« Home | Security Assets Interoperability » | אלגברה להמונים - בחסות "לרדת בגדול". » | Google Chrome - My New Browser » | משתמשים מגנים על משתמשים » | ImperViews » | הגנת IPS כנגד SQL Injection , לא ממש... » | אנטי - Agent » | Firefox 3.0 - רשמים ראשונים » | Imperva » | סוס טרויאני באתר Zap.co.il »

Your Partner Or Your Problem

angry במרוצת השנים האחרונות יצא לי לעבוד עם לא מעט לקוחות ואינטגרטורים שונים אשר בעבר נמנתי על חלקם. עם הזמן שמתי לב למספר דפוסים אשר חוזרים בין פרטנרים שונים, אשר במבט מעמיק יותר - יוצרים בעיות אבטחה לא פשוטות לארגונים בהם ישנן חברות השמה , או כל אינטגטרטור אשר מבצע עבודות אפליקציה ותשתית עבורם.

למעשה, כאשר אינטגרטור עובד עבור מוסד או חברה כלשהי , בחלק גדול מהמקרים - ברשותו שם משתמש וסיסמה לשרתים ולציודים שונים על מנת לתת להם תמיכה. באותה רמה אנשים קבועים אשר נותנים שירות לאורך תקופה אצל לקוחות, מחזיקים ברשותם סיסמאות ושרטוטי ארכיטקטורה רשתית ואפליקטיבית מפורטים - וכל זאת מהסיבה הלגיטימית של מתן שירות והבנה לאורך זמן של תהליכים על מנת לטפל בתקלות שעלולות לקרות.

איפה למעשה נוצרת בעיה... כאשר אותו אדם אשר מועסק על ידי אינטגרטור מסויים , מטפל בפועל במספר רב של לקוחות. ברוב מכריע של המקרים ישתמש באותו שם משתמש וסיסמה למערכות וציודים רבים בצורה חופפת בין לקוחות מסיבות של זיכרון אנושי. מה שקורה הוא שבדרך כלל הסיסמה אינה מורכבת , ולעתים אנשי הארגון אשר מקבל שירות אף יודעים אותה. מה שהופך ארגון לפגיע.

יתרה מכך , חברה משקיעה משאבים רבים בהגנה על שרטוטי ארכיטקטורה , ססמאות , מבני גישה ומודלים של נתוני Database למיניהם, אך אין ביכולתה לאכוף מדיניות על המחשב הנישא ( שאינו חייב להיות מחובר כדי שיהיו עליו נתונים ) של אותו טכנאי , אשר הרבה יותר פגיע לגניבה , ברוב המקרים לא יוצפן , ברוב המקרים ולא מתוך רוע לב - יזלזל במדיניות האבטחה של הארגון מאחר והוא אינו נאכף על ידה.

בצורה אבסורדית , אותו גורם אשר מטפל בנו מבפנים , יש לו גישה הכי גבוהה למערכות מאחר ובד"כ הוא הגורם המוסמך ביותר לטפל בהן - הוא גורם הסיכון הלא מבוקר והפגיע ביותר.

תשאלו את עצמכם פעם , לכמה מהלקוחות של האינטגרטור שלכם יש את אותו משתמש\סיסמה שהוגדר אצלכם ...

האם פתרון OTP מיושם אצלכם ? וגם אם כן , האם גם שם המשתמש ( Something You Know ) הוא אקראי ? כנראה שלא.

Labels: , , , ,

Syndication : Digg It  Add to Technorati Favorites  Stumble It  Worth Reading 

צודק. העלית בעיה חשובה ומאוד נכונה. ובאמת, פתרון OTP מאוד עוזר, בייחוד אם הוא בידי צוות NOC או בקרה כלשהו, שנותן את ערך ה-OTP לטכנאי רק לאחר שהצוות מתקשר ומקבל אישור של איש הקשר של הטכנאי בארגון.

כל הנ"ל עדיין לא פותרים את הבעיה של תכנים שחברת האינטגרציה/יעוץ מחזיקה אצלה.
זה מן הסתם צריך להיות סגור בחוזה ובבדיקות אבט"מ לספק - שהוא נוקט אמצעי אבט"מ מספיקים.

Post a Comment

About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites