Zero
Crollo e Spectre, recentemente esposto i difetti in architettura sottostante di molti processori realizzati negli ultimi due decenni, sono solo gli ultimi di protezione crisi nel settore IT. È tempo di riconoscere che, mentre le aziende possono pensare di loro sistemi, come è sicuro, è meglio considerare loro di essere costantemente e fondamentalmente insicuro. Che significa pensare alla sicurezza come un processo continuo, piuttosto un punto di fine, che a sua volta porta a un paio di altre cose che hanno bisogno di considerare.
Questo accadrà di nuovo
Lo Spettro e il Tracollo difetti esistere in qualche forma in più Cpu da Intel a partire dal 1995. Altri chip-maker sono anche colpiti. A molti può sembrare sconcertante che tali gravi vulnerabilità può passare inosservato per tanto tempo; tuttavia, è semplicemente una funzione di incredibile complessità dei sistemi si basano tutti su. Prima di troppo lungo, un altro bug invierà a tutti rimescolando. Potrebbe non essere un difetto di progettazione della CPU, ma ci sarà qualcos’altro. Ricordate Heartbleed? Quel buco nella libreria di crittografia OpenSSL, è venuto anche con il proprio logo e in preda al panico a tutti un paio di anni indietro. E che dire di Shellshock? Che è un altro grande bug negli ultimi anni.
Totale sicurezza è un miraggio, e credere che il sistema per essere completamente sicuro, è una pericolosa illusione. Se si assume che i sistemi sono insicuro si prenderanno decisioni migliori.
La più grande debolezza non può essere la vostra propria
C’era una volta un tempo si potrebbe costruire un muro e da un fossato intorno a sistemi e dati, e solo dare accesso a privilegi. Che passare del tempo con l’arrivo di internet, ma molte aziende sembrano non aver notato. Spectre e Fusione sono buoni esempi di questo, perché i difetti potrebbero potenzialmente influenzare tutto dal PC sulla scrivania e lo smartphone in tasca a destra attraverso il servizio cloud sgranocchiando i big data. Non importa quanto sei bravo a patch, ora affidamento su una costellazione di partner e fornitori di servizi. Dove è possibile, è il momento di mettere sotto pressione il resto della vostra catena di fornitura di prendere sul serio la sicurezza.
Non tenerlo se non ne ha bisogno
Se si assume che i sistemi sono-o saranno — compromessa, come cambia la strategia di un’impresa? Una cosa da considerare è la necessità di raccogliere una quantità di dati che fanno ora. Se alcuni dati, in particolare sui clienti, è in corso la raccolta semplicemente perché è sempre stato raccolto, forse ora è il momento di rivedere la che la politica. Non si ha realmente bisogno di tali dati? Il vantaggio di raccogliere superano il costo di avere compromesso?
Patch è diventato una parte fondamentale della strategia
Il codice del software fornito da fornitori è inevitabilmente imperfetta, così ci sono sempre le patch da applicare. L’applicazione di queste patch è stato a lungo visto come un noioso e poco gratificante lavoro. Soprattutto in ambienti aziendali, dove le patch devono essere controllati per assicurarsi che essi non causare problemi imprevisti quando sono attuate, gli aggiornamenti sono spesso dimenticati o depositato in fondo alla lista di to-do. Che non è più accettabile: dopo il WannaCry ransomware provocato il caos dello scorso anno si è scoperto che molte aziende potrebbero sono stati protetti se avessero preso la briga di usare la patch che era già stata resa disponibile da Microsoft. È anche ben documentato che gli hacker sono per lo più utilizzando le vulnerabilità note per lanciare i loro attacchi su imprese, e che avendo sistemi up-to-date è la migliore prima linea di difesa. Solo perché non c’è nessuna tale cosa come la sicurezza totale che non significa non provare: la mia collega Ed Bott ha un’eccellente lista di ciò che Windows amministratori dovrebbero fare adesso e una corretta applicazione di patch politica è una priorità.
Piano per la mancata
Se si assume che la sicurezza è morto, non si può avere una migliore possibilità di cavalcare la tempesta, se si vuole ricevere il colpo. Troppe organizzazioni di panico di fronte a un problema di sicurezza e di fare una brutta situazione. Avere un piano prima del tempo: che significa discutere con il peggiore degli scenari con la direzione e con il team di comunicazione in modo che almeno hanno un profilo di che cosa fare quando le cose vanno male. Aprire le linee di comunicazione al più presto in modo che si sa a chi rivolgersi per il giorno quando, inevitabilmente, tutto va storto.
D’accordo? Non sono d’accordo? Fatemi sapere tramite la pubblicazione di un lettore di commento qui sotto.
PRECEDENTE E RELATIVA COPERTURA
Linux vs Crollo e Spectre battaglia continua (ZDNet)di Fissaggio Crollo e Spectre avrà Linux — e tutti gli altri sistemi operativi — programmatori un lungo, lungo tempo. Qui è dove gli sviluppatori di Linux sono ora.
Windows Meltdown-Spectre patch: Se non hai di loro, la colpa del tuo antivirus (ZDNet)Microsoft dice che il software antivirus potrebbe interrompere la ricezione di emergenza patch rilasciata per Windows.
Come il Crollo e di Spettro di buchi di sicurezza correzioni vi riguardano(ZDNet)Ottenere pronto per la patch di ogni pezzo di calcolo attrezzi in casa e in azienda a trattare con questa CPU incubo.
Come il Crollo e Spectre chip difetti impatto del cloud computing(TechRepublic)Attenuazioni per due critici di architettura difetti Cpu può causare un degrado delle prestazioni, ma nel mondo reale impatto è inferiore al benchmark sintetici.
Massiccia CPU Intel difetto: Comprendere i dettagli tecnici di Crollo e Spectre (TechRepublic)Due critici di architettura difetti Cpu per consentire all’utente di processi di leggere la memoria del kernel, che interessano Intel, AMD, i processori ARM. Ecco che cosa avete bisogno di sapere.
Argomenti Correlati:
CXO
Di sicurezza, TV
La Gestione Dei Dati
Centri Dati
0