Vraagstukken met betrekking tot Human Computer Security


  Share  
|

Uitvoering computer beveiligingsmaatregelen is complex, en in een grote organisatie procedurele controles vaak vaag worden of omslachtig. Ongeacht de sterkte van de technische controles, als niet-technische overwegingen de uitvoering en het gebruik beïnvloeden, kan het effect op de veiligheid ernstig zijn. Bovendien, als geconfigureerd of verkeerd worden gebruikt, zelfs de beste beveiliging is nutteloos en gevaarlijk in het beste in het slechtste geval. Zo zijn de ontwerpers, uitvoerders en beheerders van de beveiligingsmaatregelen van essentieel belang om de correcte werking van deze controles.

Organisatorische problemen

Security biedt geen directe financiële beloningen voor de gebruiker. Het beperkt verliezen, maar het vereist ook dat de uitgaven van de middelen die kunnen elders worden gebruikt. Tenzij verliezen optreden, organisaties vaak denken dat ze het werk in verband met veiligheid te verspillen. Na een verlies, de waarde van deze controles plotseling gewaardeerd. Bovendien beveiligingsmaatregelen vaak complexiteit toe te voegen aan anders eenvoudige handelingen. Bijvoorbeeld, als het sluiten van een bestand handel duurt twee minuten zonder beveiligingsmaatregelen en drie minuten met de beveiligingsmaatregelen, het toevoegen van deze controles resulteert in een 50% verlies van productiviteit.

Verliezen optreden wanneer de beveiliging beveiligingen zijn ingebouwd, maar deze verliezen worden naar verwachting minder dan ze zouden zijn geweest zonder de zekerheid mechanismen. De centrale vraag is of een dergelijk verlies, in combinatie met het daaruit voortvloeiende verlies van productiviteit, zou groter zijn dan een financieel verlies of verlies van vertrouwen moet een van de nonsecured transacties lijden aan een inbreuk op de veiligheid.

Compounding dit probleem is de vraag wie verantwoordelijk is voor de beveiliging van computers van het bedrijf. De bevoegdheid om passende controles uitvoeren moeten wonen, met degenen die verantwoordelijk zijn; het gevolg zijn van niet te doen is dat de mensen die het meest duidelijk te zien de noodzaak van veiligheidsmaatregelen, en die verantwoordelijk zijn voor de uitvoering daarvan, niet zal kunnen doen. Dit is gewoon gezonde zakelijke praktijk; verantwoordelijkheid zonder stroom veroorzaakt problemen in een organisatie, net zoals is macht zonder verantwoordelijkheid.

Zodra duidelijk ketens van verantwoordelijkheid en macht zijn vastgesteld, kan de behoefte aan veiligheid concurreren op gelijke voet met andere behoeften van de organisatie. Het meest voorkomende probleem een security manager gezichten is het gebrek aan mensen opgeleid op het gebied van computerbeveiliging. Een ander veelvoorkomend probleem is dat goed geïnformeerde mensen zijn overladen met werk. Bij veel organisaties is de "zekerheid beheerder" ook betrokken bij het systeembeheer, ontwikkeling, of een andere secundaire functie. In feite is het veiligheidsaspect van de job vaak secundair. Het probleem is dat de aanwijzingen van de veiligheid problemen vaak niet duidelijk zijn en vergen tijd en vaardigheid om ter plaatse. Voorbereiding voor een aanval maakt omgaan met het minder chaotisch, maar dergelijke voorbereiding neemt genoeg tijd en vereist voldoende aandacht, zodat behandelen als een secundair aspect van een baan betekent dat het niet goed zal worden uitgevoerd, met de verwachte gevolgen.

Gebrek aan middelen is een ander veel voorkomend probleem. Het beveiligen van een systeem vereist middelen en mensen. Het vergt tijd om een configuratie die zal zorgen voor een adequaat niveau van beveiliging ontwerp, de uitvoering van de configuratie en het beheer van het systeem. Het vereist geld voor producten die nodig zijn om een adequate beveiliging te bouwen of aan iemand anders te besteden aan het ontwerp en de veiligheid maatregelen uit te voeren aankoop. Het vereist computer middelen voor de uitvoering en de veiligheid mechanismen en procedures te voeren. Het vereist opleiding om ervoor te zorgen dat werknemers begrijpen hoe de beveiligingsprogramma's, gebruikt u hoe de resultaten te interpreteren, en hoe de niet-technische aspecten van het veiligheidsbeleid te voeren.

