Comments 26
А в США используют для электронной подписи облачные токены PKCS#11?
Продажи ПК падают из-за соответствующей фазы кризиса в мире, у людей нету денег на частые обновления оборудования. Плюс, часть населения справедливо осознав, что им от компьютера нечего не нужно кроме веб-серфинга, прослушивания музыки и просмотра фильмов, перешла на иные устройства. Как между этим и облачными технологиями можно прочертить связь непонятно.
Злоумышленники с помощью похожих систем могут отслеживать паттерны поведения, что делают секьюрити-администраторы конкретной сети, какие у них тренды, как они осуществляют анализ и мониторинг своей сети. Имея эти знания, они могут предпринимать какие-то шаги в обход этой защиты. Борьба будет продолжаться.Похоже, что это инфинитная война. При том, что злоумышленник всегда на шаг опережает защитника: происходит одно или несколько нападений и тогда предпринимаются ответные меры. Вчера написал про книгу Дэвида Минделла «Восстание машин отменяется! Мифы о роботизации», где высказал мнение, что инфинитность войны со взломщиками делает угрозу бунта роботов вполне вероятной.
Злоумышленники тоже мыслят экономическим категориями и идут к тому, у кого защита с хорошо известными дырками.Да, в случаях, когда взлом осуществляется ради обогащения — воровства паролей к банковским счетам или шантажа. Но бывают случаи промышленного шпионажа, дискредитации конкурента. Тогда целью является конкретный адресат, и заказчик взлома может не постоять за ценой. А еще существуют сообщества хакеров, где ломают ради престижа: чем сложнее защита — тем престижней ее сломать.
И кроме того, в случае облаков возникает опасение: не получится ли ситуация с дитем, у которого семь нянек? Т.е. при разделении обязанностей между службами безопасности банка и облака? Исходя из общих соображений, система надежнее, когда всё сосредоточено в одних руках. Две службы могут просмотреть уязвимость только потому, что каждая из этих служб будет считать, что за данную область отвечает не она.
Да, конечно. SWIFT давно мигрировал с начального X.25 на VPN, а теперь и в облака. Пока мы спорим можно использовать облака или нет, весь мир получает преимущества, применяя новые технологии. Сервисы SWIFT доступны теперь и по облачной модели использования: https://www.swift.com/our-solutions/interfaces-and-integration/alliance-lite2
Пока мы спорим можно использовать облака или нет,
Надеюсь, что спорим мы не об этом — если используют, значит можно. Мы просто выясняем преимущества и недостатки.
Возвращаясь немного назад. Вы сказали:
5nine уже 2 года совместно с Microsoft защищает данные клиентов в облаках хостинг провайдеров.
Извините за критику Вашего партнера. Надеюсь, она будет воспринята как конструктивная. Microsoft следует завету своего основателя: «ПК в каждый дом». Но все же есть разница между ОС для банка и ОС для бытового использования. А Microsoft, на мой взгляд, слишком упорно пытается нивелировать эту разницу, делая универсальные ОС, в которых, несмотря на конфигурирование под узкоспециальные задачи, сохраняется множество излишеств, ненужных для этих задач. И как результат — потенциально больше уязвимостей. Конечно, есть ОС для серверов, а есть для мобильных устройств, но все они в общем растут из одного корня. Деньги любят тишину, т.е. стабильность. А Windows постоянно обновляется. Может, не нужно усложнять ОС для ответственных банковских операций, а наоборот — упрощать. Что-то предельно простое, допотопное типа MS DOS 3.0? Несколько лет назад, где-то читал, что какая-то сеть европейских гипермаркетов перешла на DOS: возможностей вполне достаточно, а сопровождать и защищать не в пример легче, чем Windows 10 (или какие тогда были).
Не знаю, как сделано в той сети, но можно сделать, чтобы системный диск был только для чтения — для command.com реестр не нужен. Вместо HDD можно DVD ROM использовать. И опломбировать его, чтобы никакой скрытый диверсант скрытно не подменил. Все приходящие по сети сообщения воспринимаются исключительно как зашифрованный текст. Никаких скриптов и прочих исполняемых вложений. Очевидно, что и антивирусы таким устройствам будут ненужны.
Критика приветствуется, тем более сам МС осознает, что нужна альтернатива избыточной и из-за этого уязвимой платформе Windows Server. Поэтому для WS 2016 было предложено очень интересное решение — минималистский Nano Server, который как раз должен был решить проблемы, которые Вы описали. Он в 20 раз меньше по размеру, без GUI, требует на порядок меньше обновлений и т.д. К сожалению с выводом его на рынок появилась проблема и в июне функционал Nano ограничили до контейнерной ОС. Но МС понимает проблему и работает в этом направлении. Кстати, для уменьшения площади атаки можно использовать сценарий с установкой Core версии с ролью Hyper-V и управлением через 5nine Manager. В качестве гостевых ОС можно использовать Linux. Но мы выходим за пределы темы статьи. Если интересно, можем пообщаться по почте: info@5nine.ru
Как обеспечить безопасность в эпоху AI и облачных платформ. Интервью с профессором Малковым