пользователям похрен - лишбЭ свои данные действительно были защищены
походу только запись данных в какойнить кристалл-алмаз, чтоб не размагнитился и не был подключен ни к чему
Topic: Проблема псевдо-оффлайновых хранилищ и бk (Read 486 times)
аблигация- облигация, онлайн-оффлайн )
пользователям похрен - лишбЭ свои данные действительно были защищены
походу только запись данных в какойнить кристалл-алмаз, чтоб не размагнитился и не был подключен ни к чему
пользователям похрен - лишбЭ свои данные действительно были защищены
походу только запись данных в какойнить кристалл-алмаз, чтоб не размагнитился и не был подключен ни к чему
Проблема псевдо-оффлайновых хранилищ и безопасность данных
20.08.2015
То, что многие считают оффлайн-ресурсами, в действительности не является по-настоящему оффлайновым; реальные различия могут привести к большим проблемам. В последнее время идет много разговоров о скрытых рисках в IT, которые могут незаметно подкрасться к вам или вашему бизнесу.
Это угрозы, которые могут быть неактивны в течение длительного периода — нескольких месяцев или даже лет. К тому времени, как угроза материализуется и раскроет уязвимости, последствия могут быть весьма плачевны. Этот материал также посвящен дискуссии о непонимании сообществом того факта, что так называемые оффлайновые активы на самом деле совершенно не оффлайновые.
Единственное приемлемое определение оффлайна связано с буквальным отключением актива от сети так, что ни коим образом невозможно связаться с ним удаленно. Неспособность понять разницу между действительно оффлайновыми устройствами, сервисами, активами и тем, что многие компании считают “оффлайновым” привело к огромным нераспознанным рискам, которые (если информация о них попадет не в те руки) могут повлечь серьезные проблемы для бизнеса. Некоторые компании прекратили свое существование из-за неспособности понять важность и необходимость части активов быть по-настоящему оффлайновыми.
Code Spaces, компания по облачному хостингу, стала одной из жертв такой неосторожности. Компания активно продвигала преимущества своего сервиса, которые позволяли создавать полные резервные копии в трёх разных географических локациях. Утверждалось, что у них были оффлайновые копии всей информации клиентов.
Это было не так. Один хакер взломал систему, шантажировал Code Space, угрожая удалить всю информацию, если компания не заплатит выкуп или если попробует обойти хакерскую атаку. Компания попыталась контратаковать, однако злоумышленник моментально распознал их маневры и удалил большую часть информации, включая “оффлайновые” резервные копии.
Если информация может быть удалена посредством доступа через сеть, она никак не находится оффлайн.
С какого же момента мы взяли в привычку называть онлайн-хранилища и активы “оффлайновыми”. Основным сдвигом в понимании можно считать начало повсеместного использования виртуальных хостов и гостевых машин, но появление объемных жестких дисков и массивов данных тоже повлияло на ситуацию.
В какой-то момент системные администраторы стали воспринимать выключенные виртуальные машины как “оффлайновые”. Они всерьез предполагали, что отключив виртуальное устройство от виртуальной сети TCP/IP, можно действительно обезопаситься и объявить, что никто не сможет залезть в неё.
Когда кто-то говорит, что у него есть оффлайновый актив на виртуальном хосте, стоит уточнить, возможно ли удалённо через сеть включить виртуальную машину и получить к ней доступ? Почти каждый раз в таком случае говорят “да”. Все, что необходимо, это подключиться к виртуальному хосту, используя программное обеспечение для виртуальных машин или специальное устройство, — и вуаля! “Оффлайновая” виртуальная машина внезапно становится онлайн.
Если вы имеете возможность удаленного доступа к активу посредством сети, то точно такой же доступ есть у злоумышленника. Ваш актив не находится оффлайн.
Навешивание ярлыков усугубляется необходимостью работать с громадными массивами информации и большими жесткими дисками. Сегодня массивы данных настолько велики, что традиционные системы резервного хранения (ленты, оптические диски и т.д.) просто не поспевают за прогрессом. Вместо этого, почти каждая компания любого размера создает резервные копии на жестки диски большого объема, которые хранятся локально, либо если компания чуть более склонна к рискам, где-то удалённо.
Однако, стоит задать им всё тот же вопрос: “Можете ли вы восстановить данные, посредством удалённого соединения без необходимости совершать физическое воздействие на хранилище?” Если ответ “да”, то резервное хранилище находится либо является потенциально онлайновым. Потенциально онлайновое ничем не отличается от полностью онлайнового, а это значит, что хакеры могут добраться до него, если захотят. Есть множество историй уволенных системных администраторов, которые, по сути, установили бомбу с часовым механизмом на резервное хранилище, которая взорвалась как только были потеряны наиболее актуальные данные.
