Computer Press Agora


  Căutare pe situl Computer Press Agora
    
Votați pentru noi
Votați pentru noi
Votați pentru noi



AgoraNews  





PC Magazine Ro  




PC Report   




Ginfo   




agora ON line   





PC Concrete   





Liste de discuții   




Cartea de oaspeți   




Mesaje   





Agora   





!Cariere: anunturi, locuri de munca, oportunitati!

Clic aici
PC Report - ultimul numar aparut




iBiz - PC Magazine Romania, Mai  2001

Riscuri de securitate și soluții

Una din cele mai mari provocări cu care se confruntă astăzi companiile este utilizarea la maximum a avantajelor internetului. Să creezi și doar să urmezi un model foarte bun de afacere eCommerce nu este de ajuns. Execuția, punerea în practică, este adevăratul test. Fără îndoială, unii au utilizat modele ce au pornit de la concepte defectuoase însă și mai mulți au căzut victimă problemelor operaționale, de la securitatea redusă până la sistemele back-end prost proiectate și nesigure.

În ce măsură compania voastră este pregătită să pună în practică strategia sa online? Va fi ea capabilă să integreze infrastructura sa cu procesele cheie de afaceri? Sunt sistemele voastre sigure, disponibile și fiabile? Controalele și procedurile de administrare necesare funcționează corect? Evaluarea acestor riscuri este o sarcină complexă, care depășește capacitățile chiar ale specialiștilor avansați în sisteme informatice și rețele. De aceea, multe companii apelează la auditori independenți pentru evaluarea integrității sistemelor, identificarea riscurilor asociate și dezvoltarea soluțiilor alternative.

Peisajul tot mai complicat și în rapidă schimbare al sistemelor, precum și noile tehnologii, cum ar fi comerțul electronic, accesul la distanță, intra/extra/inter-netul au extins mediul informatic al companiilor către zone care copleșesc majoritatea CIO. De aceea, firmele de audit specializate identifică factorii de risc interni și externi companiilor, le ajută să prevină întreruperile de activitate cauzate de aceste riscuri și să evite vulnerabilitățile de securitate la nivel de corporație.

Multe companii nu pot detecta incidentele de securitate. Sau păstrează tăcerea în legătură cu atacurile de securitate pentru că astfel de informații pot serios afecta imaginea lor și implicit cotațiile lor pe piață. Conform US Department of Defense ,,din 8932 de computere atacate, în 7860 s-a pătruns, 390 au detectat atacul și numai 19 l-au raportat". Mai mult, studii ale companiilor specializate în auditarea sistemelor informatice arată că angajații generează peste 65% din incidentele de securitate.

Adesea, companiile solicită investigații minuțioase ale sistemelor lor informatice, atât din perspectivă internă cât și externă. La nivelul companiei și al sistemelor informatice, auditorii evidențiază dezalinierile dintre politicile interne și cele de securitate",breșele de securitate", amenințările, vulnerabilitățile sau lipsurile organizaționale. Planul de audit include realizarea de analize atac și penetrare din exterior, în timp ce din interior se prevăd analize de securitate (conform SAS 70, de exemplu) iar mai departe definirea profilurile de securitate ale utilizatorilor în sistemele informatice.

O analiză atac și penetrare (A&P) oferă un test real nedestructiv al expunerii organizației la vulnerabilitățile de securitate și determină gradul de susceptibilitate la un atac extern sau vulnerabilitățile interne. Testarea este îndeplinită prin încercarea de a realiza incursiuni reale în mediul informatic, după o înțelegere prealabilă și monitorizare permanentă din partea companiei.

Efectuarea corespunzătoare a analizelor A&P oferă o abordare structurată a examinării securității unei organizații. Această activitate nu este ,,hacking", așa cum este înfățișat de mass-media, ci o examinare detaliată a funcționalităților de securitate și a tehnologiilor adiacente ce le susțin.

Scenariile de atac includ capacitatea de a vizualiza, sustrage, modifica, distruge sau de a interzice accesul la informațiile companiei în calitate de ,,entitate din exterior", care nu cunoaște operațiunile organizației, și de ,,entitate din interior", consultant, auditor sau partener de afaceri. Aceste scenarii se aplică la nivelul internet, intranet, extranet și accesului de la distanță.

