MENU

Co przyniesie rok 2014 w dziedzinie bezpieczeństwa IT

14 marca 2014CSO, Polecane tematy

Trudno jest to jednoznacznie stwierdzić, ponieważ mamy do czynienia z szybko zmieniającym się środowiskiem. Kto by pomyślał rok temu, że polityka będzie odgrywała jedną z głównych ról w bezpieczeństwie. A wszystko przez Edwarda Snowdena, który zaserwował światu informacje o inwigilacji, jakiej dopuszcza się NSA. W 2014 roku dowiemy się zapewne więcej o NSA i jej władzy.

grafika2014

Oczywiście jak wyjdą na jaw kolejne afery szpiegowskie, takie jak podsłuch komórki Angeli Merkel czy przechwytywanie „zaszyfrowanych” faksów Unii Europejskiej, to możemy spodziewać się głośnego politycznego bełkotu domagającego się ogólnych przeprosin, zmian w procedurach wewnętrznych i propozycje nowych ustaw. Czy poprowadzi to do prawdziwych zmian, czy będzie tylko przysłowiowa kiełbasa wyborcza? Okaże się już wkrótce.

Yahoo do końca I kwartału 2014 r. wdroży szyfrowanie transmisji i w ten sposób wszystkie dane użytkownika będą bezużyteczne dla amerykańskiej NSA.

Czy szyfrowanie wszystkiego to jedyny sposób na inwigilację rządu? Wydaje się, że na razie tak. Giganci udostępniający usługi internetowe zapowiadają, że będą szyfrować w 2014 roku na potęgę. Microsoft zapowiedział, że będzie posiadał „best-in-class industry cryptography” i do końca roku będzie szyfrował wszystkie informacje przesyłane w ramach jego usług takich, jak Outlook, Office 365, czy SkyDrive. Natomiast Yahoo do końca I kwartału 2014 r. wdroży szyfrowanie transmisji i w ten sposób wszystkie dane użytkownika będą bezużyteczne dla amerykańskiej NSA. Mniejsze firmy też powinny zacząć szyfrować dane, nie ze względu na inwigilacje rządowe, ale ataki hakerskie.

Szyfrując wszystko utrudniamy atakującemu określenie, jakie dane są dla nas ważne, a jakie nie.

Ciekawe podejście do szyfrowania przedstawia Dave Frymier (Unisys CIO). Proponuje on, aby firmy zamiast szyfrować wszystko jak leci, zidentyfikowały 5-15% wszystkich danych, które tak naprawdę są poufne i zabezpieczyły je poprzez zastosowanie szyfrowania. Dostęp do zaszyfrowanych danych powinien być ograniczony tylko do użytkowników, którzy korzystają ze specjalnie zabezpieczonych (hardened) komputerów. Dzięki temu urządzenia, które są bardzo podatne na infekcje malware – takie jak standardowe desktopy, laptopy, smartfony, czy tablety – będą odcięte od dostępu do szyfrowanych danych. Z drugiej strony szyfrując wszystkie informacje utrudniamy atakującemu określenie, jakie dane są dla nas ważne, a jakie nie.

Kolejnym argumentem za szyfrowaniem danych jest ilość wykradzionych danych w 2014. Wystarczy podać kilka przykładów: Target (70 mln kart kredytowych), Adobe (38 mln kont użytkowników) czy Snapchat (4.6 mln numerów telefonicznych). Można się spodziewać, że w 2014 roku firmy zaczną kłaść większy nacisk na szyfrowanie danych, ponieważ będą wymagać tego właściciele, klienci i regulatorzy, a administrator będzie mógł powiedzieć „nie straciliśmy danych ponieważ używamy szyfrowania”.

Większość firm posiada wdrożone systemy szyfrowania, które szyfrują dane, transmisje pomiędzy klientem, centrami danych oraz danych przetwarzanych, czy przechowywanych w chmurze. Bardzo często jednak są to systemy wdrożone na potrzeby spełnienia standardów bezpieczeństwa, a nie żeby chronić dane przed kradzieżą. Zazwyczaj uważa się, że szyfrowanie jest zwyczajowym „check boxem” dla audytorów, a nie bierze się pod uwagę, w jaki sposób jest ono wdrożone.

Dane kart płatniczych wykradzionych z firmy Target były szyfrowane, wiec w jaki sposób znalazły się na cyberprzestępczych forach i sklepach na sprzedaż za 20$-100$ za sztukę? Posiadając dane karty złodzieje mogą sklonować kartę i używać w sklepie, a jeżeli posiadają nr PIN mogą wypłacać taką kartą gotówkę z bankomatów. Prawdopodobnie hakerzy wykorzystali lukę w urządzeniach POS (point of sale) i zainfekowali je złośliwym kodem, który zbierał dane kart kredytowych z czytników paska magnetycznego. Po raz kolejny okazuje się ze bezpieczeństwo „końcówki kryptograficznej” jest często najsłabszym ogniwem w całym łańcuchu komunikacyjnym.

Kupując oprogramowanie i sprzęt trzeba mieć na względzie, że nie wszystkie kraje maja dobre intencje i to może okazać się ryzykiem, które podejmujemy przy zakupie.

