БезопасностьПоговорите с К. Рудольфом, CISSP

Опубликовано: 13 Апреля, 2023



Изображение 26127


Имя: К. Рудольф, CISSP
Должность: CIO (директор по вдохновению)
Компания: Native Intelligence Inc.
URL: http://www.nativeintelligence.com/


Данчо: Привет, Кайе, приятно видеть вас на нашем первом SecurityTalk, где вы обсуждаете важность программ повышения осведомленности о безопасности и проблемы, связанные с обучением конечных пользователей.


Я был бы признателен, если бы вы предоставили нам больше информации о вашем профессиональном опыте и вашем опыте в качестве директора программ повышения осведомленности о безопасности?


Кайе: Привет, Данчо, я главный вдохновитель компании Native Intelligence, Inc., где мы занимаемся вопросами безопасности. Я сертифицированный специалист по безопасности информационных систем (CISSP) со степенью Университета Джона Хопкинса. Я также был сертифицированным аудитором информационных систем (CISA). Я являюсь основным автором главы о безопасности (глава 29) из , опубликованном в 2002 году, и я являюсь автором главы о безопасности в готовящемся к публикации .


Одна из моих любимых цитат из , где Страшила попросил у Великой страны Оз мозг. Волшебник отвечает что-то вроде: «Ну, я не могу дать тебе мозг, но я могу дать тебе диплом». Можно иметь сертификаты и полномочия, но при этом не иметь опыта, необходимого для хорошего выполнения работы. К счастью, у меня также есть более чем 15-летний опыт работы в области безопасности информационных технологий. Я занимаюсь осознанностью с 1995 года.


Веб-курсы повышения осведомленности, разработанные Native Intelligence, Inc., прошли люди по всему миру, и более 500 000 человек прошли один из наших курсов. Каждый курс предназначен для конкретного клиента, и для одного клиента мы предоставили курс на 3 языках, причем в этом году будет добавлен новый язык. Наши плакаты были отправлены по всему миру.


Осведомленность о проблемах безопасности растет. Культура в корпорациях и правительственных учреждениях меняется, когда дело доходит до осведомленности — в недавней статье в New York Times отмечалось, что люди, которые открывают вложения, которые заражают их системы вирусом, начинают испытывать реакции удивления, шока и «позор вам», а не сочувствие.


Данчо: Это довольно важный опыт в области информационной безопасности, поздравляю с вашими достижениями, а также с популярностью курсов Native Intelligence, Inc. В течение последних нескольких лет тот факт, что отсутствие знаний у конечных пользователей по вопросам информационной безопасности может полностью сделать все другие реализации безопасности бесполезными, заложил основы программ повышения осведомленности о безопасности и превратил их в ценную и неотъемлемую часть. цикла безопасности. Но давайте смотреть правде в глаза, большинство компаний и организаций все еще далеко отстают от уровня безопасности, который они должны были встроить, а руководство по-прежнему считает безопасность скорее продуктом, чем процессом, тем самым игнорируя важность подхода «безопасность через образование»..


Какова будет ваша стратегия при обращении к руководителям, когда вы пытаетесь убедить их в острой необходимости Программы повышения осведомленности – как бы вы обосновали результаты и как бы вы поступили в ситуации, когда компания считает, что использование защиты периметра и ограничение контроля конечного пользователя над машина полностью решит проблему необразованного сотрудника?


По своему личному опыту могу сказать, что в отношении программы менеджеры ищут четкие результаты ROI в краткосрочной перспективе, что является еще одним барьером для директора программы с точки зрения краткости мандата, даваемого для доказательства эффективности знаний. приобретают сотрудники. Что ты думаешь об этом, Кайе?


Кайе: Осведомленность не всегда является самой насущной необходимостью, когда речь идет об информационной безопасности. Если есть более срочная потребность, скажем, в организации нет политик безопасности (и не смейтесь, я сейчас работаю с такой, где это именно тот случай) или она не знает, каковы их уязвимости, ИТ-отдел Программа повышения осведомленности о безопасности либо разрабатывается одновременно с политиками и оценкой рисков, либо чаще всего она выжидает и используется, чтобы помочь внедрить изменения.


