Blog

W pierwszym cotygodniowym przeglądzie najciekawszych (moim zdaniem) wydarzeń: sezon huraganów w pełni, kolejne szczegóły ataku na RSA, bezpieczeństwo na Facebooku oraz nadchodzące wydarzenia związane z odpornością biznesu.

 

Sezon huraganów

Głównym tematem zeszłego tygodnia był huragan Irene. Na szczęście nie okazał się kolejną Katriną i docierając do największych miast był już „tylko” większą burzą. Amerykanie nie zdążyli jeszcze do końca posprzątać po nawałnicy, a już są straszeni Katią i Lee. Według niektórych ubezpieczycieli Irene—względnie spokojna—uplasowała się w pierwszej dziesiątce najbardziej kosztownych katastrof w dziejach USA. Straty szacowane są obecnie na około 10 miliardów dolarów (dla porównania Katrina: ponad 100 miliardów dolarów).

Zastanawialiście się kiedyś, jak często może wystąpić huragan roku? A jeśli postrzegacie huragany jako zjawisko zbyt abstrakcyjne w Polsce: jak często możemy mieć powódź albo zimę stulecia? W ocenie ryzyka prawdopodobieństwo (opisujące nieznaną przyszłość) przybliżamy zazwyczaj wykorzystując częstotliwość wystąpień danego zagrożenia (czyli na podstawie znanej przeszłości). Tylko jaką mamy pewność, że nasz model jest wciąż aktualny, że po zimie stulecia w kolejnym roku nie przyjdzie kolejna, jeszcze cięższa?

Szczegóły ataku na RSA

W marcu informowaliśmy o kradzieży danych z firmy RSA. Dziś wygląda na to, że atak ten wcale niekoniecznie był advanced ani persistent, przynajmniej nie na początku. Scenariusz mógł wyglądać następująco:

  1. Czterej zwykli pracownicy RSA (czyli nikt z Zarządu i wyższego kierownictwa) otrzymują wiadomość zatytułowaną „Plany rekrutacyjne na rok 2011”, zawierającą prośbę o otwarcie załączonego arkusza kalkulacyjnego.
  2. Załącznik po otwarciu instaluje i uruchamia backdoora (tylne wejście), wykorzystując świeżą, niezałataną lukę w Adobe Flash (zero-day exploit).
  3. Atakujący stopniowo uzyskuje kolejne uprawnienia i dostęp do sieci korporacyjnej, ostatecznie doprowadzając do kradzieży danych.

Niech podniosą rękę w górę wszyscy, którzy uważają, że taki atak jest niemożliwy w ich firmie… No właśnie…

Wielowarstwowa obrona to w tej chwili pierwsza i chyba najważniesza rada, jeśli chodzi o zabezpieczenie naszych sieci firmowych. Bezpieczeństwo informacji to nie tylko firewall lub antywirus, polityka bezpieczeństwa, niezależne audyty, system antyspamowy, systemy wykrywania i zapobiegania atakom (IDS i IPS), szyfrowanie danych, szkolenia pracowników. Tak samo, jak ciągłość działania to nie PCD, a zarządzanie ryzykiem to nie coroczny przegląd zagrożeń. Wszystkie powyższe elementy są niezbędne, i to nie na zasadzie „wybierz jeden”, ale w kombinacji kilku, dopasowanych do specyfiki danej organizacji.

Bezpieczeństwo na Facebooku

Facebook ostatnio intensywnie inwestuje w bezpieczeństwo, zgrabnie zamykając je w trzech słowach: „Stop. Think. Connect”. Być może przejął się ostrzeżeniem grupy Anonymous („Obywatele Świata! Medium, które tak bardzo kochacie, zostanie zniszczone 5 listopada!”), może to w końcu troska o użytkowników… Faktem jest, że serwis zmienia się na lepsze.

W sierpniu wystartował program Bug Bounty, w którym za zgłoszenie luki w zabezpieczeniach systemu można otrzymać nagrodę od 500 do 5000 dolarów. Kilka dni temu na stronie Facebook Security pojawił się przewodnik po bezpieczeństwie Facebooka. Generalnie popieram inicjatywę, ale moim zdaniem nikt (poza kilkoma ekspertami od bezpieczeństwa) do przewodnika nie zajrzy. Proponowałbym natomiast wysyłać stronę 13. („Top Tips for Staying Secure on Facebook”) każdemu nowemu użytkownikowi, a później wszystkim regularnie co dwa miesiące—dla przypomnienia.

Nadchodzące wydarzenia

Koniec wakacji to jednocześnie początek sezonu konferencji i spotkań branżowych. W przyszłym tygodniu odwiedzamy (jako uczestnicy, nie prelengenci) Zarządzanie kryzysowe i ratownictwo GigaCon.

Przy okazji przygotowaliśmy kalendarz, który ułatwi śledzenie nadchodzących wydarzeń związanych z odpornością biznesu. Z czasem będziemy go uzupełniać o kolejne konferencje, seminaria, webcasty, itp.

Warto przeczytać

W tym tygodniu polecam: