Vigilancia de seguridad Visita las diez normas inmutables de seguridad, parte 3
Jesper M. Johansson
’Re probablemente conozca los “ diez normas inmutables de seguridad. ” Se trata de un ensayo en la seguridad que se ha publicado aproximadamente ocho años y permanece importante y populares a este día. Dicho esto, ha cambiado mucho en el pasado ocho años, lo cual han establecer fuera para examinar estas leyes y ver si aún mantenga es true. En el twoinstallments anterior de la columna Vigilancia de seguridad, describen la primera siete de estas leyes.
Hasta ahora, las leyes mantenga copia bastante bien, a pesar de las advances monumental de seguridad y conectividad que hemos visto en los últimos años. Aunque algunas de las leyes que tenga una interpretación ligeramente diferente hoy en día y aunque puede haber algunas formas de la mitigación parcial para uno o dos de las leyes de, todavía certificarse como leyes. Todavía son muy útiles en una estrategia de security información de tramas, y en un sistema común ley Esperamos leyes para crecer con nosotros.
Este mes se enumerarán las tres últimas y concluyen con algunos conocimientos acerca de cómo es posible que han cambiado y crea un nuevo void que ya no se rellenan las leyes el entorno. Y si, al azar, no ha leído el ensayo original, puede encontrarlo en TechNet.
Ley nº 8: un detector de virus obsoleta es únicamente ligeramente mejor que ningún detector de virus en absoluto.
De todas las leyes, éste es el que la mayor parte muestra su edad. No resulta que no hay ningún virus ya, bastante el opuesto. Hoy en día los proveedores de antivirus reclamar agreguen varios infectors de cien mil por año. Y en el "Symantec global Internet seguridad amenazas informe," publicado en abril de 2008, Symantec anunciado que detecta ahora más de 1 millón diferentes amenazas.
Donde ley 8 se muestra que su edad es que especifica un detector de virus. Nuevo en el tiempo de ejecución los 90, los virus eran prácticamente todo lo que tuvimos que preocuparse de. Sin embargo, los días cuando un virus de macro fue lo peor que tuvimos que competir de Microsoft Word ahora largo ha desaparecido. Hoy nos combatir virus, gusanos, spyware, adware, registradores de pulsaciones de teclas, los rootkits, sitios Web de suplantación de identidad, correo electrónico no deseado y los robots. Y si los no suficiente para mantener, en sus ocupados, también tiene que inspeccionar fuera software antimalware FALSO.
Los virus son una tecnología bastante quaint comparada con todas las otras malintencionadas cosas que tenemos que afrontar hoy en día. ¿Importa, entonces, si el software antivirus es actualizado si todos los tiene es algo que detecta los virus? Obviamente, no hay prácticamente antimalware software disponible en la actualidad que sólo detecta los virus, pero énfasis la ley aquí en el detector de virus es donde se muestra su edad. Para ser útil incluso ligeramente, una solución antimalware debe detectar mucho más que los virus.
Como se indicó en la última entrega de la serie de tres partes" Las contraseñas y tarjetas de crédito", esto ha llevado a un ecosistema de casilla de verificación que compiten los diversos proveedores de software de seguridad según el número de casillas de verificación que pueden solicitar que se va a rellenar. Una de las formas que rellenan esas casillas de verificación es la protección contra todos los tipos distintos de software malintencionado.
La mayoría de los software antimalware está disponible sólo como conjuntos que mucho más de protección contra software malintencionado y las consolas para administrar todas las características se incluyen. la figura 1 muestra la consola de Microsoft Windows Live OneCare, que incluye el antivirus, anti spyware y características de copia de seguridad; realiza un seguimiento el filtro de suplantación de identidad integrado en Internet Explorer; y incluye un firewall independiente que no se basa el uno integrado en Windows (una redundancia es habitual en conjuntos de seguridad). Hoy en día, software antivirus es realmente software antimalware normalmente con extras.
La figura 1 OneCare Live la consola es muy típica de conjuntos de seguridad hoy en día (haga clic en la imagen de una vista más grande)
Que la porque no hay software malintencionado más que nunca y los delincuentes escribir malware está obteniendo mejor en camuflar, como software legítimo. Realmente ha convertido en un híbrido de software de caballo de Troya y otro malware.
