Ministerstwo Finansów jest kilka kroków przed nimi. W ubiegłym tygodniu opublikowano informacje, że zabronione jest korzystanie z tych urządzeń przez pracowników ministerstwa. Podstawą do tej decyzji był fakt, że "urządzenia te nie gwarantują odpowiedniego poziomu zabezpieczeń - wyjaśnia Maria Hiż z biura prasowego Ministerstwa Finansów".
Polak potrafi... A jak :-)
26 października 2010
21 października 2010
Reguły i regułki 2.0
W trakcie wczorajszej konferencji CheckPoint Security Day zwróciłem szczególną uwagą na prezentację „Polityka bezpieczeństwa 2.0” wygłoszoną przez Jarosława Prokopa. Zwrócił on szczególną uwagę na to, ze obecnie stosowane na urządzeniach aktywnych polityki bezpieczeństwa (czyli tytułowe reguły i regułki) w niedługim czasie utracą dalszy sens – ich bieżąca konfiguracja stanie się zbyt częsta i skomplikowana by móc za nią nadążyć. Tradycyjne „geograficzne” zarządzanie siecią oparte na adresach IP nie jest w stanie sprostać swojej roli w sytuacji gdy:
- Mamy mobilnych pracowników zmieniających nie tylko biurka ale i kontynenty
- W firmie pracują kontraktorzy, którzy naprawdę potrzebują dostępu do Internetu
- Odwiedzają nas goście, którzy naprawdę chętnie skorzystaliby z sieci
- Budujemy rozwiązania wirtualne, gdzie termin IP zaczyna się rozmywać
W takiej sytuacji tworzy się kolejne vlan’y, ustawia statyczne IP dla pojedynczych użytkowników… potrafi to być żmudne, nie jest to lubiane przez IT (bo trzeba to robić na wczoraj), nie jest to lubiane przez bezpieczeństwo (gdyż ktoś grzebie przy regułach bezpieczeństwa. Rozwiązaniem przyszłości są oczywiście funkcjonalności programów produkowanych przez CheckPoint :)
A tak na serio to po raz kolejny pewnie ta firma pokazuje nam trendy. Chociaż zresztą nie jest to nic nowego – proponują rozwiązania bazujące na rolach. Nowe systemy mają odejść od reguła ustawianych na konkretne IP na rzecz reguł przydzielanych konkretnym UŻYTKOWNIKOM, pracującym w konkretnych GRUPACH (rolach) na zdefiniowanych grupach KOMPUTERÓW.
Dobre skonfigurowanie systemu pozwoli na bardziej elastyczne tworzenie polityki bezpieczeństwa biorąc pod uwagę ROLĘ pracownika (zdefiniowaną w Active Directory) jak również miejsce z którego prowadzi pracę (laptop prywatny, służbowo utwardzony PC…). Na tej bazie będzie można określać z czym może się łączyć użytkownik (IP, serwer, aplikacja), czy opierając się o DLP określać jakie dane przesyłać (szczególnie podoba mi się funkcja ASK – pozwala na ruch, ale wymaga podania uzasadnienia, które jest analizowane i może służyć za podstawę do zdefiniowania polityki bezpieczeństwa dla konkretnego użytkownika).
CheckPoint już to potrafi, inni pewnie niedługo też będą, pozostanie tylko jedno małe ale… Jak tym teraz zarządzać?
Już teraz, bazując tylko na IP polityka bezpieczeństwa na firewallu potrafi być niesamowicie trudna do analizy. Gdy pojawią się polityki pisane per user (IT będzie musiało się tu wykazywać wielką asertywnością, ale na pewno będzie bardzo dużo wyjątków), to KTO i JAK będzie w stanie dokonać analizy tego czy dane naprawdę są zabezpieczone przed zniszczeniem, modyfikacją czy upublicznieniem?
- Mamy mobilnych pracowników zmieniających nie tylko biurka ale i kontynenty
- W firmie pracują kontraktorzy, którzy naprawdę potrzebują dostępu do Internetu
- Odwiedzają nas goście, którzy naprawdę chętnie skorzystaliby z sieci
- Budujemy rozwiązania wirtualne, gdzie termin IP zaczyna się rozmywać
W takiej sytuacji tworzy się kolejne vlan’y, ustawia statyczne IP dla pojedynczych użytkowników… potrafi to być żmudne, nie jest to lubiane przez IT (bo trzeba to robić na wczoraj), nie jest to lubiane przez bezpieczeństwo (gdyż ktoś grzebie przy regułach bezpieczeństwa. Rozwiązaniem przyszłości są oczywiście funkcjonalności programów produkowanych przez CheckPoint :)
A tak na serio to po raz kolejny pewnie ta firma pokazuje nam trendy. Chociaż zresztą nie jest to nic nowego – proponują rozwiązania bazujące na rolach. Nowe systemy mają odejść od reguła ustawianych na konkretne IP na rzecz reguł przydzielanych konkretnym UŻYTKOWNIKOM, pracującym w konkretnych GRUPACH (rolach) na zdefiniowanych grupach KOMPUTERÓW.
Dobre skonfigurowanie systemu pozwoli na bardziej elastyczne tworzenie polityki bezpieczeństwa biorąc pod uwagę ROLĘ pracownika (zdefiniowaną w Active Directory) jak również miejsce z którego prowadzi pracę (laptop prywatny, służbowo utwardzony PC…). Na tej bazie będzie można określać z czym może się łączyć użytkownik (IP, serwer, aplikacja), czy opierając się o DLP określać jakie dane przesyłać (szczególnie podoba mi się funkcja ASK – pozwala na ruch, ale wymaga podania uzasadnienia, które jest analizowane i może służyć za podstawę do zdefiniowania polityki bezpieczeństwa dla konkretnego użytkownika).
CheckPoint już to potrafi, inni pewnie niedługo też będą, pozostanie tylko jedno małe ale… Jak tym teraz zarządzać?
Już teraz, bazując tylko na IP polityka bezpieczeństwa na firewallu potrafi być niesamowicie trudna do analizy. Gdy pojawią się polityki pisane per user (IT będzie musiało się tu wykazywać wielką asertywnością, ale na pewno będzie bardzo dużo wyjątków), to KTO i JAK będzie w stanie dokonać analizy tego czy dane naprawdę są zabezpieczone przed zniszczeniem, modyfikacją czy upublicznieniem?
20 października 2010
Hakowanie TV na żywo
Kilka dni temu przypomniałem opisany (i wykonany) przez gazeta.pl włam na super zabezpieczoną transmisję z serwisu prezydent.pl
Dziś znów w temacie włamań podczas transmisji na żywo. Nastolatek w NL postanowił włamać się do systemu wyświetlającego tekst osobom czytającym wiadomości w Editie NL. Wywołał tym spore zdziwienie prowadzących.
Dziś znów w temacie włamań podczas transmisji na żywo. Nastolatek w NL postanowił włamać się do systemu wyświetlającego tekst osobom czytającym wiadomości w Editie NL. Wywołał tym spore zdziwienie prowadzących.
18 października 2010
Bezpieczeństwo baz danych
Independent Oracle Users Group (IOUG) opublikowała ostatnio raport dotyczący bezpieczeństwa danych "2010 IOUG Data Security Survey". Jedna rzecz mnie tam praktycznie powaliła na podłogę: szczetrość respondentów. Dokładniej chodzi mi o znajdujące się na stronie 14 pytanie czy osoby (zazwyczaj szefowie bezpieczeństwa lub IT) wypełniające ankietę wiedzą o wszystkich bazach danych zawierających poufne dane. Chcesz znać odpowiedź? Zajrzyj do raportu - znajdziesz tam również sporo innych szczerych odpowiedzi dotyczących szyfrowania danych, danych testowych...
15 października 2010
IT Security Management GigaCon 2010
 | 30 listopada podczas konferencji IT Security Management GigaCon będę miał zaszczyt przedstawić, podczas wykładu inauguracyjnego, prezentację pod tytułem: "Jak skutecznie zarządzać bezpieczeństwem informacji czyli praktyczne zastosowanie modelu wielowarstwowej ochrony". |
Przedstawię tam znane z teorii wojskowości podejście "defence in-depth" składające się z szeregu technicznych i organizacyjnych mechanizmów kontrolnych, które odpowiednio zorganizowane są w stanie znacznie zwiększyć poziom bezpieczeństwa informacji w organizacjach.
Serdecznie zapraszam czytelników tego bloga na tę darmową konferencję oraz na zapoznawczą kawę w trakcie którejś z przerw!
14 października 2010
Kevin Mitnick
W trakcie konferencji HOPE w 2004 roku Kevin Mitnick zebrał się na szczerość i zaczął opowiadać różne historie z młodości. Niektóre z nich były raczej zabawne...
Subskrybuj:
Posty (Atom)