Mensen Problemen

Het hart van een beveiligingssysteem is mensen. Dit geldt met name in computer beveiliging, die voornamelijk betrekking heeft op technologische controles die kunnen meestal worden omzeild door menselijk ingrijpen. Bijvoorbeeld, een computersysteem verifieert een gebruiker door te vragen dat de gebruiker voor een geheime code, als de juiste geheime code wordt geleverd, zal de computer ervan uit dat de gebruiker toestemming heeft om het systeem te gebruiken. Als een geautoriseerde gebruiker een andere persoon zijn geheime code vertelt, kan de onbevoegde gebruiker zich voordoen als de geautoriseerde gebruiker met aanzienlijk minder kans op ontdekking.

Mensen die al enige motief om een organisatie te vallen en zijn niet gemachtigd om systemen die organisatie gebruik genoemd buitenstaanders en kan een ernstige bedreiging vormen. Deskundigen het erover eens, echter dat een veel gevaarlijker bedreiging komt van ontevreden werknemers en andere insiders die gemachtigd zijn om de computers te gebruiken. Insiders weten meestal de organisatie van de systemen van het bedrijf en wat de procedures van de exploitanten en gebruikers te volgen en weten vaak genoeg wachtwoorden voor veel beveiligingsmaatregelen die zou detecteren een aanval gelanceerd door een buitenstaander te omzeilen. Insider misbruik van toegestane privileges is een zeer moeilijk probleem op te lossen.

Ongetraind personeel vormen ook een bedreiging voor de beveiliging van het systeem. Als voorbeeld heeft een exploitant niet beseffen dat de inhoud van de benodigde back-up tapes worden gecontroleerd voordat de banden werden opgeslagen. Wanneer aanvallers een aantal kritische systeembestanden verwijderd, ontdekte ze dat geen van de back-up tapes kon worden gelezen.

Systeembeheerders die verkeerd de output van beveiligingsmechanismen, of doe analyseren niet dat de output, bijdragen aan de kans op succesvolle aanvallen op hun systemen. Ook kunnen beheerders die misconfigure veiligheid gerelateerde kenmerken van een systeem verzwakken de site veiligheid. Gebruikers kunnen ook verzwakken site beveiliging door misbruik zekerheid mechanismen (zoals het selecteren van wachtwoorden die makkelijk te raden).

Gebrek aan opleiding hoeft niet te worden in de technische arena. Veel succesvolle inbraken zijn ontstaan uit de kunst van social engineering. Als exploitanten wachtwoorden gebaseerd op telefonische verzoeken zal veranderen, alles een aanvaller moet doen is het bepalen van de naam van iemand die de computer gebruikt. Een gemeenschappelijke tactiek is om iemand op te halen tamelijk ver boven de exploitant (zoals een Vice President van het bedrijf) en op een noodsituatie veinzen (zoals 's nachts bellen en te zeggen dat een verslag aan de president van het bedrijf is het gevolg de volgende ochtend) zodat de operator zal aarzelen om het verzoek te weigeren. Zodra het wachtwoord is veranderd naar een die de aanvaller weet, kan hij gewoon in te loggen als een normale gebruiker. Social engineering aanvallen zijn opmerkelijk succesvol en vaak verwoestende.

Het probleem van de verkeerde configuratie wordt verergerd door de complexiteit van veel security-gerelateerde configuratiebestanden. Zo kan een typografische fout onbruikbaar belangrijke bescherming functies. Erger nog, heeft software niet altijd werkt zoals geadverteerd.

Een veel gebruikt systeem had een kwetsbaarheid die ontstond als een beheerder die een te lange lijst die naam systemen met toegang tot bepaalde bestanden. Omdat de lijst te lang is, het systeem gewoon aangenomen dat de beheerder bedoeld om die bestanden te worden benaderd zonder beperking op die kunnen themexactly toegang tot het tegenovergestelde van wat beoogd werd.

een artikel afkomstig van Meden Reece

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions