Nul
Nedsmeltning og Spectre, de har for nyligt afsløret fejl i den underliggende arkitektur af mange processorer, der er fremstillet i løbet af de sidste to årtier, er blot den seneste sikkerhedsmæssige krise til at ramme IT-branchen. Det er tid til at erkende, at samtidig med at virksomhederne kan godt lide at tænke på deres systemer, som sikker, er det bedre at betragte dem til at være konstant og fundamentalt usikre. Det betyder, at tænke på sikkerheden som en løbende proces og ikke et slutpunkt, som igen fører til et par flere ting, der skal overveje.
Dette vil ske igen
Spectre, og Nedsmeltning mangler i en eller anden form i de fleste Cpu ‘ er fra Intel siden 1995. Andre chip-producenter er også berørt. For mange kan det virke forvirrende, at sådanne alvorlige sårbarheder kunne gå upåagtet hen i så lang tid, men det er simpelthen en funktion af den utrolige kompleksitet af de systemer, vi er nødt til at stole på. Inden alt for længe, en anden fejl vil sende alle travlt med. Det kan ikke være en fejl i CPU-design, men der vil være noget andet. Husk Heartbleed? Dette hul i OpenSSL kryptografisk bibliotek kom også med sit eget logo, og alle gik i panik, for et par år tilbage. Og hvad med Shellshock? Der var en anden stor fejl fra de seneste år.
Total sikkerhed er en illusion, og at tro, at dine systemer til at være helt sikkert er en farlig illusion. Hvis du antager, at dine systemer er usikker, vil du træffe bedre beslutninger.
Den største svagheder kan ikke være din egen
Der var engang en tid, kan du bygge en mur og voldgrav omkring dine systemer og data, og kun give adgang til privilegerede insidere. Som tiden gik med ankomsten af internettet, men mange virksomheder synes ikke at have bemærket. Spectre, og Nedsmeltning er gode eksempler på dette, fordi de mangler, der potentielt kan påvirke alt fra PC ‘ er på dit skrivebord og din smartphone i lommen lige igennem til en cloud-tjeneste, knasende din big data. Uanset hvor god du er til at lappe, og du er nu afhængige af en bred vifte af leverandører og partnere. Hvis du kan, er det tid til at lægge pres på resten af din supply chain til at tage sikkerhed alvorligt.
Husk ikke på det, hvis du ikke har brug for det
Hvis man antager, at systemer, der er-eller vil være-kompromitteret, hvordan at ændre en virksomheds strategi? En ting at overveje, er, om de har brug for at høste så mange data som de gør lige nu. Hvis nogle data-især om kunder — er ved at blive indsamlet, blot fordi det har altid været indsamlet, måske nu er tid til at genoverveje denne politik. Har du virkelig brug for, at data? Ikke gavn af at samle det opvejer omkostningerne ved at have det kompromitteret?
Patching er lige blevet en central del af din strategi
Software-kode, der leveres af leverandører er uundgåeligt ufuldkommen, så der er altid patches til at anvende. Anvendelsen af disse patches har længe været set som en kedelig og utaknemmeligt job. Især i virksomhedernes omgivelser, hvor patches er nødt til at blive testet for at sikre, at de ikke kan forårsage uventede problemer, når de er gennemført, opdaterer ofte er glemt eller gemt på bunden af den to-do liste. Det er ikke længere acceptabelt: efter WannaCry ransomware hærgede sidste år blev det opdaget, at mange virksomheder kunne have været beskyttet, hvis de havde gidet at bruge plaster, som allerede er gjort tilgængelig af Microsoft. Det er også veldokumenteret, at hackere er for det meste ved hjælp af kendte sårbarheder til at lancere deres angreb på virksomheder, og at der systemer op-til-dato er det bedste forsvar. Bare fordi der er ikke sådan noget som den samlede sikkerhed, som betyder ikke, du ikke bør forsøge: min kollega Ed Bott har en fremragende liste over, hvad Windows admins bør gøre lige nu og en ordentlig klap politik er en prioritet.
Plan for fiasko
Hvis man antager, at sikkerhed er død, kan du have en bedre chance for at ride stormen af, hvis du bliver ramt. Alt for mange organisationer panik i ansigtet af en sikkerhedshændelse og gøre en dårlig situation værre. Har en plan i god tid: det betyder, at diskutere hvad der er værre-case scenarier med ledelse og med din kommunikation, team, således at du mindst har en oversigt over, hvad der skal gøres, når noget går galt. Åbne disse linjer for kommunikation så tidligt, at du ved, hvem de skal henvende sig til den dag, hvor det uundgåeligt, at alle, der går galt.
Enig? Der er uenige? Lad mig vide ved at sende en læser, kommentar nedenfor.
TIDLIGERE OG RELATEREDE DÆKNING
Linux vs Nedsmeltning og Spectre kampen fortsætter (ZDNet)Fastsættelse Nedsmeltning og Spectre vil tage Linux — og alle andre operativsystemer — programmører en lang, lang tid. Her er, hvor Linux-udviklere er nu.
Windows Nedsmeltning-Spectre patches: Hvis du ikke har fået dem, bebrejde din antivirus (ZDNet)Microsoft siger, at din antivirus-software, der kunne stoppe dig fra at modtage nødhjælp patches, der er udstedt til Windows.
Hvordan Nedsmeltning og Spectre sikkerhedshuller rettelser vil påvirke dig(ZDNet)gør dig klar til at lappe hvert stykke af it-redskaber i dit hjem og virksomhed til at beskæftige sig med denne CPU mareridt.
Hvordan Nedsmeltning og Spectre-chip, fejl vil påvirke cloud computing(TechRepublic)Afhjælpninger for to kritiske arkitektoniske fejl i Cpu ‘ er kan forårsage forringelse af ydeevnen, men i den virkelige verden virkningen er lavere end syntetiske benchmarks.
Massiv Intel CPU fejl: Forståelse af de tekniske detaljer af Nedsmeltning-og Spectre (TechRepublic)To kritiske arkitektoniske fejl i Cpu ‘ tillad bruger processer til at læse kernen hukommelse, der påvirker Intel, AMD og ARM-processorer. Her er hvad du behøver at vide.
Relaterede Emner:
CXO
Sikkerhed-TV
Data Management
Datacentre
0