El usuario medio tiene un tiempo de extremadamente difícil indicando legítimo de software malintencionado. Y una gran cantidad de código dañino es hacia arriba de sitios web legítimos, o sitios que solían estar legítimos, con frecuencia en el formulario de anuncios. Algunas incluso hacen sus deeds malintencionadas automáticamente, con ninguna interacción del usuario fuera absoluto visite el sitio.
Software de protección contra software malintencionado ayuda a detectar algunos de este software malintencionado. El mejor enfoque para mantener este ola de criminality en compartimento es utilizar tanto software antimalware y prácticas de equipo sensato. Mientras algunos pueden argumentar que sensato prácticas son suficientes por sí solo, esto depende buen juicio y sentido común, los atributos que son, por desgracia, inquietantemente raro.
O considere otro escenario: equipo usando elementos secundarios. No tienen ninguna experiencia relevante para llamar al; Además, muchos de los padres no comprenden seguridad del equipo lo suficientemente bueno para transmitir su importancia a sus elementos secundarios. Además, es casi imposible supervisar secundarios cada minuto que utilizan un equipo.
En esta situación, el software antimalware proporciona al menos una red de seguridad parcial, obliga a los delincuentes para mantener mejorar sus prácticas. Y aunque esto puede provocar un ciclo vicious donde el malware se convierte en una mejor y mejor, claramente también mantiene bastante un poco de, en el compartimento.
Software antimalware es posible que tenga al menos el malware más básico del ecosistema, permitir que los profesionales de seguridad centrarse en los ataques más sofisticados. Si software antimalware se quitará por completo el ecosistema, es de hecho probable que se podría ser absolutamente saturación incluso por malware unsophisticated. El problema podría ser muchas órdenes de magnitud peor que hoy.
Ninguno de esto responde a la pregunta en la tabla, sin embargo, que es "policía 8 suspensión sigue?" Obviamente, depende interpretación. Desde una perspectiva purist, la ley indica que el antivirus que no está actualizado sólo es ligeramente mejor que ningún antivirus. Sin embargo, con código malintencionado mutating como rápidamente como lo hace, se podría fácilmente argumentar que software antivirus que no está actualizado es totalmente inútil. Esto puede ser un poco de un hyperbole, pero no es una reclamación totalmente poco razonable.
Un mucho más realista observar ley 8 consiste en lo reinterpret para todo el mundo moderno. Por lo tanto, podría replantee lo como "software anti-malware se debe utilizar y mantienen actualizado." Si una toma esa vista pragmática más de la ley, a continuación, 8 ley definitivamente contiene. Después de todo, incluso más ardent oponentes del software de protección contra software malintencionado no se pueden argumentar correctamente que se debe banish en el ecosistema de seguridad totalmente.
Personalmente tienden a tomar una vista bastante interpretive de las leyes y podría argumentar que 8 ley mantiene. Sin embargo, podría agregar que, con código malintencionado mutating más rápidamente, es absolutamente fundamental para mantener el software antimalware actualizados.
No ley nº 9: anonimato absoluta es práctica en la vida real o en el Web.
Cuando pienso en esta ley, resultar difícil no descifrar algunos chiste acerca de cómo nuestro gobiernos y corporaciones grandes asegúrese de que se tienen anonimato muy poco. El gobierno de Estados Unidos y compañías de TJX el conjuntamente han realizado que esa información personal en aproximadamente la mitad de las tablas de impuestos de nóminas de EE.UU. población ha introducido en la cartera de la underground criminal. Mientras que quiero podría imaginar que hay cualquier tal lo que anonimato, en práctica todo, anonimato no existe hoy en día (a menos que esté dispuesto a desconectar, renunciar a sus cuentas bancarias, mover a una isla desert y colocar fuera la radial totalmente completamente).
Hay una gran cantidad de información sobre todos de nosotros que se proporcionen fuera deliberadamente o que se puede gleaned sólo de interactuar con nosotros. Sitios de redes sociales colectivamente han asegura de que la mayoría de los adultos que utilizan Internet y varios elementos secundarios, tienen mucha información personal disponible públicamente. Gran parte de él no es necesariamente información que desee puedan tener acceso a. Parte es embarrassing a nosotros o a otros usuarios. (Recuerde que una empresa potenciales puede ver que foto incriminating del).
A continuación, hay información que se puede dañar completamente. Los números de teléfono, direcciones, finanzas y cualquier otro tipo de información personal se deben tratar como confidencial. En un caso, un usuario tenía proponer una muy buena forma de realizar un seguimiento de todos los sitios de Internet que utiliza para banca, administración de tarjetas de crédito, y así sucesivamente. Crea una página principal personalizada con todos los vínculos que sea necesario. Para que sea fácil de recordar todas las piezas derecha de la información, también examina todos sus documentos importantes, incluyendo un cheque con su número de cuenta bancaria imprimir en él, sus tarjetas de crédito (solicitudes de cliente y servicios), su conducir, su passport y incluso su seguridad social tarjeta.
Esto se ha trabajado bien si tenía que la página Web en un lugar seguro. Por desgracia, su página principal personal, que se aloja en su proveedor de servicios de Internet, no privado. La dirección URL mostrado hacia arriba en la cadena de remitente en cada página que hizo clic en desde su página. Después de dicha dirección URL espera revela información personal merece la pena varios miles de dólares en el mercado criminal. Esto es un caso extremo, pero resalta el punto del grado de importancia es que administrar cuidadosamente la información que permite a en línea sobre sí mismo.
Mientras sitios sociales de redes suelen ofrecen opciones de privacidad elaborado, a menudo no activa de forma predeterminada. Figura 2 muestra los controles de privacidad para Facebook, aunque no en su configuración predeterminada. El punto se encuentra, mientras que no se prevé tener anonimato absoluto, puede mantener una medida determinada de anonimato si cuidado.
La Figura 2 configuración de privacidad en Facebook puede ser restringidos si cambiar los valores predeterminados (haga clic en la imagen de una vista más grande)
Privacidad en Internet, como en la vida real, depende en gran medida cómo administra. No se puede ayudar cuando una autoridad gubernamental o corporación mishandles su información personal, pero puede trabajar en mitigar el impacto de una infracción de este tipo. Y puede evitar entrego sobre demasiada información cuando no sea absolutamente necesario.
Un método muy útil para controlar su información personal es establecer una alerta de fraude con las principales agencias de informes de crédito. Por desgracia, debido a persistentes y correcta lobbying por agencias de crédito, se permite hacer muy onerosa para obtener estas alertas de fraude. El costo en cualquier lugar de $6 que $12 por la oficina, por período de tres meses, para y normalmente deben manualmente renovar. Una mejor opción es utilizar un servicio de terceros, como Debix (debix.com) y que establecer las alertas de fraude para usted.
Si no necesita obtener el crédito, puede configurar una inmovilización de crédito, impidiendo que cualquiera que extraer el informe de crédito. Sin embargo, las agencias de crédito ha asegurado de que freezes de crédito no son legales en la mayoría de los estados y en muchos otros estados están limitados sólo a las personas que ya se había su información personal robado. Crédito inmoviliza también costo mucho más dinero y a menudo tiene que configurarse a través de correo certified. (Curiously, pueden normalmente, se quite con una simple llamada de teléfono.)
Otra forma de controlar la información personal es restringir lo quién. No entregar a través de para las organizaciones que no necesitan. Cumplir para las organizaciones que confía y no patronize las organizaciones que mostraron un disregard para la protección en el pasado. No hay ningún motivo para establecer una cuenta y proporcionar las credenciales para obtener información básica. Si el acceso a un manual de producto requiere que para registrarse en un sitio Web, no utilizar el producto o utilizar información falsa para registrar. Si necesita una dirección de correo electrónico para ello, utilice un servicio de correo Web gratuito para configurar una cuenta falsa temporal.
Todo esto realmente sirve como prueba que 9 ley suspensiones definitivamente siguen la mayoría. Su capacidad para mantener las cosas privada en el Web y en la vida real, no ha llegado cualquier mejor en los últimos años; ha llegado realmente bastante peor bits. Puesto que la legislación original se publicaron, prácticamente todo lo que ha perdido en línea y Internet ahora se utiliza como el conducto para una cantidad enorme de negocio que utiliza la información.
Por lo tanto, ahora es más importante que nunca para realizar un seguimiento de su personal información. La modificación de una que se puede realizar en 9 derecho es escribirlo como "anonimato absoluta es imposible en el Web, pero se encuentra en control de cómo cerrar anónimos obtendrá."
Ley 10: tecnología no es una panacea.
10 De derecho es un problema de todo. Está diseñada para señalar que hay ningún botón grande, azul seguras me de ahora, o al menos no que funciona. Tecnología independiente es incapaz de assuaging nuestros problemas de seguridad. Éste es un problema grave debido a que tanto de la industria de seguridad ha intentado su mejor convencer a las personas que la tecnología, de hecho, es una panacea. El mensaje periódico es que todo lo que necesita es la versión más reciente del conjunto de seguridad correctos y puede dejar de preocuparse por todo lo demás.