Как руководство, так и технический персонал часто рассматривают компьютерную безопасность как технологическую проблему. Они используют сложные аппаратные и программные решения для контроля доступа, обнаружения потенциальных вторжений и предотвращения мошенничества. Реальность такова, что компьютерная безопасность — это проблема людей:




  • люди не выполняют работу последовательно;


  • они устают и могут выполнять задания беспорядочно;


  • они могут разозлиться (на организацию, супруга, начальника или просто на работу в целом) и намеренно попытаться сорвать или поставить под угрозу операции;


  • они могут вызывать системные сбои, самостоятельно «улучшая» бизнес-процессы; или они просто не следуют установленной политике и процедурам.

Подключение компьютеров к сети значительно увеличивает риск, поскольку сетевая безопасность зависит от сотрудничества каждого пользователя. Один человек, который позволяет скомпрометировать свой настольный компьютер, подвергает риску все взаимосвязанные системы и связанные с ними активы.


Хорошая новость заключается в том, что хотя люди и являются проблемой ИТ-безопасности, они также являются ее решением. Люди более проницательны и адаптивны, чем аппаратные/программные компоненты. Таким образом, если они должным образом обучены и мотивированы, они могут быть самой сильной и эффективной контрмерой безопасности.


Начать программу повышения осведомленности не так просто, как можно было бы ожидать. Хотя, когда их спрашивают, люди, кажется, признают преимущества программы повышения осведомленности, они по-прежнему неохотно выделяют финансовые ресурсы и время сотрудников. Относительно легко определить стоимость программы повышения осведомленности, но труднее количественно оценить ее преимущества. Это основная причина, по которой правительство США сделало обязательной программу повышения осведомленности о компьютерной безопасности (в соответствии с FISMA — Федеральным законом об управлении информационной безопасностью от 2002 г.).


Одна из задач состоит в том, чтобы добиться от руководства признания важности его вклада в виде заметной поддержки, личного примера и предоставления финансовых ресурсов для поддержки своих обязательств. Вы абсолютно уверены в том, что руководство хочет видеть окупаемость инвестиций (ROI), и это обычно означает, что вам нужны показатели.
Среди возможных показателей:




  • Ответы на вопросы анкеты, например: «Видели ли вы за последние три месяца пароль на стикере в своем рабочем месте?»


  • Количество зарегистрированных инцидентов – это число должно увеличиваться по мере того, как все больше людей узнают о требованиях по отчетности, а затем стабилизироваться или уменьшаться по мере улучшения превентивных мер;


  • Участие в предыдущих мероприятиях по повышению осведомленности — могут быть предприняты действия для поощрения организаций, сотрудники которых не участвовали в мероприятиях по повышению осведомленности;


  • Процент сотрудников, прошедших онлайн-курс;


  • Оценочная долларовая стоимость убытков, понесенных в результате инцидентов, связанных с безопасностью;


  • Количество зарегистрированных случаев несоблюдения политики (например, неспособность активировать безопасную экранную заставку, когда они оставляют свой рабочий стол без присмотра);


  • Количество и качество взаимодействий между сотрудниками службы безопасности и персоналом (например, просьбы о помощи, конкретные вопросы).

Обратите внимание, что вопросы опроса, количество людей, прошедших онлайн-курс, и многие взаимодействия между персоналом и персоналом службы безопасности можно отслеживать с помощью онлайн-курса, предназначенного для сбора отзывов. Мы работали с одной организацией, где руководство было непреклонно против того, чтобы никто в организации никогда не оставлял пароль, записанный на видном месте в своем рабочем пространстве, поэтому мы включили приведенный выше вопрос о том, видели ли конечные пользователи пароли на стикерах за последние 3 года. месяцы. Результаты опроса показали, что 67% сказали «да». Это было открытием для руководства.


Сопротивление руководства часто основано на трате средств на что-то, что считается малоприоритетным, или на заботе о балансе безопасности с операционными потребностями. Хотя время и усилия, необходимые для создания надежной программы безопасности, не являются тривиальными, они намного меньше по сравнению с временем и усилиями, необходимыми для устранения всего лишь одного серьезного инцидента. Некоторые специалисты по безопасности рекомендуют указывать на то, что страховые полисы требуют постоянного финансирования, но используются нечасто; однако немногие организации отказываются от этих затрат. Еще одним стимулом для организаций является то, что для многих контрактов требуются программы информационной безопасности, особенно когда контракт предназначен для правительства или если он касается интеллектуальной собственности, принадлежащей клиентам, например, контракты на услуги по разработке аппаратного или программного обеспечения.


Одна из самых убедительных вещей, которую можно представить руководству, — это истории из реального мира, особенно об организациях, схожих по размеру или бизнес-цели. Вы можете показать им выбор: быть хорошим примером или ужасным предупреждением. Кроме того, важно убедиться, что они знают, что «мгновенные успехи» требуют времени. Изменение культуры безопасности в организации может занять 4-5 лет, поэтому усилия по повышению осведомленности необходимо рассматривать (как и безопасность) как процесс.


Данчо: Я согласен с вами, истории из реальной жизни очень полезны, когда вы пытаетесь убедить руководство в преимуществах Программы повышения осведомленности о безопасности, особенно тех, которые связаны со шпионажем. Менеджеры всегда стремятся к эффективности, но рентабельной; тем не менее, многие из них находятся в ситуации, когда они буквально завалены информацией о различных мерах безопасности, которые необходимо реализовать, тестах, которые необходимо выполнить, и т. д., а обучение по вопросам безопасности часто остается позади как завершающий этап безопасности.. В результате сотрудники уже с самого начала научились вести себя неуверенно, и директору программы стало в два раза труднее изменить их неуверенное поведение.


Еще следует учитывать тот факт, что большинство корпораций передают свои риски и обязанности в области безопасности на аутсорсинг поставщикам управляемых решений в области безопасности, которые, я считаю, должны установить партнерские отношения с опытными и уважаемыми компаниями, занимающимися вопросами безопасности, чтобы процесс обучения начался, когда первая IDS будет готова. выложи в сеть, что ты думаешь об этом?


Кайе: Да, почти всегда в компаниях появляются компьютеры задолго до того, как у них появляются системы обнаружения вторжений (IDS), поэтому естественные модели поведения (например, выбор удобства вместо безопасности) и отношение к ним устоялись.


К счастью, такие события, как результаты аудита, текущие новости (например, о быстром распространении нового вредоносного вируса), изменения политики или установка новых контрмер безопасности, таких как IDS, предлагают хорошие возможности для запуска программы повышения осведомленности о безопасности. или кампании.


Многие компании с уважаемыми именами в области безопасности созданы или выходят на рынок повышения осведомленности, и даже компании на рынке систем управления обучением (LMS) предлагают курсы повышения осведомленности в области безопасности как часть своих учебных программ, поэтому возможности аутсорсинга осведомленности о безопасности многочисленны.


Хотя многие организации передают свои потребности в области безопасности на аутсорсинг, в том числе осведомленность о безопасности, аутсорсинг не лишен рисков. Важно использовать провайдера осведомленности, который имеет солидный опыт и хороший послужной список предоставления программ и курсов. Никто не хотел бы использовать поставщика информации, который обладает знаниями в области безопасности, но не имеет опыта в виртуальном обучении или у которого нет таланта и энтузиазма в обучении или объяснении технических концепций в терминах, понятных бабушке. Аутсорсинг поставщику информации с большим опытом может помочь организациям избежать сотрудничества с фирмой, которая может исчезнуть (например, Salinas Network Services была одной из крупнейших компаний по управлению брандмауэрами, но недавно она исчезла, потому что бизнес по управлению брандмауэрами для других компаний было не выгодно). Кроме того, новый поставщик средств информирования может обнаружить, что, несмотря на то, что они являются отличной компанией для предоставления систем обнаружения вторжений, они на самом деле не готовы решать проблемы повышения осведомленности.


Парадокс в том, что, хотя осознание и должно быть простым, нужно приложить усилия, чтобы сделать это хорошо. Часто цитируют высказывание писателя: «Если бы у меня было больше времени, я бы написал письмо короче». Это имеет смысл, потому что для создания простой, привлекающей внимание, ясной и краткой программы осознания требуется время и опыт. Кроме того, программы повышения осведомленности и плохо подготовленные материалы могут быть хуже, чем полное отсутствие программ повышения осведомленности, потому что они, вероятно, вызовут сопротивление и недовольство аудитории, в то же время вызывая у руководства ложное чувство выполненного долга.


Осведомленность об аутсорсинге может работать хорошо, потому что осведомленность требует нескольких типов знаний, чтобы преуспеть (образование, маркетинг и безопасность, а также, возможно, разработка курсов и юзабилити). Использование поставщика услуг по информированию, который реализовал множество программ по повышению осведомленности, дает преимущество в том, что у него есть эксперты, которые видели большинство проблем, которые могут возникнуть в рамках программы, и могут безопасно провести организацию через опасности к успешному результату. Компания с большим опытом сможет адаптировать программу к среде и платформам организации, а также адаптировать содержание к организационной культуре, предоставить стратегию взаимодействия с профсоюзами и представить материал таким образом, самая широкая аудитория и отвечает требованиям организации, например, быть доступным для слушателей курсов с ограниченными возможностями или производить желаемые показатели.


Еще одна вещь, которую многие организации ищут в поставщике осведомленности, — это тот, кто предлагает возможность реагировать на индивидуальные отзывы пользователей, а не просто создавать программу или веб-курс, а затем предоставлять организации самостоятельно разбираться с результатами. В большинстве организаций есть сотрудники службы безопасности и сетевые администраторы, которые слишком заняты повседневными делами, чтобы тратить время на разбор отзывов, которые должна генерировать программа повышения осведомленности, а также на изучение вопросов пользователей и предоставление четких и полезных ответов. Для них экономически невыгодно нанимать кого-то только для решения вопросов осведомленности. Поставщик осведомленности, который видит одни и те же проблемы в широком круге организаций, находится в лучшем положении для эффективного и тщательного предоставления этой услуги, что является еще одной причиной, по которой аутсорсинг осведомленности является отличной идеей.


Данчо: Это правда, что правительство США принимает серьезные меры для повышения общей значимости программ повышения осведомленности о безопасности. Насколько быстро, по вашим наблюдениям, растет рынок информационных программ в остальном мире? Вы упомянули, что более 500 000 человек прошли один из ваших курсов, и я полагаю, что многие из них не являются жителями США.


Кайе: Судя по тому, что я видела, она довольно быстро растет во всем мире. Недавние террористические атаки в Испании и других странах, включая события в Соединенных Штатах 11 сентября 2001 г., привлекли внимание к проблемам безопасности во всем мире. Бизнес, правительственные организации и частные лица пересмотрели и улучшили свои меры безопасности, чтобы справиться с эскалацией мировой напряженности.


Данчо: Кстати, Кайе, есть еще компании без политики безопасности? И как они были удивлены, когда обнаружили огромное количество неизвестных точек входа для злоумышленника, после того как кто-то начал оценивать их активы?


Кайе: Да, до сих пор есть компании без политик безопасности. Некоторые из них относятся к малому и среднему бизнесу, другие крупнее, и у их руководства просто другие приоритеты. Если охранная сигнализация в продуктовом магазине перестает работать, руководство обычно не закрывает двери и не прогоняет покупателей; руководство больше беспокоит потеря ежедневных продаж, чем угроза потери от кражи со взломом (которой еще не произошло). Специалисты по безопасности часто сталкиваются с трудностями, потому что не все рассматривают безопасность как важнейшую функцию, поддерживающую основную миссию организации.


Компании, которые по закону не обязаны обеспечивать безопасность, часто разрабатывают политику безопасности в ответ на какое-либо событие или обстоятельство. Например, после взрыва в 1993 году Всемирного торгового центра в Нью-Йорке многие компании разработали планы аварийного восстановления.


Тенденции в области вредоносного программного обеспечения (более короткое время от обнаружения уязвимости до выпуска вируса, более быстрое и широкое распространение и т. д.) и растущее число новостей о безопасности и конфиденциальности помогли повысить осведомленность о необходимости планировать безопасность, а не пытаться реагировать на событие постфактум. На самом деле компании, которые не планируют мероприятия по обеспечению безопасности, могут их не пережить. Итак, несмотря на то, что есть компании, не имеющие политики безопасности, я ожидаю, что это изменится по мере изменения восприятия ценности безопасности.


Что касается вашего второго вопроса, давайте просто скажем, что оценки рисков могут быть откровением для руководства, особенно те, которые придают ценность в долларах возникновению успешной угрозы. Например, в конце 2003 года в Wells Fargo произошла брешь в системе безопасности, когда были украдены компьютеры, содержащие личную информацию клиентов. Wells Fargo создала новые учетные записи для всех затронутых клиентов, заплатила клиентам за доступ к своим кредитным отчетам и заплатила каждому клиенту за годовое членство в Privacy Guard. Японская компания недавно отреагировала на кражу личных данных 4,5 миллионов клиентов, объявив, что президент компании и шесть топ-менеджеров останутся без зарплаты в течение следующих шести месяцев. Это цифры, которые менеджеры могут понять и оценить.


Данчо: Правительственные постановления играют решающую роль в том, что касается будущего Infosec. Что вы думаете о калифорнийском законе SB 1386, а именно о том, что компании должны уведомлять своих клиентов в случае вторжения, в результате которого конфиденциальная информация становится доступной хакеру? Кроме того, вы думаете, что СМИ, рассказывающие и рассказывающие о компаниях, сообщающих о происшествии с их безопасностью, не сделают ничего другого, кроме того, что еще больше навредят их репутации?


Кайе: По данным Федеральной торговой комиссии, кража личных данных является самым быстрорастущим преступлением среди белых воротничков в США. Лично для меня важна защита конфиденциальности, поэтому я поддерживаю SB 1386.


SB 1386 вступил в силу 1 июля 2003 г. Он требует, чтобы любой бизнес или агентство, использующее компьютер для хранения конфиденциальной личной информации о жителях Калифорнии, немедленно уведомляло это лицо при обнаружении любого нарушения в компьютерной системе, в которой хранится эта информация. Неуведомление физического лица может подвергнуть бизнес/агентство гражданским убыткам и судебным искам.


Я за SB 1386 по нескольким причинам:




  1. Если вы сообщите мне, что мои данные могли быть скомпрометированы, это дает мне возможность изменить информацию, если это возможно (например, номер кредитной карты или номер расчетного счета), или, по крайней мере, быть более внимательным к потенциальным мошенническим транзакциям, совершаемым в моем имя.


  2. Заставляя фирмы сообщать людям, когда нарушение их безопасности вызвало потенциальные проблемы у их потребителей и сотрудников, начинается привлечение фирм к ответственности за свои действия. Это также помогает мне решить, с какими фирмами вести дела.


  3. Раскрытие информации поможет получить показатели частоты и методов онлайн-атак.


  4. Регламент может помочь ИТ-менеджерам и менеджерам по безопасности обосновать улучшения безопасности.

С точки зрения владельца бизнеса, я вижу в этом возможность. Все обязательные законы влекут за собой издержки для предприятий, но сообразительные предприятия признают, что стоимость раскрытия информации невелика по сравнению со стоимостью потенциальных судебных исков и возможностью прекращения бизнеса. То, как компания справляется с нарушениями, может повысить уровень доверия к компании со стороны сотрудников и клиентов. Их мнение о том, следует ли компания букве и духу закона в ситуациях, когда имеет место нарушение, может улучшить репутацию компании и даже повысить жизнеспособность бизнеса. То, как компании справляются с такими проблемами, также является признаком того, понимает ли компания реальную проблему (они подвергают своих клиентов/сотрудников риску потери личности или чего-то похуже). Любой может ошибиться. То, как эта ошибка исправлена, определяет, имеете ли вы дело с компанией, которая заслуживает долгосрочного сотрудничества.


Вместо того, чтобы опираться на сообщения СМИ, которые часто предназначены для продажи статей («если это кровоточит, это ведет»), я хотел бы, чтобы организация (возможно, Better Business Bureau или офис государственного прокурора) отслеживала количество и серьезность этих нарушений и оценить реакцию компании. Если бы эта информация была доступна общественности, она могла бы стать маркетинговым плюсом для фирм, у которых нет сбоев или которые реагируют ответственно. Кроме того, количество и степень серьезности сбоев в системе безопасности можно использовать для демонстрации того, выполняет ли конкретная управленческая команда свои фидуциарные обязанности по защите данных клиентов и операций компании.


Закон должен мотивировать предприятия и агентства улучшать свою инфраструктуру безопасности, и, в конечном счете, это хорошо.


Данчо: Я хотел спросить вас еще о чем-то: менеджеры часто обвиняют менеджеров по ИТ-безопасности или тех, кто отвечает за безопасность, в том, что они вложили довольно много денег в реализацию запрошенных мер защиты, и до сих пор происходят вторжения, как бы вы поступили, если бы вам пришлось убеждать таких менеджеров в том, что 100%-ной безопасности не бывает и что такие проблемы есть даже у самых крупных корпораций, а с другой стороны, идея состоит в том, чтобы добиться максимальной безопасности?


Кайе: Все зависит от типа сбоя безопасности. Если бы я взял деньги и потратил их на новейшее и лучшее средство обнаружения вторжений, в то время как сбои были вызваны тем, что не были изменены пароли по умолчанию на сервере, то я должен был бы нести ответственность, поскольку я потратил бы деньги неэффективно. Как и в случае любого решения, основанного на оценке риска, сотрудник службы безопасности должен оценить угрозы и уязвимости и выделить доступные ресурсы для минимизации риска. Руководство понимает, что бизнес-решения никогда не принимаются на 100%. Проблемы у менеджеров по безопасности возникают из-за того, что специалисты-практики склонны сосредотачиваться на последней опубликованной атаке или устанавливать наиболее рекламируемый продукт в качестве «серебряной пули», а не применять сбалансированный подход к снижению рисков. Для многих предприятий цель состоит не в том, чтобы обеспечить максимальную безопасность, а в том, чтобы защитить корпоративные активы, не нанося ущерба прибыльности компании.


Данчо: Кайе, рынок осведомленности о безопасности развивается очень быстро, что вы думаете о его будущих тенденциях, изменится ли модель «безопасность через образование» в ближайшем будущем или она будет широко использоваться для повышения безопасности в любой организации? и что касается будущего Infosec, с какими основными угрозами мир столкнется в ближайшие пару лет, исходя из ваших взглядов?


Кайе: Если модель безопасности не изменится, у нас будут большие проблемы. Прямо сейчас основное внимание уделяется информированию всех; проведение ограниченного обучения по безопасности для системных администраторов и т. д. (чтобы рассказать им, как реализовать ограниченный набор средств контроля, чтобы аудиторы были довольны); и создание профессии ИТ-безопасности, основанной на множестве руководств и стандартов. Это приведет к созданию среды, в которой все понимают, что ИТ-безопасность слаба, и будет создано «готовое ПО», чтобы показать, что системы могут проверить все необходимые поля безопасности, но улучшений будет немного. Хуже того, в этой среде никто не будет привлечен к ответственности за то, что они соблюдали все правила, но никто не спросил, правильны ли соблюдаемые правила.


Модель обучения/обучения должна быть направлена на передачу знаний об уязвимостях безопасности тем, кто больше всего в них нуждается — проектировщикам и разработчикам систем. Это не должно быть в форме жестких контрольных списков или шаблонов, которые позволяют людям заполнять пробелы, но при этом создавать плохие системы. Основным правилом должно быть то, что системы должны делать то, что они должны делать, и ничего более (т. е. системы не должны выполнять действия, для выполнения которых они не предназначены).


Что касается осведомленности и «безопасности через образование», многие организации используют один из двух способов обеспечения безопасности: или .


Необходим более сбалансированный подход, потому что, как говорит Бекки Уорли в своей книге Security Alert, «пока небо не падает, идет дождь» — идет дождь из кражи личных данных, вредоносного программного обеспечения и онлайн-атак.


В высказывании о том, что знание – сила, есть большая доля правды. Предоставление нужной информации нужным людям — программистам, администраторам, менеджерам и конечным пользователям — сделает для безопасности больше, чем обнаружение вторжений и брандмауэры.


Я думаю, что основными краткосрочными угрозами являются:




  1. Атаки, спонсируемые организацией/правительством. В настоящее время злоумышленники, по-видимому, рассчитывают на немедленную окупаемость с точки зрения нарушения работы цели, рекламы и т. д. Более целенаправленные атаки могут ждать окупаемости в течение более длительного времени (например, изменять 50 записей в неделю в течение пяти лет, чтобы изменения труднее определить и исправить).


  2. Плохая практика программирования. В спешке на рынок сегодня выпускается программное обеспечение, которое было бы неприемлемо для бета-тестирования в предыдущие годы. Когда вы имеете дело с настольными системами, воздействие относительно незначительно по сравнению с тем, когда тот же самый клиентский подход «тестирования» используется для основных бизнес-процессов (например, управление цепочками поставок, системы управления производством). В таких случаях отказ может иметь катастрофические последствия. Неправильные методы программирования также создают уязвимости, которыми могут воспользоваться злоумышленники. Например, атаки на переполнение буфера существуют уже много лет, но эти атаки по-прежнему популярны и эффективны, если их можно предотвратить.


  3. Атаки «разделенное программное обеспечение», при которых вредоносный код разбивается на отдельные модули. Затем модули
    распределяются независимо, чтобы избежать обнаружения. Программное обеспечение выполняет заметное действие только в том случае, если на одном компьютере установлено несколько модулей, что может произойти сразу, через неделю или месяц или никогда. Или они могут возникать при обнаружении «триггера», такого как файл cookie с определенным содержимым.

Данчо: Спасибо за разговор, Кайе, рад тебя видеть!


Кайе: Добро пожаловать. Спасибо за приглашение поговорить с вами.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023