Vaše jednička mezi nulami
ITBiz.cz

Na co si stěžují bezpečnostní specialisté

ITBiz.cz , 06. June 2019 14:30 1 komentářů
Rubriky: Cloud, Telekomunikace, Ekomerce, Operační systémy, Technologie, Podnikový software, Návody a průvodce, Security, Veřejná správa, Internet, Byznys
Na co si stěžují bezpečnostní specialisté

Průzkum společnosti Infosec se pokouší zmapovat, co nejvíc stresuje specialisty na bezpečnost IT. 12 % z nich za největší problém uvedlo, že mají příliš práce a v oddělení je příliš málo lidí; to ale říkají skoro všichni a skoro pořád. Výsledkem je samozřejmě snaha firem po větší automatizaci a orchestraci zabezpečení namísto manuálních procesů, což ovšem opět není nijak specifické pro bezpečnosti IT. Lidé si stěžují, že se nestíhají učit nové věci, hrozí jim vyhoření. Placení jsou ovšem dobře, a to i na poměry podnikového IT; na mzdy jde podle průzkumu 451 Research v průměru asi 40 % rozpočtu oddělení.

Zajímavé je, že mnoho lidí v oddělení bezpečnosti IT ani nejsou specialisté přímo na zabezpečení, zabývají se jím prostě proto, že někdo se tím zabývat musí a firma specialistu nemá (ať už pracují na zabezpečení na full time, nebo dělají ještě něco jiného). Samozřejmě v malé firmě s několikačlenným oddělením IT je taková situace nutností; běžně se však stává i to, že podniky rozšiřují spektrum svých bezpečnostních operací a prostě sem přesunou třeba správce sítí, ERP systémů, databází apod. Tihle lidé jsou nejspíš stresem ohroženi ve zvláštní míře, protože se pohybují v nepříliš známém terénu.

V důsledku přetížení stále více lidí zvládá plnit pouze bezprostřední povinnosti, na další školení a získávání certifikací nemají čas ani sílu. V důsledku toho mají pocit, že zaostávají, tj. např. nemají přehled o aktuálně používaných metodách útočníků. 60 % respondentů průzkumu Infosec uvádí, že jejich organizace je v důsledku toho zranitelnější než před rokem. 50 % považuje za hlavní problém rostoucí sofistikovanost útoků, více vektorů i zranitelných zařízení, 40 % soudí, že největší problém nepředstavují ani tak nové typy útoků, ale prostě to, že vzrůstá jejich počet/četnost.

Bezpečnostní specialisté si nepřekvapivě stěžují na chování koncových uživatelů, a to jakkoliv třeba vedení firem deklaruje bezpečnost jako prioritu a snaží se zaměstnance vzdělávat. Nicméně bezpečnostní pravidla běžně porušují i další lidé z oddělení IT. Podniky postrádají metriky, jimiž by se úroveň zabezpečení měřila – zejména relativně s ohledem na vývoj v čase a v závislosti na konkrétních rozhodnutích (třeba investic do lidí nebo do řešení).

Firmy se často nacházejí v situaci, kdy prostě v krátkodobém horizontu nedokáží snížit složitost celého prostředí, v důsledku toho se nelepší ani situace týkající se viditelnosti – a to jakkoliv všichni uznávají, že 100% viditelnost, sjednocení prostředí a centralizované konzole hrají klíčovou roli. Přetrvává problém s BYOD, k tomu se přidává nejasnosti se zabezpečením aplikací přesouvaných do cloudu (navíc běžně do více cloudů současně, nikoliv v režii podniku jako celku, ale jednotlivých oddělení atd.).

Kelly Sheridan ve své analýze na Dark Reading dále zmiňuje problém IoT. Nikdo v podstatě neví, jako míru rizika na sebe organizace bere přidáním nového zařízení do firemní sítě. Dodavatelé vesměs neuvádění žádné údaje o bezpečnostním testování nebo certifikaci, firmware nebývá digitálně podepsán, totéž platí pro jeho aktualizace, nikdo si pak nemůže být jist, zda se softwarem někde mezi výrobcem a uživatelem nemanipulovalo.

Specialisté na zabezpečení IT si dále stěžují na nedostatečné sdílení dat v oboru a na to, že stále více útoků je organizováno státy/vládními organizacemi. To se sice drtivé většiny podniků přímo netýká, jenže státy tak financují výuku lidí s vynikajícími dovednostmi. Víme, co tito lidé dělají mimo svou práci nebo poté, co ze státních služeb odejdou? Jak své znalosti zpeněží nejefektivněji?


Komentáře

Přidat komentář
Peter Fodrek #0
Peter Fodrek 07. June 2019 10:50

BYOD je syst0mový priekak

February 24, 2017
Removing Admin rights prevent attackers from exploiting
- 94% of all the critical vulnerabilities Microsoft patched during the past year.
-100% of all critical Internet Explorer and Microsoft Edge browser vulnerabilities
-100% of all critical for Office 2016 vunerabilitities
https://www.bleepingcomputer.com/news/microsoft/removing-user-admin-rights-mitigates-94-percent-of-all-critical-microsoft-vulnerabilities/

February 4, 2016
Removing Admin rights prevent attackers from exploiting
-99 percent of flaws affecting Internet Explorer,
-82 percent of all vulnerabilities affecting Office.
-63 percent of all the critical vulnerabilities
https://www.zdnet.com/article/most-windows-flaws-mitigated-by-removing-admin-rights-says-report/


Ale len zakázať Administrátorské práva používateľov na BYOD je problém...