Vlákno názorů k článku CrowdStrike: budíček proti bezmyšlenkovitému nasazování bezpečnostních nástrojů od A. S. Pergill - Souhlas. Snad jen připomínka, že to, co uvádíte, je...

Souhlas.
Snad jen připomínka, že to, co uvádíte, je akcentováno skutečností, že o tom IT rozhodují ve finále laici podle naprosto nesmyslných a s bezpečností málo či vůbec ne souvisejících parametrů (či spíš ukazatelů). A v momentě, kdy hrozí pokuty za "nevyhovující IT bezpečnost" (viz pár článků zde na Lupě na téma této pochybné legislativy) nezbude firmám než zaplatit nějakého "akreditovaného" poskytovatele kyberbezpečnostních služeb, přestože je to u většiny z těch, na něž se tato legislativa vztahuje, nesmysl. A navíc vzniká jakési monopolní či oligopolní prostředí na tomto poli a incident, který by reálně postihl pár stovek počítačů u pár desítek firem, je najednou celosvětový.
A budu hodně zlý: pokud by si tu bezpečnost firmy samotné nebo v malých skupinách bastlily samy, i v případě formálně nižší míry bezpečnosti by v reálu k tak rozsáhlému výpadku, a ještě k tomu prakticky synchronnímu, nemělo dojít.

No, je to šílený, ale moje zkušenost je ta, že tzv. "Cybersecurity" je tak moc in, že management firmy je rád, že si v kolonce může odškrtnout splněno a navíc se sem tam pochlubit na nějaké konferenci,. Podobné zpomalovače mají teda vždy přednost i před efektivitou práce.
Že zaměstnanec půlku pracovní doby čeká, nevadí, hlavně že je tam super cool ochrana.

Pro IT oddělení to taky není problém, to dělá to, co chce management a navíc takovéhle security jim dočasně než se zhroutí, uleví v práci, takže jsou pro tyhle nesmysle nasazovat.

My používáme konkurenta a to FortiClient, taky dost šílený zabiják výkonu procesoru, ale holt člověk nic nezmůže a jen vypije díky němu v práci vic kafe.

Před 20 lety řešil cybersecurity normální ajťák síťař, který prostě rozuměl tomu, že na LAN se nesmí dostat nikdo z venku, komu tam přístup nebyl udělen.

Neotravoval ostatní uživatele pochybnýma cybersecurity softwarama, ale vše řešil předřazenýma prvkama v síti. A ono to fungovalo.

Dneska se do toho se_e kde kdo, hlavně managoři cítí, že by z toho mohlo kápnout i něco bokem a podle toho to vypadá.

To bylo 20 let zpatky. Pak nekdo prinesl usb flashku, kliknul na odkaz, spustil se v ie activex, stahnul skript nebo uzasny spustitelny soubor.
Obdobou jsou programatorsti frikulini co stahnou docker kontejner odkudkoliv a nevi co je uvnitr.
A hura utocime zevnitr site.

Jo pantatove admini. To byli pripadi. Roky masiny bez updatu, necetli changelogy a cekali do duchodu. Tyhle zakazniky jsem mel "nejradeji".

Jo, ten sitar pred dvaceti lety resil jen to, ze se mu tam nedostane nic zvenci. Ale kdyz neco prolezlo dovnitr, tak se to cele sesypalo jak domecek z karet ;-)

Ono je potreba mit na pameti, ze dneska se i vektory utoku zmenily a ty hrozby prichazi nejen zvenci, ze? Nejak musite zabezpecit i ty koncovy stanice... nerikam zamerne jak, reseni se nabizi vicero, ale tvarit se ze uvnitr to resit uz nemusim a staci ochrana na perimetru je proste blbost.

Jasně, souhlas. Je to mor, ale pokud nejste živnostník, který někde na ruku něco dělá pro koncáka, tak dneska mít nějaký IT bezpečnostní systém musíte mít, protože jinak si na vás došlápne EU a znevýhodní vás proti konkurenci třeba neposkytnutím dotace nebo prostě jen nemáte šanci získat zakázku.

Řešení: zrušit EU, zrušit dotace, zrušit cybersecurity! Přesně v tomto pořadí. :-)

A problem, ktery se tu popisuje je prave to bezmyslenkovite nasazovani nejakych reseni stylem "aby se to mohlo odskrtnout". Muzeme spekulovat nad tim, jestli je za tim lenost, pohodlnost... a nebo treba taky jen nedostatek casu. A nejen na strane tech administratoru. A to se tyka i toho auditu... tam je to samozrejme taky "jednodussi" v momente, kdy nemusite zkoumat vsechny vrstvy v souvislostech a posuzovat realnou bezpecnost, ale jdete jen po tech papirech... a odskrtavate si ptakoviny typu "politika nuti lidi menit heslo 1x za mesic", "na vsech strojich je XDR" atd...