No es realmente donde se iban Scott Culp con 10 derecho al que se escribió originalmente, pero como todas las leyes excelente, crecen y evolucionan con las horas de. La intención original era señale que propia tecnología no estará perfecta, y incluso si fuera, los atacantes iría en otro lugar. Cuando se han escrito las leyes, el registro de seguridad técnica era lejos de stellar. Microsoft estaba en siege y 10 derecho, en cierta forma, una forma de Microsoft explicar su registro de seguridad.
Ley 10, sin embargo, también era prescient de muchas maneras. La explicación incluye la instrucción que si eleva el costo y la dificultad de atacar la tecnología de seguridad, malos responderá por desplazamiento su enfoque fuera de la tecnología y hacia el usuario.
Es exactamente qué ha ocurrido. Tecnología es demasiado difícil de romper; no son los usuarios. Por lo que los delincuentes ataquen los seres humanos con diversos estratagemas sociales y técnicas de suplantación de identidad. En un mundo donde se puede monetized inseguridad, es la progresión natural de cosas.
No sólo contiene 10 legales, era muy similar de antemano su, con mucho por delante de su tiempo, es decir, que si bien la ley hoy en día es como true, la explicación parece un poco fecha. Quizás la ley simplemente tenía un connotation diferente cuando se escriben. Hoy en día mantiene, pero ha cambiado el significado y la interpretación debe crecer. Debemos buscar más allá de la tecnología y trabajar en la parte del proceso de seguridad y el lado de las personas de la ecuación. Para tener éxito, se debe averiguar cómo proteger aquellas partes del ecosistema.
¿Ahora qué?
Las leyes han demostrado para ser realmente flexible. Todos ellos contienen, por tanto, ocho años. Unos pocos, especialmente 10 legales, parecen como ha crecido incluso con las horas y podría misma facilidad haberse escritos ayer. La ley final, se un problema de todo para todos los propósitos prácticos, se visionary (o al menos resultó de este modo). Parece han foreseen la nueva bifurcación de seguridad de software que es tan importante para un ecosistema en buen estado.
La tecnología realmente no es panacea. Sólo si conoce este hecho podría las leyes han ha formulado en primer lugar. Sólo por teniendo en cuenta el hecho de que la tecnología es fallible puede una persona totalmente apreciar todas las leyes. De hecho, si observa leyes 1 al 9, en algún momento todos ellos ven hacia abajo a proceso y seguridad de software. Todas ellas son esencialmente acerca de configuración incorrecta, falta una revisión, una vulnerabilidad introducido por una que humanos o alguna otra forma de mishandling del sistema o los datos se protege.
Cuando primero establece fuera para escribir esta serie de tres partes, tenía cada intención de agregar unos leyes de mi propio. En el transcurso de analizar la legislación, sin embargo, ha llegado a tener en cuenta que si lo hace por lo que no es necesario. 10 De ley suma todos los demás y trata de algo que haya agregado. De hecho, en vez de agregar, podría simplemente replantee ley 10 como "tecnología no es una panacea y mover más allá de este misperception es esencial para seguridad".
Recuerde que estas leyes provengan de una hora cuando se desplazando el entorno de IT un mind-set el año 2000 a un mundo de expertos de auditoría. Seguridad ahora ha superado mindshare todo.
¿Por qué es? Es en gran parte debido el crecimiento explosivo de empresas criminales. Los criminales, muchos de ellos funcionando en el abierto en países sin un sistema legal interesado en proteger nos, producidas que podría monetize seguridad informática relajada. Esto ha analizado el comercio de drogas, la mafia en el anterior Bloc este, grupos terrorist y así sucesivamente.
Ahora está controlada crimen informático únicamente por tres factores: greed, ideología y supremacy nacional. Para combatir estos ataques nuevos, nos debe funcionar dentro del marco de las normas inmutables. También se deben realizar pros y contras difíciles, pero guardará esa discusión de una columna futura.
Jesper M. Johansson es un arquitecto de seguridad principal para un 200 Fortune conocido y es un redactor a TechNet Magazine. Contiene un pH.d. en sistemas de administración de información, tiene más de 20 años experiencia en seguridad y es más valiosos Professional (MVP de Microsoft) en la seguridad empresarial. Su último libro es la Windows Server 2008 Security Resource Kit.