Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Na co jsou vlastně antiviry
říjen 12
Na co jsou vlastně antiviry

Aktuální přízpěvek k opět rozjeté antivirové diskuzi :-)

Dva druhy bezpečnosti

Bezpečnost datová - tímto bych nazýval zajištění firemních dat proti krádeži neoprávněnými uživateli. Toho se dosahuje obvykle principem least-privilege na oprávnění (permissions) a práva (rights) tak, aby se každý dostal jenom k tomu, k čemu potřebuje kvůli byznysu. Proti přístupu jste schopni data ochránit 100%, pokud někomu prostě nedáte přístup a nelze to obejít nějakou jinou dírou v nastaveních. U datové bezpečnosti je nejhorší problém to, že když někdo může něco číst, tak je vééélice těžké mu zabránit, aby si to taky odnesl domů, nebo to poslal do internetu. Proti tomů můžete mít například AD RMS, ale tohle je jen jakási "procentuální ochrana", která ztěžuje autorizovaným lupičům z řad zaměstnanců práci. K bezpečnosti datové řadím i "konfigurační" bezpečnosti, tzn. že neautorizovaní uživatelé nesmí měnit různá nastavené operačních systémů a programů

Bezpečnost provozní - prostě to, jestli mi sítě a služby fungují, jestli zaměstnanci mohou pracovat, jestli jsem schopen obnovit data v případě výpadku, nebo alespoň spustit nějakou záložní službu nebo funkcionalitu. Úspěšnost a rizikovost se tu dá dosahovat a měřit pouze "procentuální ochranou", která prostě snižuje pravděpodobnost výpadku.

V čem vám pomáhají antiviry

Antiviry reagují pouze na známé signatury známých zlých programů. Z principu jak funguje objevování takových nákaz, umí rozpoznat pouze světově rozšířené nákazy. Neexistuje antivirus, který by byl schopen detekovat zlý program udělaný nějaké firmě "na míru". Heuristiky jsou šidítko a je to lež.

Z toho plyne, že antiviry mohou pouze vylepšovat provozní bezpečnost tím, že mohou snížít počet/procento support incidentů, kdy se omezeným uživatelům musí smazat profil, nebo obnovit nějaká data, která to vymazalo, případně radit lidem, na co mají kliknout, když jim vyskočí podivné okénko antiviru žádající od nich akci, aktualizaci, apod.

Veškerý dnešní software je možno nastavit tak, aby se nákaza nemohla spustit, aniž by ji spustil sám uživatel. Zbytek padá na triko chyb v software, čemuž se dá bránit pouze aktualizacemi.

Za krádež a poškození dat virem může uživatel sám

Pokud by zlý program kradl data, jde to kompletně na triko BFUčka, které si to stáhlo, spustilo a nechalo si data ukrást. Je to vlastně stejné, jako kdyby si to dané BFUčko prostě samo ukradlo. Jestli to on ukradne skrze virus, o kterém si myslí, že je to vlastně parádní vtipná prezentace v PPT, tak je to debil, který patří potrestat. Jestli to ukradne sám záměrně, vina je stejná, akorát trest by mohl být větší.

Jediné, co musí IT zařídit je, aby:

  1. na počítačích byla jistota, že jestli se ztratí data, tak to ukradl uživatel sám, nebo to ukradl nepřímo tím, že si kliknul kam neměl.
  2. občas lidi poučit a nechat je podepsat, že jsou zodpovědní za to, co se děje s daty, se kterými pracují
  3. jestli se objeví incident, zajistí dostatek důkazů pro soudní řízení s BFUčkem

Naopak BFUčko má právo požadovat, aby počítače byly dostatečně datově a konfiguračně zabezpečeny proti ostatním kolegům, aby se nemohlo stát, že to ukradne kolega a přitom to padne jim samotným na triko. Následně, až zavirované BFUčko zaplatí škody firmě, může si nechat najít autora viru a soudit se s ním samo o náhradu své vlastní škody.

"Já zavirován, já nic, já nevinen" je iluze. BFU ručí svým životem!

Jedině antivirus od Microsoftu

Tvrdím, a klidně mě mohou všichni světoví autoři kurvičů výkonu a stability, které oni sami nazývají slavně "antivirus", dokazovat opak. Tvrdím, že všechny ostatní antiviry, než ten od Microsoftu, zhoršují provozní bezpečnost, protože samy o sobě mají více chyb a vyžadují nepřetržitou údržbu a řešení incidentů. Lidi to taky otravuje a zdržuje od práce otravnými okénky.

Antivirus není bezpečnost

Jestli to má o pár procent horší detekci, toto stejně není ochrana. Aktualizace a infrastrukturní bezpečnost datová je to, co je základ, a na co je potřeba dbát! Howgh.

Comments

Re: Na co jsou vlastně antiviry

Do kamene tesat! Plně s s vámi souhlasím.
parohac4 on 13.10.2013 17:59

Re: Na co jsou vlastně antiviry

Já tomu nerozumím :)

A) Když někdo BFUčku pošle PDFko s exploitem, samozřejmě z adresy jeho kolegy/dodavatele..., tak jak může být jeho vina, že se tím zaviruje počítač a ukradnou data? Takový pěkný PDFko bys samozřejmě otevřel i ty :)

B) K čemu mi je, abych vymáhal po BFUčku nějakou náhradu škody, když data už jsou uniklý? BFUčko mi dá náhradu tak akorát dva jeho platy a u případnýho soudu by zaměstnavatel stejně neuspěl, protože těžko dokázat úmysl nebo nedbalost v tom, že ťuknul na PDF "od kolegy". Můžu BFUčko tak akorát vyhodit; škodu už ale neodpářu.

Snaha mě jako admina je, aby data pokud možnost nikdo cízí ukradnout nemohl. A tak by měly být počítače nastavený. Kdyby únikem dat vznikla škoda třeba v řádu mil. Kč, tak to poslední, co mě bude zajímat je, čí to je nebo není vina. Protože ty peníze si reálně stejně na nikom nevezmeš.
Borek on 13.10.2013 19:37

Re: Na co jsou vlastně antiviry

já bych řekl, že to co píšeš plně souhlasí s duchem článku.

chtěl jsem jen pro zamyšlení zdůraznit, že antiviry nemohou poskytnout 100% "bezpečnost", ale že to prostě jen může vylepšit provozní charakteristiku.

prostě, musí se udělat pořádná "bezpečnost" a ne spoléhat na antiviry. Plus jsem chtěl poznamenat, že za obvyklou nákazu virem může BFUčko samo.

Proti cílenému, na míru udělanému útoku při dokonalé znalosti vnitřního prostředí neodolá níc.
ondass on 14.10.2013 5:38

MS statement

taky souhlasim, nicmene stoji za zminku, ze sam MS se ke svemu Essentials nevyjadruje nejlepe, viz http://news.softpedia.com/news/Microsoft-Admits-That-Security-Essentials-Is-Just-a-Basic-Anti-Virus-Product-386213.shtml (neoveroval jsem pravost)
Jiri on 15.11.2013 11:50

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments