Vlákno názorů k článku Česku chybí znalosti v kyberbezpečnosti, plně ji neovládají ani ajťáci od Tomáš2 - nemyslím si, že penetrace do nějakého prostředí je...
-
Tomáš2 (neregistrovaný)
nemyslím si, že penetrace do nějakého prostředí je přímo úměrná schopnosti administrátora udržovat bezpečný systém.
Vědět X a vědět Y, abych tomu X zabránil neimplikuje totiž, to X umí sám zneužít.
Po několika stážích v zahraničích společností si nemyslím, že naše jsou znalosti horší, já osobně spíše narážím na problém svázaných rukou, pro řadu i velkých českých firem je nepředstavitelné, aby platili bezpečnostního experta nebo naopak spolupracovali s takovou firmou.
-
Tomáš2 (neregistrovaný)
nenapsal jsem, že neví jak toho zneužít, ale že to neumí. Nejnázornější je třeba situace se šifrovacími algoritmy, vím, že některé používat nesmím, některé jsou nejisté a některé jsou zatím bezpečné. To, že dneska je už RC4 nebezpečná věc ví všichni, ale zneužít jí umí pořád jen hrstka lidí.
-
Diky, uz chapu jak jste to myslel. Podle mne to jsou pak dost zuzene znalosti, presne v tom smyslu jak to popisujete. Kdyz to totiz neumi zneuzit, tak ani netusi jakou to ma slozitost (ve smyslu proveditelnosti), tim neohodnoti spravne rizika. Kdyz neohodnoti spravne rizika, tak nedokazou posoudit, jestli soustava takovych der je vice ci mene nachylna na uspesny utok.
-
fd (neregistrovaný)
Divate se na to spatne. Netreba hodnotit rizika, treba je eliminovat. Administrator prevazne (pokud ma zrovna 10 minut na bezpecnost) neresi, jestli je nebo neni dany typ utoku proveditelny, on resi, jak minimalizovat rizika vsech utoku, i takovych, ktere vubec zatim neexistuji.
Tudiz defakto by mel system pripravit i na utoky, o kterych v tento okamzik ani ti, kteri se venuji bezpecnosti vyhradne, netusi. Samozrejme 100% to nelze, ale jak tu bylo receno jinde, i pomerne primitivni zabezpeceni muze byt temer 100%. Nebot realne utocnik nepoleze pres plot(hackovat firmu po siti), kdyz muze vejit hlavni branou(zeptat se uklizecky). Vse je ve finale jen otazka casu a tudiz penez.
-
To se vejde do toho "Samozrejme 100% to nelze". Ale když už zabrousíme do těchto vod, tak pokud bych měl systém chránit před možností, že někdo dokáže N=NP (a navíc z toho vytříská použitelnou implementaci), tak bych ho měl asi chránit i proti možnosti, že si nějaký senzibil v ruské zemljance přečte můj soukromý klíč prostě tak, že se skrze vesmírné propojení všeho se vším podívá tam, kde je uložen.
-
Tomáš2 (neregistrovaný)
přesně tak se řeší bezpečnost, minimalizují se rizika při zachování maximální funkčnosti.
Od admina se ani nečeká více, jeho hlavní úkol je dbát o chod systému, udržovat ho bezpečný a sledovat co se v něm děje. V případě podezření, incidentu by práci měl předat bezpečnostnímu týmu k vyřešení a co nejdříve zamezit problémům (nefunkčnost, únik dat atd.).
Ve velkých internetových společnostech je naprosto běžné, že je k dispozici bezpečnostní tým a admini se analýzou a zkoumáním zdrojových kódu či kódů aktualizací nezabývají a často tomu ani nerozumí, nikdo není superman.
Základní problém ideálního světa je ale cena, málokterá společnost si tohle může zaplatit a na řadu přichází sdílení zdrojů. Náš bezpečnostní tým a admini běžně spolupracují s dalšími společnostmi, stejně tak jsem u některých projektů využíval možnosti hostingů a jejich placeného supportu pro servery. Bohužel řada společností není ochotná jít touhle cestou a řeší vše doma lidma, kteří tomu nerozumí...