Scopul final al analizei A&P este de a identifica ,,golurile de securitate" și de a le corecta înainte de a fi utilizate în scopuri neautorizate, utilizând concluziile reieșite din:

  • analiza A&P, care furnizează rezultate eficiente și recomandări de îmbunătățire a securității
  • analiza amenințărilor și a vulnerabilităților, care oferă analize tehnice și administrative minuțioase ale infrastructurii informatice (ex. aplicații, sisteme de operare, baze de date, rețele, routere, acces de la distanță etc.). Auditorii utilizează unelte și scripturi proprietare de interogare pentru a analiza controalele existente. Aceștia evidențiază pentru platforma existentă vulnerabilitățile sistemice cunoscute și analizează politica de securitate în raport cu cele mai bune practici din domeniu.
  • analiza infrastructurii de securitate care ilustrează existența politicii și a programului de securitate, procesele și procedurile acestora. De asemenea, caută să identifice punctele tari și cele slabe ale practicilor de securitate a informațiilor din cadrul companiei și să ofere o evaluare completă a arhitecturii actuale de securitate.

Prin utilizarea unei combinații de unelte și tehnici specifice se determină profilul organizației prin realizarea așa-numitei ,,footprint review". Această analiză constă în următoarele etape:

  • Enumerarea elementelor rețelei, care identifică numele de domenii, rețelele asociate și adresele IP existente. În continuare, se determină căile de acces în rețea utilizând unelte speciale pentru a trasa anumite porturi TCP sau UDP, trecând efectiv peste regulile tradiționale de filtrare ICMP. Rezultatul este o hartă comprehensivă care ne permite să vedem la nivel logic căile de acces disponibile cuiva din exterior și să determinăm listele cu drepturi de acces (ACL) implementate în router sau firewall.
  • Interogarea DNS care, în cazul unui server DNS greșit configurat, poate oferi informații despre host-ul extern și adresele interne, furnizând astfel un plan complet al rețelei companiei.
  • Identificarea hosturilor care determină sistemele "vii" conectate la internet.
    Pentru acestea din urmă, se începe prin scanarea porturilor fiecărui sistem, determinând care porturi de servicii (TCP/ UDP) sunt prezente și ascultă. Aceste scanări pot include scanări standard TCP/ UDP, scanări ascunse, scanări cu fragmentare, scanare TCP reverse ident, atac FTP bounce și TCP Fingerprinting.

Următorul pas constă în încercarea de a extrage cât mai multe informații din sistemul țintă. Dacă serviciile de ,,informare", cum ar fi finger și rusers, sunt deschise, se pot obține username-ul și informații referitoare la acest cont, ceea ce ne-ar putea ajuta să ne conectăm la sistem. Apoi realizăm o corespondență între atributele specifice sistemului și punctele vulnerabile identificate, inclusiv versiunea OS, versiunea specifică fiecărui serviciu de informare, precum și arhitectura fiecărui subsistem.

Ultimul pas constă în corelarea vulnerabilităților identificate mai sus. Corelarea vulnerabilităților este o practică ce folosește vulnerabilități cu risc mic sau mediu, depistate pe diferite platforme, pentru a dobândi acces privilegiat. Astfel, este posibil ca un scaner să depisteze vulnerabilități cu risc scăzut sau mediu dar să nu poată stabili dacă un atac care combină aceste vulnerabilități va genera sau nu o breșă de securitate. Această expertiză suplimentară reprezintă adevăratul beneficiu pe care un profesionist în sisteme de securitate îl poate oferi unei organizații.

Pe baza înțelegerii prealabile cu compania, auditorii fie caută să obțină ,,trofeele" agreate de la început cu compania (fișiere sau informații din sistem), fie lasă mici fișiere care să ateste reușita atacului, fie documentează la nivel de screenshot activitatea realizată.

Dovezile concrete privind vulnerabilitățile sistemului de securitate reprezintă un avantaj enorm pentru obținerea unor resurse suplimentare de securitate, după efectuarea unei verificări a posibilităților de penetrare. Acestea pot constitui o bază și pentru justificarea unei majorări a bugetului alocat securității inforrmațiilor. Timpul și efortul cheltuit acum vă vor aduce beneficii majore mai târziu. Din păcate, identificarea vulnerabilităților existente reprezintă doar jumătate din luptă, iar acestea, împreună cu cauzele care le provoacă, trebuie corectate.

Deseori firme importante doresc să dezvolte încrederea clienților sau partenerilor de afaceri și solicită ca auditori independenți specializați în sisteme informatice să evalueze dacă procesele și tehnologiile ce se aplică în cadrul companiei sunt conforme cu practicile și politicile stabilite.