Уязвимость оффлайновых активов, подключенных к сети связана не только с системами хранения данных. К примеру, одним из положений стандарта Инфраструктуры Открытых Ключей (Public Key Infrastructure, сокр. PKI) является является оффлайн-статус корневого реестра Центра Сертификации (Certificate Authority, сокр. СА), чтобы злоумышленники не могли его модифицировать. Более, чем у половины компаний корневой реестр Центра Сертификации подключён к сети с использованием псевдо-оффлайнового режима, вроде отключённой виртуальной машины (разумеется, доступной через сеть).
Десять лет назад, когда хакеры не целились в PKI, эта проблема не стояла так остро. Однако, сегодня, когда продвинутые атаки нацелены на Центры Сертификации и приватные ключи, пользоваться псевдо-оффлайновыми решениями совершенное безумие. Действительно оффлайновый корневой реестр Центра Сертификации ни на секунду нельзя подключать к сети, никогда!
По настоящему жаль тех несчастных, кто доверил безопасность своих биткоинов компаниям, которые не знают, что такое «оффлайн» хранилище. Все мы помним, как хакеры неоднократно врывались в такие биткоин-банки и площадки для торговли биткоином и крали огромное количество денег. В мгновение ока банковские аккаунты каждого пользователя были опустошены. Настоящие банки, которые имеют дело с реальными деньгами, всегда обеспечивают свою безопасность при помощи настоящих оффлайновых хранилищ.
Безопасность не является чем-то черным или белым. Ее оттенки формируют градиент от белого (отсутствие безопасности) к черному (полная защита). Вы можете использовать разные уровни “оффлайновости”, каждый из которых будет соответствовать уровню риска, с которым вы надеетесь справиться.
Однако, только наличие действиельно оффлайновых активов, хранимых в отдельном месте, недоступном ни физически, ни электронно, включают в себя все меры предосторожности, которые мы подразумеваем, говоря “оффлайн”.
В мире принято называть онлайновые активы оффлайновыми, в то время, как те не являются таковыми. Вы можете продолжать такую практику, ведь иногда частично оффлайновый статус является приемлемым, но стоит понимать, что необходимый уровень защиты, предоставляемый действительно оффлайновым статусом не появляется по мановению волшебной палочки только потому, что мы назовем его оффлайновым. Некоторые вещи должны храниться вне сети, стоит удостовериться, что они полностью оффлайн. В обратном случае, вы создаете и принимаете повышенные риски, которые моментально станут очевидными в самый неподходящий момент.
http://forklog.com/problema-psevdo-offlajnovyh-hranilishh-i-bezopasnost-dannyh/
20.08.2015
То, что многие считают оффлайн-ресурсами, в действительности не является по-настоящему оффлайновым; реальные различия могут привести к большим проблемам. В последнее время идет много разговоров о скрытых рисках в IT, которые могут незаметно подкрасться к вам или вашему бизнесу.
Это угрозы, которые могут быть неактивны в течение длительного периода — нескольких месяцев или даже лет. К тому времени, как угроза материализуется и раскроет уязвимости, последствия могут быть весьма плачевны. Этот материал также посвящен дискуссии о непонимании сообществом того факта, что так называемые оффлайновые активы на самом деле совершенно не оффлайновые.
Единственное приемлемое определение оффлайна связано с буквальным отключением актива от сети так, что ни коим образом невозможно связаться с ним удаленно. Неспособность понять разницу между действительно оффлайновыми устройствами, сервисами, активами и тем, что многие компании считают “оффлайновым” привело к огромным нераспознанным рискам, которые (если информация о них попадет не в те руки) могут повлечь серьезные проблемы для бизнеса. Некоторые компании прекратили свое существование из-за неспособности понять важность и необходимость части активов быть по-настоящему оффлайновыми.
Code Spaces, компания по облачному хостингу, стала одной из жертв такой неосторожности. Компания активно продвигала преимущества своего сервиса, которые позволяли создавать полные резервные копии в трёх разных географических локациях. Утверждалось, что у них были оффлайновые копии всей информации клиентов.
Это было не так. Один хакер взломал систему, шантажировал Code Space, угрожая удалить всю информацию, если компания не заплатит выкуп или если попробует обойти хакерскую атаку. Компания попыталась контратаковать, однако злоумышленник моментально распознал их маневры и удалил большую часть информации, включая “оффлайновые” резервные копии.
Если информация может быть удалена посредством доступа через сеть, она никак не находится оффлайн.