Pokud se EU mohutně a nekompetentně motá do technických věcí (skoro bych si je dovolil přirovnat k jakešovcům, co odmítli financovat výzkum polovodičů, protože lepší bude výzkum "celovodičů"), tak to, bohužel, určitou souvislost má.
Obecně platí, že pokud se politici pletou do odborných záležitostí, je výsledkem prakticky vždy průšvih. A protože politici chtějí léčit podobné průšvihy posilováním svého vlivu, budou spíš průšvihy tohoto typu narůstat. Politici pro to vytvářejí podmínky a na tom, co se semlelo, mají svůj podíl.
A jsme u toho, že dnes, bohužel, je politikum i to, jaký si dáte do PC antivir.

Vůči politikům by měl být vznesen jasný požadavek nechat odborníky dělat svou odbornou práci podle svého nejlepšího vědomí a svědomí, a ne podle nějakých "standardů", které pro pár desítek procent firem mohou být prospěšné, ale pro srovnatelné procento spíš škodlivé. To, pochopitelně, neplatí jen v oblasti IT, ale prakticky všude.

Pozadavky tohoto typu byly jeste v dobe kdy byla EU v plenkach a zacalo se cybersec vice resit. Cili s EU az tak nesouvisi. Spis prisla s krizkem po funuse. EU mozna tak okopirovala to co delali externi auditori a dala tomu sirsi ramec. To je vse.
Pokud jde o cybersecurity tak to se zaclo vice resit uz nekdy od 70 let v dobe kdy se zacly propojovat jednotlive IT systemy za hranice lokalnich siti.

Temi laiky muzou byt i CISO bez predchozi delsi zkusenosti v IT nebo cerstve vyskoleni prehazovaci bezpecnostnich incidentu od uradu prace.
Fakt ze clovek je odpovedny za cybersecurity z nej jeste nedela specialistu na souvisejici IT odvetvi.
Velmi se obavam nebezpecnych cybersec rychlosmazek ktere budou mit velkou moc ale minimalni zkusenosti.
S tim souvisi i odpovednost pri vyberu reseni temito lidmi. Jedna vec je autorita kterou maji a druha vec je odpovednost.

31. 7. 2024, 11:07 editováno autorem komentáře

Jenže ono se to dnes začíná rýsovat ve stylu "bezpečnost kontra funkčnost" (ostatně to naznačuje i text článku), a pak se dostávají do rozporu uživatelé, kteří "bouchají osm hodin" a uživatelé, kteří potřebují odvést nějakou práci.
Už v těch 90. letech bylo běžné, že "bezpečnostní aktualizace" u Windows znefunkčnily řadu programů, nejčastěji ne od |MS, nicméně čas od času šel do kélu i nějaký MS program. Takže se programově neaktualizovalo, právě, aby počítače zůstaly funkční.
MMCH, vzpomínám, jak mi jednou po "aktualizaci" driverů přestala tisknout inkoustovka černobílé soubory barevnou hlavou (částečně vypotřebované barevné hlavy jsem používal na pomocné a jiné tisky), takže se do toho souboru muselo vložit jedno barevné písmenko (třeba mezera), aby to tisklo. K takovýmto aktualizacím prostě důvěru mít nelze.

Ja cekal kdy prijde nejaky trol a zatahne do toho EU.
Ale rovnou s vykrikem zrusit EU?
To vam zapomneli poslat noty ze mate psato do technickych diskuzii toto?
https://www.peak.cz/kdo-muze-za-vypadek-jednoznacne-evropska-unie-tvrdi-microsoft/42753/

Ono to nebyva rozhodnutim managementu pro nic za nic, ale je to treba podminka pokud chcete dodavat pro vice regulovana odvetvi. Tedy rozhodnete se ze oslovite vasim produktem dalsi cast trhu ale musite pro to neco splnit.. A aby firma prosla radne externim auditem musite mit nejake reseni.

Ona ho fakticky k ničemu takovému nenutila.

K vaší poslední větě:
Ta odpovědnost by měla být nastavena tak, že pokud něco v důsledku své nevzdělanosti zbabřou, měli by se do konce života věnovat "kontejnerovému potápění" (tak se v anglicky mluvícím světě údajně decentně nazývá získávání životních potřeb vybíráním z odpadových kontejnerů).

Najděte si je v oblasti IT, jako jsem si je já našel v oblasti bezpečnosti potravin a jiní zase jinde. Je to obecný problém, takže se musí projevovat všude.

Co bylo spatne na tom ze EU donutila MS aby nemela monopol?

Tahle obecná prohlášení miluji, ale evidentně je velice rozšířené, takže nebude problém najít konkrétní příklad, že?