Sentimentul iluzoriu al securităţii informaţiilor

mirrorDin ianuarie 2013 ISACA a retras G24-Internet banking.

Incapacitatea noastră de predicţie în medii supuse Lebedei Negre, împreună cu o lipsă generală de cunoştinţe în ceea ce priveşte starea de fapt fac ca oameni din anumite profesiuni să nu fie experţi, deşi ei cred acest lucru. Pe baza faptelor empirice ei nu ştiu mai multe lucruri despre obiectul lor de studiu decît populaţia obişnuită, dar se pricep mult mai bine la a alcătui o povestire sau, şi mai rău la a ne ameţi cu modele matematice complicate. De asemenea, este foarte probabil să poarte cravată. (Nassim Nicholas Taleb – Lebăda neagră. Impactul foarte puțin probabilului.)

Port cravată. Nu sunt „expert”. Nu îmi plac „modele” cînd e vorba de securitatea informaţiilor. Nu îmi plac deoarece „modelul” este doar un tipar. Nu trebuie folosit ad literam doar pentru că aşa ai învăţat. Sau aşa spune o „certificare”. În plus, după cum am mai scris, trebuie să conștientizezi apariția unui nou risc: riscul modelului.

Ca auditor trebuie să oferi asigurări. De exemplu despre „planul de securitate şi soluţia informatică prin intermediul căreia este oferit instrumentul de plată cu acces la distanță” (tot s-a deschis sezonul….). Asigurările nu sînt absolute ci rezonabile.

În foarte multe misiuni se face apel la instrumente automatizate pentru identificarea-analizarea-remedierea vulnerabilităţilor.

În „Performance of automated network vulnerability scanning at remediating security issues” se concluzionează:

there is still need for improvement regarding accuracy of scanning, especially regarding authenticated scans as these typically are the viewpoint of a network administrator. Certainly, few network administrators would feel contempt with being able to remediate a mean of 64 percent of the vulnerabilities in their network, especially as the reports are so cumbersome to process. The output from a vulnerability scan should therefore be interpreted with care and, if possible, be complemented by other efforts.

Alt articol – Why Johnny Can’t Pentest: An Analysis of Black-box Web Vulnerability Scanners, concluzie similară:

(…) far from being point-and-click tools to be used by anybody, web application black-box security scanners require a sophisticated understanding of the application under test and of the limitations of the tool, in order to be effective.

(…)although techniques to detect certain kinds of vulnerabilities are well-established and seem to work reliably, there are whole classes of vulnerabilities that are not well-understood and cannot be detected by the state-of-the-art scanners. We found that eight out of sixteen vulnerabilities were not detected by any of the scanners.

Finally, we found that there is no strong correlation between cost of the scanner and functionality provided as some of the free or very cost-effective scanners performed as well as scanners that cost thousands of dollars.

Probabil nu am scris nimic nou. În povestea „internet banking” însă, pe lîngă „interfeţe”, „aplicaţii”, „reţea” mai există şi…baze de date. Le verificăm? „Core-banking”-ul este important în această ecuaţie? În defunctul G 24 se spunea:

„Databases and data flow are protected from unauthorised/inappropriate access”

În loc de încheiere:

„”It’s so easy to get into corporate networks that a determined 12-year-old with good Internet access could download the tools. Ninety percent of the successful attacks require only the most basic techniques. It’s time to grow up and admit that the Internet is not a safe neighborhood and we have to do different things than just sort of go on assuming that it’s blissfully safe.” (James Lewis, senior fellow at the Center for Strategic and International Studies)

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s