Lunavara hype on
vist üle läinud, ettevõtted on olukorraga harjunud ning käitumist muutnud ja
teisalt päris „lahtiste ustega“ süsteemid on otsa ka saanud. Kuid teema on
ilmselt mõnda aega aktuaalne ning ilmselt suudavad järgmisel mõned lained veel
üsna palju paha teha. Mõte on ju geniaalne, krüpteerime kogu andmestiku ning
muudame selle abil andmed kasutajale kättesaamatuks. Tahad andmeid tegelikult
ka lugeda, oled sunnitud endale ostma krüptovõtme, mis krüpteeringu jälle maha
võtab.
Kuidas sellega võidelda?
Eks see sõltub tegelikult sellest, millist turvanõrkust
süsteemis konkreetne lunavara on disainitud ära kasutama. Näiteid on erinevaid,
alates kasutajate isetegevust nõudvatest lahendustest (ehk siis kasutaja peab
midagi avama, klikkama jne) kuni lahendusteni, mis kasutavad ära (operatsiooni)
süsteemide turvaauke ning rünnatakse sihitult ja teadlikult aegunud süsteeme.
Loomulikult on võimalikud ka erinevad kombinatsioonid neist ning kõigest, mis
nende valikute vahele jäävad.
Raketiteadust ei oska siinkohal välja pakkuda, mina
sõnastaks järgnevuse selliselt: koolita, sea reeglid ning jõusta
tehnoloogilised lahendused.
Kasutajate koolitamine
Kasutajate koolitamine on ainus universaalne ja üks
odavamaid lahendusi turvataseme tõstmiseks. Koolitus peab olema korduv ning
süstemaatiline. Tihti eksitakse selles punktis, arvatakse et räägime korra ära
ja ongi kõik, kuid inimloomus töötab teisiti. Tekib mugavusstoon, ohutunne kaob
ja … see turvavärk on ikka maru ebamugav ja võtab aega, teeks lihtsamalt. Seega
peaks turvalane koolitus toimuma vähemalt korra aastas, olema alati veidi
erinev ning kindlasti olema üles ehitatud nii, et inimesed oleks sunnitud ise
selle koolituse käigus midagi analüüsima. „Üks tark räägib lollidele“ lähenemine
ei ole jätkusuutlik ning inimesed ei süvene. Keskenduda tuleks baasasjadele:
·
Ära ava tundmatult saatjalt saadud kahtlaseid
dokumente
·
Kui midagi tundub kahtlane, siis see seda
tavaliselt ka on (kui eesti keeles Sinuga kirjutav inimene kirjutab korraga
mõnes teises keeles, kui täitsa tavaliselt inimesest saab päevadega düsgraafik,
kui firma, kellega sul midagi pistmist pole, saadab Sulle ühel päeval arve jne)
·
Kui midagi on liiga ilus või hea, siis see
tavaliselt seda ka on
·
Kui meil on reegel, siis on selleks põhjus, kui
sulle tundub, et see on mõttetu, siis tule ja küsi, võib-olla ongi, aga ära
palun eira reegleid
·
Turvalisus on meie kõigi mure, sellest sõltub
meie maine, töö ja meelerahu
See ei ole tegelikult üldse lunavara-keskne lähenemine, kuid
lunavara puhul tuleb eriti arvestada sellega, et me ei tea, millist
rünnakuvektorit pahalased järgmiseks kasutavad. Arendada tuleb üldist
turvakäitumist ja -teadlikust.
Reeglid
Reeglid tähendavad kõige lihtsamalt seda, et me oleme midagi
läbi mõelnud ja selle tulemuse kirja pannud. Kui me oleme teadlikult, et
lunavara võib ühel hetkel olla meid ohustav probleem, siis on mõistlik hinnata
millised on head tavad, mitte-jõustatud piirangud ja millised on piirangud
millised, me võimalused tehnoloogia abil jõustame ning need ilmutatult ka kirja
panna.
Lunavara tähendused võiks need minimaalselt olla järgnevad:
·
Kasutajad ei tohi ilma selge näidustuseta
kasutada süsteeme juurkasutaja õigustes
·
Paigaldada tohib vaid eelnevalt lubatud
rakendusi
·
Tagavarakoopiad tuleb luua ja uuendada vähemalt
kord päevas
·
Kõik seadmed ja süsteemid tuleb võimalusel
aegsasti uuendada
·
Ligipääs tagavarakoopiatele peab olema piiratud
ning osa tagavarakoopiatest tuleb hoiustada mitteühendatud viisil
·
Andmed tuleb hoida failiserveris / keskses
reprositooriumis
Pooled reeglid siis selleks, et võimaliku lunavara
õnnestunud rünnaku riski vähendada ning teised selleks, et õnnestunud rünnaku
korral kahjusid vähendada.
Tehnoloogiline jõustamine
Võimalusel võiks lubatud rakendused white-listida, tagavarakoopiate loomine automatiseerida ning
disainida mitmekihilisena. Võimalusel tuleks ka kasutajate lõppseadmetest
tagavarakoopiad luua. Praktilises elus on keeruline kasutajatelt
juurkasutajaõiguste eemaldamine ning vastavate õiguste kasutuse
minimiseerimine, sest kui kasutajale need õigused korra juba on antud, siis on
keerukas tagada nende õigustega kasutajakontode minimaalne võimalik kasutamine,
sest reeglina tähendab see kasutaja jaoks kas enesetunde halvenemist (olen
alati olnud Jumal, kuidas siis nüüd korraga mitte) ja/või kasutajakogemuse või
-mugavuse halvenemist ning inimene on tihti oma loomuselt laisk.
Samuti on keeruline autoriseeritud rakenduste white-listimine ning seeläbi siis
tagamine, et kasutusel on vaid turvalisest kanalist pärit usaldatud tarkvara.
Kommentaarid
Postita kommentaar