С какого же момента мы взяли в привычку называть онлайн-хранилища и активы “оффлайновыми”. Основным сдвигом в понимании можно считать начало повсеместного использования виртуальных хостов и гостевых машин, но появление объемных жестких дисков и массивов данных тоже повлияло на ситуацию.
В какой-то момент системные администраторы стали воспринимать выключенные виртуальные машины как “оффлайновые”. Они всерьез предполагали, что отключив виртуальное устройство от виртуальной сети TCP/IP, можно действительно обезопаситься и объявить, что никто не сможет залезть в неё.
Когда кто-то говорит, что у него есть оффлайновый актив на виртуальном хосте, стоит уточнить, возможно ли удалённо через сеть включить виртуальную машину и получить к ней доступ? Почти каждый раз в таком случае говорят “да”. Все, что необходимо, это подключиться к виртуальному хосту, используя программное обеспечение для виртуальных машин или специальное устройство, — и вуаля! “Оффлайновая” виртуальная машина внезапно становится онлайн.
Если вы имеете возможность удаленного доступа к активу посредством сети, то точно такой же доступ есть у злоумышленника. Ваш актив не находится оффлайн.
Навешивание ярлыков усугубляется необходимостью работать с громадными массивами информации и большими жесткими дисками. Сегодня массивы данных настолько велики, что традиционные системы резервного хранения (ленты, оптические диски и т.д.) просто не поспевают за прогрессом. Вместо этого, почти каждая компания любого размера создает резервные копии на жестки диски большого объема, которые хранятся локально, либо если компания чуть более склонна к рискам, где-то удалённо.
Однако, стоит задать им всё тот же вопрос: “Можете ли вы восстановить данные, посредством удалённого соединения без необходимости совершать физическое воздействие на хранилище?” Если ответ “да”, то резервное хранилище находится либо является потенциально онлайновым. Потенциально онлайновое ничем не отличается от полностью онлайнового, а это значит, что хакеры могут добраться до него, если захотят. Есть множество историй уволенных системных администраторов, которые, по сути, установили бомбу с часовым механизмом на резервное хранилище, которая взорвалась как только были потеряны наиболее актуальные данные.
Уязвимость оффлайновых активов, подключенных к сети связана не только с системами хранения данных. К примеру, одним из положений стандарта Инфраструктуры Открытых Ключей (Public Key Infrastructure, сокр. PKI) является является оффлайн-статус корневого реестра Центра Сертификации (Certificate Authority, сокр. СА), чтобы злоумышленники не могли его модифицировать. Более, чем у половины компаний корневой реестр Центра Сертификации подключён к сети с использованием псевдо-оффлайнового режима, вроде отключённой виртуальной машины (разумеется, доступной через сеть).
Десять лет назад, когда хакеры не целились в PKI, эта проблема не стояла так остро. Однако, сегодня, когда продвинутые атаки нацелены на Центры Сертификации и приватные ключи, пользоваться псевдо-оффлайновыми решениями совершенное безумие. Действительно оффлайновый корневой реестр Центра Сертификации ни на секунду нельзя подключать к сети, никогда!
По настоящему жаль тех несчастных, кто доверил безопасность своих биткоинов компаниям, которые не знают, что такое «оффлайн» хранилище. Все мы помним, как хакеры неоднократно врывались в такие биткоин-банки и площадки для торговли биткоином и крали огромное количество денег. В мгновение ока банковские аккаунты каждого пользователя были опустошены. Настоящие банки, которые имеют дело с реальными деньгами, всегда обеспечивают свою безопасность при помощи настоящих оффлайновых хранилищ.
Безопасность не является чем-то черным или белым. Ее оттенки формируют градиент от белого (отсутствие безопасности) к черному (полная защита). Вы можете использовать разные уровни “оффлайновости”, каждый из которых будет соответствовать уровню риска, с которым вы надеетесь справиться.
Однако, только наличие действиельно оффлайновых активов, хранимых в отдельном месте, недоступном ни физически, ни электронно, включают в себя все меры предосторожности, которые мы подразумеваем, говоря “оффлайн”.
В мире принято называть онлайновые активы оффлайновыми, в то время, как те не являются таковыми. Вы можете продолжать такую практику, ведь иногда частично оффлайновый статус является приемлемым, но стоит понимать, что необходимый уровень защиты, предоставляемый действительно оффлайновым статусом не появляется по мановению волшебной палочки только потому, что мы назовем его оффлайновым. Некоторые вещи должны храниться вне сети, стоит удостовериться, что они полностью оффлайн. В обратном случае, вы создаете и принимаете повышенные риски, которые моментально станут очевидными в самый неподходящий момент.
http://forklog.com/problema-psevdo-offlajnovyh-hranilishh-i-bezopasnost-dannyh/
Jump to: