Bezpieczeństwo IT jest dziedziną w której strach, niepewność i wątpliwości (określane z jęz. angielskiego akronimem FUD) są doskonałym narzędziem w rękach producentów, oferujących kolejne wspaniałe (i najczęściej nietanie) rozwiązania. Specjaliści troszczący się o bezpieczeństwo infrastruktury IT zaakceptowali ten stan rzeczy - głównie z braku czasu na wypracowanie czy znalezienie prostych i skutecznych metod ochrony systemów i danych.

Prezentujemy pierwsze 4 z 9 (następne pojawią się wkrótce) popularnych technik i produktów, które zapewniają bezpieczeństwo w znacznie mniejszym stopniu niż nam się wydaje. O tym, że nie są one skuteczne, przekonuje na swoim blogu, zajmujący się od lat bezpieczeństwem Roger Grimes.

Zobacz również:

• Bezpieczeństwo w chmurze publicznej nadal priorytetowe
• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania
• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie

Antywirus nie znajdzie wszystkiego, co powinien

Typowy uniwersalny skaner antywirusowy sięga korzeniami końca lat 80 ubiegłego wieku (np. polski MKS VIR powstał w roku 1987). Wcześniej jeśli podejrzewaliśmy infekcję systemu jakimś złośliwym kodem, uruchamialiśmy narzędzie usuwające to konkretne zagrożenie. Programy antywirusowe (obecnie częściej określane rozwiązaniami anty-malware) potrafiły zlokalizować praktycznie każdego wirusa, robaka czy trojana. Wydawało się wtedy, że jedyne, czego potrzebujemy dla bezpieczeństwa to taki program pracujący w tle. Niestety wirusy przestały być szkodnikami tworzonymi tylko dla rozrywki. Cyberprzestępczość to dziś wart ciężkie miliony biznes, zaś setki tysięcy (jeśli nie miliony) powstających co miesiąc wirusów, to tylko jedno z narzędzi pomagających cyberkryminalistom zarobić pieniądze. Zagrożeń pojawia się więcej niż jakikolwiek pakiet antywirusowy może efektywnie wykryć. Pomimo, że praktycznie każdy producent chwali się niemal 100% skutecznością swoich rozwiązań i w wielu rankingach skuteczności, rzeczywistość brutalnie te dane weryfikuje.

Polecamy 10 mitów bezpieczeństwa IT

Zdarza się (i wcale nie tak rzadko), że pojawia się w naszych systemach malware, którego używany przez nas pakiet bezpieczeństwa nie jest w stanie wykryć. Zresztą po przesłaniu go do serwisu, korzystającego z wielu silników antywirusowych jak np. VirusTotal, może się okazać, że całkiem sporo z nich nie jest go w stanie wykryć i to nawet przez kilka dni od ich pojawienia się. I nie można o to winić producentów. Złych plików pojawia się po prostu horrendalnie dużo, bazy sygnatur rozrastają się do niemałych rozmiarów i jedyną szansą zaczyna być whitelisting programów. Wykrywanie nowych zagrożeń (których sygnatury nie zostały jeszcze opublikowane) bez znacznego spowalniania chronionych systemów jest o prostu zadaniem prawie niemożliwym do wykonania.

Nie oznacza to, że skoro programy te nie do końca sobie radzą to można z nich zrezygnować. Korzystanie z internetu bez ochrony byłoby delikatnie mówiąc nierozważne, jednak musimy być świadomi, że programy antywirusowe nie są tak skuteczne jak przekonują nas ich producenci.

Firewall zapewnia niewielką ochronę

Znaczenie firewalli dla bezpieczeństwa staje się z biegiem czasu coraz mniejsze - obecnie niektórzy eksperci uważają je za mniej istotne dla bezpieczeństwa niż skanery antywirusowe. Dlaczego? Większość złośliwego oprogramowania jest wprowadzana przez podstępne nakłonienie użytkownika do ściągnięcia i uruchomienia go (niekiedy wystarczy otworzyć określoną stronę internetową bądź podejrzeć spreparowany załącznik). Co więcej programy te "oddzwaniają do domu" korzystając z portu 80 bądź 443 - ruch wychodzący na oba te porty z przyczyn oczywistych jest zawsze przepuszczany. Na takie odwrotne proxy z ruchem schowanym w szyfrowanym połączeniu firewall nie pomoże.

Aktualizacje bezpieczeństwa nie są cudownym lekiem na wszystko

Przez wiele lat dyżurną radą dotyczącą bezpieczeństwa było aktualizowanie na bieżąco systemów i aplikacji. O ile systemy operacyjne zwykle są łatane na bieżąco, o tyle z aplikacjami nie jest już za dobrze. Nie zmieniają tego przeróżne systemy ułatwiające zarządzanie aktualizacjami. Często nie jest to winą systemu zarządzania aktualizacjami, a tego kto nim zarządza - podatne na atak i często wykorzystywane w tym celu programy, takie jak JAVA, Acrobat Reader czy Flash często bywają przez administratorów pomijane. Dodatkowo jeśli nie monitorują oni (z braku czasu bądź niekiedy chęci), czy stacje robocze faktycznie są na bieżąco aktualizowane, to można założyć, że zawsze pewien procent stacji ma jakąś lukę w bezpieczeństwa oprogramowaniu. Aktualizowanie trwa dniami, a czasem tygodniami, malware rozprzestrzenia się w minuty bądź godziny.

Polecamy Kilka szalonych (ale skutecznych) sposobów na bezpieczeństwo sieci

Jednak, według wielu analiz, gdyby oprogramowanie było całkowicie pozbawione luk (czyli aktualizacje bezpieczeństwa nie byłyby potrzebne), zredukowałoby to zagrożenia zaledwie o jakieś 10-20%. Warto zauważyć, że gdyby ta droga ataku została zamknięta, cyberprzestępcy korzystający z niej sięgnęliby po inne metody dostarczania złośliwego kodu do systemów (przede wszystkim inżynierię społeczną) i realna redukcja cyberzagrożeń byłaby jeszcze mniejsza.