Nul
Kernsmelting en Spectre, de onlangs blootgesteld gebreken in de onderliggende architectuur van veel processors vervaardigd in de laatste twee decennia, zijn gewoon de nieuwste beveiligings-crisis in de IT-industrie. Het is tijd om te erkennen dat terwijl bedrijven mogen graag denken dat hun systemen veilig zijn, is het beter om ze te beschouwen voortdurend en fundamenteel onzeker. Dat betekent nadenken over beveiliging als een continu proces en niet een eindpunt, die op zijn beurt leidt tot een paar dingen die moeten overwegen.
Dit zal weer gebeuren
De Spectre en Kernsmelting gebreken bestaan in een of andere vorm in de meeste Cpu ‘ s van Intel sinds 1995. Andere chip-makers zijn ook getroffen. Voor velen lijkt het verbijsterend dat een dergelijke ernstige kwetsbaarheden kunnen onopgemerkt blijven voor zo lang, maar het is gewoon een functie van de ongelooflijke complexiteit van de systemen vertrouwen we allemaal op. Voordat het te lang, een andere bug stuurt iedereen klauteren. Het is misschien niet een fout in het CPU-ontwerp, maar er zal iets anders. Vergeet Niet Heartbleed? Dat gat in de OpenSSL cryptografische bibliotheek kwam ook met een eigen logo en in paniek iedereen een paar jaar terug. En wat te denken van Shellshock? Dat was een grote fout van de afgelopen jaren.
Totale veiligheid is een illusie, en geloven dat uw systeem volledig beveiligd is een gevaarlijke illusie. Als u ervan uitgaan dat uw systemen zijn onzeker maak je betere beslissingen.
De grootste zwakheden mag niet je eigen
Er was eens een tijd dat je zou kunnen bouwen van een muur en een gracht rond uw systemen en gegevens, en geven slechts toegang tot bevoorrechte insiders. Die tijd is voorbij met de komst van het internet, maar veel bedrijven lijken niet te hebben gemerkt. Spectre en Kernsmelting zijn goede voorbeelden van dit vanwege de fouten kunnen mogelijk van invloed zijn op alles vanaf de PC op uw bureau en de telefoon in uw zak tot de cloud-dienst aan het berekenen van uw big data. Ongeacht hoe goed je bent in het patchen, u bent nu aangewezen op een constellatie van dienstverleners en partners. Waar je kan is het tijd om druk uit te oefenen op de rest van uw supply chain te nemen beveiliging serieus.
Hou het niet als je het niet nodig hebt
Als je aanneemt dat de systemen worden — of zal worden — in het gedrang, hoe verandert dat een strategie? Een ding om te overwegen is of die ze nodig hebben om de oogst zo veel gegevens als ze op dit moment doen. Indien sommige gegevens — met name over klanten — verzameld wordt, gewoon omdat het altijd al verzameld is, misschien is nu de tijd om te heroverwegen dat beleid. Heb je echt nodig dat gegevens? Heeft het voordeel van het verzamelen van deze opwegen tegen de kosten van het hebben van het gevaar?
Patchen alleen werd een belangrijk onderdeel van uw strategie
De software wordt geleverd door leveranciers is onvermijdelijk onvolmaakt, dus er zijn altijd patches toe te passen. Het toepassen van deze patches is lange tijd gezien als een lastige en ondankbare taak. Vooral in zakelijke omgevingen, waar de patches moeten worden getest om ervoor te zorgen dat ze niet leiden tot onverwachte problemen wanneer ze worden uitgevoerd, worden de updates worden vaak vergeten of ingediend op de bodem van de to-do lijst. Dat is niet langer aanvaardbaar: na de WannaCry ransomware huisgehouden vorig jaar werd ontdekt dat veel bedrijven zouden zijn beschermd als ze de moeite had genomen om het gebruik van de patch die al waren beschikbaar gesteld door Microsoft. Het is ook goed gedocumenteerd dat hackers zijn meestal aan de hand van bekende kwetsbaarheden om te lanceren hun aanvallen op bedrijven, en dat het hebben van systemen up-to-date is, is de beste eerste lijn van defensie. Alleen maar omdat er geen dergelijk ding zoals total security dat betekent niet dat je niet moet proberen: mijn collega Ed Bott heeft een uitstekende lijst van wat Windows admins moet nu doet en een goede patch-beleid is een prioriteit.
Plan voor het falen
Als je aanneemt dat de beveiliging is overleden, moet u wellicht een betere kans van het rijden van de storm als je geraakt wordt. Te veel organisaties paniek in het gezicht van een incident en het maken van een slechte situatie nog erger. Hebben een van tevoren te plannen: dat betekent bespreken erger-case scenario ‘ s met het management en met uw communicatie team, zodat u op zijn minst een overzicht van wat te doen als er dingen mis gaan. Het openen van deze lijnen is een begin, zodat u weet wie u moet op de dag wanneer het onvermijdelijk mis gaat.
Eens? Niet mee eens? Laat het me weten door het plaatsen van een lezer reactie hieronder.
VORIGE EN AANVERWANTE DEKKING
De Linux vs Kernsmelting en Spectre strijd gaat (ZDNet)de Vaststelling van Crisis en Spectre zal nemen Linux — en alle andere besturingssystemen — programmeurs een lange, lange tijd. Hier is waar de Linux-ontwikkelaars nu.
Windows Kernsmelting-Spectre patches: Als je dat niet hebt hen de schuld van uw antivirus (ZDNet)Microsoft zegt dat uw antivirus software kan u stopt met het ontvangen van de nood patches uitgegeven voor Windows.
Hoe de Crisis en de Spectre gaten in de beveiliging correcties zullen invloed hebben op je(ZDNet)Get ready to patch elk stuk van computing spullen in uw huis en bedrijf om te gaan met deze CPU nachtmerrie.
Hoe de Crisis en de Spectre chip gebreken zal de impact van cloud computing(TechRepublic)Oplossingen voor twee essentiële bouwkundige gebreken in de Cpu ‘ s kan leiden tot verminderde prestaties, maar de impact op de wereld is lager dan de synthetische benchmarks.
Enorme Intel CPU-fout: Inzicht in de technische details van de Crisis en de Spectre (TechRepublic)Twee essentiële bouwkundige gebreken in de Cpu ‘ s stellen de gebruiker processen om te lezen kernel geheugen, invloed Intel, AMD en ARM-processors. Hier is wat u moet weten.
Verwante Onderwerpen:
CXO
Beveiliging TV
Data Management
Datacenters
0