Następnym pytaniem, na jakie firmy muszą odpowiedzieć sobie jest jaki algorytm szyfrowania i szyfr powinien być użyty do szyfrowania danych, ponieważ niektóre stare szyfry mogą być złamane dość szybko używając nawet zwykłego desktopa. Co da nam jednak szyfrowanie skoro NSA może świadomie wykorzystywać swoje wpływy, aby obejść systemy szyfrowania lub zaimplementować backdoora, który zapewni dostęp do zaszyfrowanych danych. Poprzez sprawdzanie kodu źródłowego na pewno nie natkniemy się na takiego backdoora, wiec bardzo ważne jest skąd pochodzą takie produkty. Kupując oprogramowanie i sprzęt trzeba mieć na względzie, że nie wszystkie kraje maja dobre intencje i to może okazać się ryzykiem, które podejmujemy przy zakupie. Trzeba wiedzieć, komu można zaufać i dowiedzieć się gdzie producent produkuje bądź kupuje części do swoich produktów.

Ostatnie pytanie, jakie powinny zadać sobie firmy jest jak silne powinno być szyfrowanie. Zastosowanie dłuższych kluczy spowoduje, że hakerzy czy organizacje rządowe będą miały większy problem ze złamaniem szyfru, ale do zarządzania dłuższymi kluczami potrzebny jest odpowiedni sprzęt który wymaga większej mocy obliczeniowej. Powinno się używać tak długich kluczy, na jakie pozwala nam oprogramowanie i sprzęt, ale zazwyczaj używa się dwu, czy czterokrotnie krótszych kluczy niż pozwalają nam na to nasze zasoby, a koszt, jaki poniesiemy podczas wymiany klucza na dłuższy jest o wiele niższy, niż jaki ponieślibyśmy w przypadku utraty danych.

Cyberterroryzm, sponsorowane cyberarmie, haktywisci, czy tego również możemy się spodziewać w 2014? Zobaczymy.

Z raportu Symantec „A Manifesto for Cyber Resilience” wynika, że obecnie 15% ruchu w Internecie na świecie jest wykonywane poprzez telefony komórkowe i liczba ta stale rośnie, ponieważ 1/3 z wszystkich 5 bilionów telefonów komórkowych na świecie to smartfony, a że trend BOYD (Bring Your Own Device) rośnie, to możemy się spodziewać większej ilości ataków typu mobile malware. Ryzyko staje się coraz większe ze względu na wewnętrzne i zewnętrzne zagrożenia wliczając złe zarządzanie urządzeniem mobilnym, zewnętrzne zagrożenia w manipulacji oprogramowania, oraz słabo testowane i zawodne aplikacje biznesowe. Jeżeli ryzyko BYOD jest za duże dla firmy to z pewnością trzeba unikać takiego wdrażania, a jeżeli ryzyko jest akceptowane warto zwrócić uwagę na dobrze zaplanowane i zorganizowane wdrożenie. Należy pamiętać, że źle realizowana strategia może zniwelować granicę pomiędzy osobistymi, a biznesowymi danymi i w ten sposób informacje biznesowe mogą być przechowywane w sposób niezabezpieczony na urządzeniu.

W raporcie Symantec znajdziemy bardzo ciekawą informację odnośnie Cyberatakow, jakie są skierowane na ponad milion osób dziennie, co daje średnia 12 osób na sekundę. Roczne straty, jakie ponoszą organizacje wynoszą 110 bilionów dolarów. Ataki malware wzrosły o 30% w stosunku do 2012 roku, a mobile malware, aż o 139%. Najgorsze jest jednak to, że 62% wszystkich ataków zostało przeprowadzonych z zaufanych stron, które zostały zhakowane. Nie tylko korporacje czy organizacje rządowe są ofiarami cyberprzestępców, 31% ze wszystkich cyberataków są celowane w organizacje, w których pracuje mniej niż 250 osób. Korporacje są w miarę dobrze zabezpieczone, ponieważ wiedzą, że nadszarpnięty wizerunek może ich sporo kosztować. Można się spodziewać ze w 2014 roku liczby te zostaną zwiększone, a cyberprzęstepcy będą tylko zwiększali zyski, jakie będą osiągać w skali światowej. Cyberterroryzm, sponsorowane cyberarmie, haktywisci, czy tego również możemy się spodziewać w 2014? Zobaczymy.

Pod koniec 2013 roku zauważyliśmy pewien ruch w stronę biometrii, ruch, który pozwoli nam zapomnieć o hasłach, które albo są za słabe, albo za trudne, a zazwyczaj przechowywane w niezbyt bezpieczny sposób. Bardzo często najprostszym sposobem na włamanie się do sytemu jest próba złamania hasła poprzez zgadywanie inteligentne, ataki słownikowe lub siłowe ataki automatyczne sprawdzające wszystkie możliwe kombinacje ataków. Klienci Barclays dzwoniąc do banku nie muszą odpowiadać na żadne pytania sprawdzające ich tożsamość. Wystarczy porozmawiać z konsultantem banku, a system automatycznie zweryfikuje głos klienta za pomocą biometrycznej weryfikacji i to bez potrzeby wypowiadania żadnych haseł. Apple wprowadziło pierwszy czytnik linii papilarnych Touch ID, który zastąpił klasyczną metodę blokowania urządzeń. Samsung i inni producenci prawdopodobnie podażą w tym samym kierunku w 2014 roku.

Co będzie tematem numer jeden w bezpieczeństwie w 2014 roku dopiero się dowiemy. Jednak pewne jest, że kolejne miesiące przyniosą nam dużo radykalnych zmian i nowych technologii w bezpieczeństwie systemów informatycznych.

Tekst pochodzi z bloga „Bezpieczeństwo systemów informatycznych”.

Podobne tematy:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

« »