Din instinct, consumatorii sunt îngrijorați atunci când li se cere să trimită informații personale într-o rețea computerizată. Pentru a elimina din aceste temeri, multe dintre firmele care-și desfășoară activitatea online postează o declarație de confidențialitate pe care ei o consideră importantă în construirea încrederii consumatorilor. Dar cum pot fi consumatorii siguri că o firmă - cu care poate că nu au mai lucrat/auzit până atunci - își va respecta cu adevărat promisiunile?

Tocmai din această teamă legată de problemele de confidențialitate multe persoane renunță la comerțul online. Într-un studiu efectuat recent de IBM, 61% din consumatorii din Statele Unite au declarat că au renunțat să mai folosească website-urile deoarece le-a fost teamă de modul în care ar putea fi folosite informațiile lor personale.

În multe din cazuri, soluția este dobândirea a CyberProcess CertificationSM (CPC), care furnizează un raport independent asupra modului în care este condusă afacerea lor. În plus, ei pot plasa o pictogramă pe website, dovedind că au fost verificați de o entitate certificată. Compania beneficiază în acest caz de utilizarea unor standarde recunoscute, cum ar fi BS 7799, SysTrust și WebTrust (un set de principii de confidență în sistem, de securitate și integritate a tranzacțiilor, elaborat de AICPA și CICA). În cazul website-uri această certificare este mai mult una funcțională decât una tehnologică (cum ar fi, de exemplu, Verisign).

Neasigurarea securității informațiilor implică și lipsa confidențialității lor. De aceea, consumatorul are nevoie de o asigurare, dată de o entitate independentă, că o anumită companie a implementat politici referitoare la confidențialitate și că aceste politici sunt respectate. Firmele independente de contabilitate și audit oferă o asigurare rezonabilă că situațiile financiare ale unei companii nu conțin erori. Această ,,asigurare rezonabilă" lipsește în lumea online de astăzi. În prezent, website-urile nu sunt obligate să asigure în mod independent confidențialitatea și securitatea informațiilor personale sau încrederea în tehnologia pe care o folosesc.

Însă procesul nu se încheie aici. Auditorii efectuează verificări periodice pentru a se asigura că respectiva companie continuă să își respecte politicile declarate.
Este important pentru consumatori să se simtă în siguranță și ca toate companiile să demonstreze că respectă politicile pe care le-au declarat ceea ce ajută la construiască un mediu de afaceri bazat pe încredere.

Gabriel Apostu este manager al departamentului Information System Assurance and Advisory din Ernst & Young România.
Îl puteți contacta la adresa: [email protected]

 

Unde sunt riscurile și cum le identificăm:
- Informații stocate în calculatoarele companiei (de exemplu, detalii asupra cărților de credit)
- Datele pot fi vulnerabile în fața hackerilor din exteriorul companiei sau angajaților rău intenționați?
- Cum recunoaște clientul că tranzacționează pe internet cu o companie reputabilă?
- Cum știe clientul că tranzacțiile lui sunt procesate corect, complet și la timp?
- Cum știe clientul că informația lui privată va fi protejată corespunzător?
- Cum se măsoară, evaluează și ordonează, în funcție de importanță, riscurile TI?
- Cum sunt definite riscurile TI cu impact mare, mediu și mic?
- Cum vă ocupați de securitate sau vă protejați împotriva unui atac?
- Ce proceduri există pentru a răspunde schimbărilor impredictibile în infrastructuta TI?
- Ce planuri de rezervă există dacă sistemele (inclusiv cele TI) nu funcționează?
- Ce proceduri există pentru gestionarea rapidă a riscurilor legate de securitatea TI?
- Cum vă preocupați în continuare de riscurile pe care nu le-ați identificat?

Primele 5 amenințări includ:
- Hackerii
- Competitorii
- Entitățile străine
- Vânzătorii
- Clienții

Cele mai multe riscuri care necesită protecție sunt asociate:
- Valorii financiare a informației
- Valorii competitive a avantajului informațional
- Impactului asupra operațiunilor
- Percepției publice și individuale
- Chestiunilor juridice și regulatoare
- Mediului economic și social (riscuri sistemice)

cuprins - Supliment Internet Business

PC Magazine Ro | CD ROM | Redactia | Abonamente | CautareArhive

Copyright © 1999-2001 Computer Press Agora.
[email protected]; ISP: NetSoft Tg. Mures.

Libraria Byblos - cartea prin posta!