...értékét próbálták növelni krómdíszekkel, ahelyett, hogy a biztonság fokozására törekedtek volna. A védelmi szoftverek mai gyártói hasonlóképpen a GUI (grafikus kezelőfelület) csiszolgatásával vannak elfoglalva, mivel ezzel tudnak pénzt keresni - új funkciókat viszont csak a felhasználók kifejezett nyomására építenek be a termékeikbe. Ez a kellemetlen megfigyelés képezi az IT-biztonsággal kapcsolatos nulladik "titkot", a szakértő azonban előadásában más elhallgatott problémákat is említett:

1., Az antivírus tesztek sikeres teljesítéséről szóló tanúsítványok gyakran félrevezetőek. A gyártók által szívesen reklámozott 100%-os eredmény ugyanis csak annyit jelent, hogy az adott termék alkalmas az önsokszorozó, önmagában terjedni képes kártevők, például a vírusok hiánytalan észlelésére. A modern ártó programok mintegy háromnegyede azonban ma már a trójaiak családjából kerül ki - ez fenyegetés-fajta nem terjed, hanem terjesztik és emiatt nem is szerepel a vírusvédelemi programok kereskedelmi célú hatékonyság-mérő vizsgálataiban.

A legelismertebb tesztrendszerek kifejlesztésének idején ez a megkötés még nem jelentett gyakorlati problémát, mivel akkoriban a kártevők 95%-a féreg és vírus kategóriába tartozott. Corman úr szerint viszont az helyzet időközben gyökeresen megváltozott és a tesztben elért sikerek értéke lecsökkent - a 100%-os minősítésû termékek esetén is csak a fenyegetések negyedének észlelésére van garancia.

2., A neten nincs kerítés. Sok gyártó kínál olyan hálózatbiztonsági eszközöket, amelyek a céges infrastruktúra peremén mûködve különféle átjárókat védenek. Felmérések szerint azonban az elvesztett vagy ellopott adatok legnagyobb része soha nem halad át tûzfalakon.

Az összes adatbiztonságot sértő incidens fele a fizikai biztonsággal kapcsolatos - például ellopott laptopokról és USB-memóriakulcsokról kerülnek ki az adatok, ráadásul nagyobb mennyiségben, mint ami egy átlagos hálózati incidens esetén megszokott.

A vállalatoknak ezért az üzleti folyamatok jobb felügyeletével [például a tárolóeszközök mozgásának korlátozásával és az adattitkosítás megkövetelésével] is tenniük kellene a biztonságért. Azok viszont, akik még hisznek az átjáró szintû védelem mindenhatóságában a szakértő szerint a Télapót váró gyerekekhez hasonlíthatók.

3., A gyártók nem örülnek a kockázatelemzésnek - ők saját, meglévő termékeiket szeretnék értékesíteni, ezért kevéssé érdekeltek az ügyfél valódi biztonsági igényeinek felderítésében. Egy NAC, azaz hálózati hozzáférést ellenőrző és korlátozó rendszer bevezetése valós problémára adott válasz lehet - Joshua Corman szerint azonban olyan biztonsági beruházásokkal, amelyek nincsek közvetlen hatással a vállalat által meghatározott három legfontosabb üzleti prioritásra, valószínûleg nem érdemes foglalkozni.

A kockázati felmérés eredményeiből akár az is kiderülhet, hogy a cég problémái legjobban a meglévő informatikai eszközpark hatékonyabb konfigurálásával és az üzleti folyamatok átszervezése révén orvosolhatók.

4., Nem csak a hibás szoftverek rejtenek sebezhetőséget - bár a biztonsági gyártók elsősorban ennek kivédésére ajánlják termékeiket. A szakértő szerint a sikeres behatolások többsége emberi hibára vezethető vissza. A főbb okok között említhető a gyenge jelszavak használata és az alapértelmezésen hagyott vagy egyszerûen hibásan beállított eszközök nagy száma.

Az emberi tényező is fontos kockázatnövelő elem, sok dolgozó bedől a megtévesztésen alapuló csalásoknak - Mr. Corman szerint a vírusok és trójai programok még teljesen hibátlan szoftverkörnyezetben sem vesznének ki, mert a felhasználók megtévesztése révén a programkód manipulálása nélkül is fenn tudnának maradni.

5., A szabályok betartása gyakran árt a biztonságnak. Az utóbbi időben több olyan törvény és iparági irányelv született az angolszász világban, amely kötelező érvénnyel előírja bizonyos informatikai tevékenységek adatvédelmi feltételeit. Ez a fejlemény két komoly problémát vet fel.

Az egyik közülük, hogy az elterjedt HIPAA és PCI követelmények betartása önmagában még nem garantálja a biztonságot, viszont elviheti az IT-költségvetés jelentős részét. A vállalat vezetése ugyanis elsősorban a megfelelőséggel kapcsolatos, ellenőrzés esetén számon kérhető intézkedések megvalósítására törekszik - ahelyett, hogy a hálózati felelős által valóban biztonságnövelő hatásúnak tartott beruházásoknak adnak prioritást.

A szabályozás egy másik, közvetett kockázatot is hordoz, a PCI DSS szabvány részletes követelményei ugyanis értékes információkkal szolgálnak a hackerek számára - akik így ki tudják kerülni az előírásos védelemmel rendelkező cégek hálózatának legjobban védett pontjait és máshol támadnak.

6., A szakértő a Storm botnet (más néven Viharféreg) esetére utalva rámutatott, hogy ez a járvány terjedése során kihasználta a biztonsági termékek gyenge pontjait - például azt, hogy a bot-fertőzés áldozatává vált gépek észlelésére alkalmas hálózat-figyelő rendszerek csak az üzleti szféra számára hozzáférhetőek.

A lakosság ilyen téren egyelőre védtelen, sok felhasználó ráadásul még rendszervédelmet nyújtó antivírus programot sem futtat, így kiszolgáltatott a megtévesztés trükkjeit kiválóan alkalmazó Viharféreggel szemben, a fertőzött gépek pedig gyakran a céges hálózatok ellen fordulnak.

7., Az informatikai biztonság állítólag már kinőtt a "csináld magad" korszakból. Joshua Corman szerint azonban ez csak részben igaz - bár a gyártók gyakran arról próbálják meggyőzni ügyfeleiket, hogy a vállalat saját erőforrásai nem lesznek elegendőek egy komplex védelmi rendszer kialakításához és üzemeltetéséhez.

A valóságban minden cég egyéniség, eltérő igényekkel, ezért még a megfelelő védelmi termék kiválasztása sem garantálja a biztonságot - az adott hálózati környezetnek leginkább megfelelő telepítés és beállítás feladatát pedig legjobban a cég saját informatikus gárdája képes elvégezni.

(Forrás: www.virushirado.hu)