Aerosol Posted April 25, 2014 Report Posted April 25, 2014 Microsoft a încetat oficial s? mai ofere sus?inere pentru sistemul de operare Windows XP pe 8 aprilie. Mai pot fi utilizatorii de XP în siguran??? Adrian Porcescu, Pre-Sales Eastern Europe Team Leader ?i Certified Trainer in cadrul Kaspersky Lab, este de p?rere c? da, dar numai dac? folosesc o solu?ie de securitate bun?.În România sunt 174.000 de calculatoare care folosesc acest sistem de operare, f?r? s? le mai punem la socoteal? pe cele 105.000 din ?coli. Care sunt planurile statului pentru a înnoi flota de calculatoare? Institu?iile sunt blocate într-o er? veche a softului, iar mare parte a hardului nu poate fi upgradat la noi sisteme de operare. „Planul este s? primim o propunere financiar? din partea companiei Microsoft. Dup? ce vom primi în mod formal aceast? solicitare, vom continua discu?iile în cadrul guvernului. Vom negocia f?r? presiunea timpului. Mie mi se pare pu?in complicat ca pân? acum s? nu avem o ofert? financiar?. Nu se întâmpl? absolut nimic de miercuri! Nu se va întâmpla absolut nimic. Sunt foarte convins!“, a declarat Cotovelea, ministrul Comunica?iilor, la Adev?rul Live. „Adev?rul“ a stat de vorb? cu Adrian Porcescu pe aceast? tem?. Reprezentantul Kaspersky spune c? providerii de servicii de securitate nu pot s? repare vulnerabilit??ile din sistemele de operare, dar pot încerca s? blocheze accesul la ele. Windows XP poate fi la fel de sigur ca un sistem de operare ce prime?te înc? actualiz?ri, dac? ai un antivirus bun. Responsabilitatea s-a mutat la companiile de securitate „În momentul în care o companie nu mai ofer? sus?inere pentru un sistem de operare înseamn? c? toate vulnerabilit??ile care vor fi descoperite de acum încolo nu vor mai fi reparate. Eu, ca vendor de securitate, nu pot s? fac patch-uri pentru un software. Singurul lucru care r?mâne de f?cut este s? dezvolt tehnologii care s? m? ajute s? ofer o solu?ie f?r? s? intervin chiar acolo unde este problema. Încerc s? previn exploatarea. Noi avem o tehnologie, numit? Automatic Exploit Prevention. De exemplu, dac? eu descop?r o vulnerabilitate nou? de Windows XP, din momentul respectiv ?tiu c? exist?. Eu am dou? informa?ii: cunosc ce aplica?ii exist? pe ma?in?rie ?i o informa?ie despre vulnerabilit??i. Dac? eu ?tiu care sunt vulnerabilit??ile care pot fi atacate, eu nu pot s? repar, dar pot s? împiedic o exploatare. Windows XP poate fi la fel de sigur ca un sistem de operare ce prime?te înc? actualiz?ri, dac? ai un antivirus bun. Responsabilitatea s-a mutat la companiile de securitate“, a explicat el. Gratuitatea cost? mai mult Solu?iile de securitate gratuite nu sunt foarte utile, sus?ine Porcescu. Acestea pot fi u?or p?c?lite de atacurile mai avansate ?i pot ajunge s? îl coste pe utilizator mai mult decât o solu?ie pl?tit?. „Este foarte important vendorul de securitate pe care îl alegi ?i de asta e foarte important s? adop?i tehnologii noi. V? dau un exemplu legat de solu?iile gratuite. Prima direc?ie în care o ia toat? lumea este o solu?ie gratuit?. În momentul în care te gânde?ti doar la costuri, nu în?elegi c? respectiva solu?ie gratuit? adopt? ni?te tehnologii clasice, standard, care sunt u?or de penetrat de atacurile avansate. De asemenea, ele nu iau în considerare trendurile astea noi ?i nu ofer? tehnologii care s? îi permit? utilizatorului s? fie cu un pas înainte. Practic, ajungi s? ai o solu?ie care nu e proactiv?, ci reactiv?“, spune el. Principala problem? în România - ?i în Europa de Est, în general – este lipsa de educa?ie a utilizatorilor. Porcescu sus?ine c? deciziile ce ?in de securitate în companii se iau, în primul rând, din punct de vedere al costurilor. De asemenea, majoritatea persoanelor nu aleg produse care s? se potriveasc? nevoilor lor. „Interesul pe care îl avem este s? fim cu un pas înaintea infractorilor cibernetici. În momentul de fa?? trebuie s? fii proactiv. Nimeni nu î?i dore?te s? fie reactiv, nimeni nu î?i dore?te s? se gândeasc? la securitate dup? ce a avut un incident. Costurile dup? un incident sunt mult mai mari decât costurile de implementare a unei solu?ii de securitate. Doar c?, din punctul asta de vedere, la noi exist? un downside. Ca s? faci bine o analiz? de costuri mai întâi trebuie s? î?i identifici asset-urile, s? faci risk management ?i abia apoi s? vezi exact ce tehnologii adop?i ca s? î?i rezolvi probleme pe care le ai. Asta nu prea se face. Deciziile în ceea ce prive?te securitatea sunt luate pe baza altor criterii – financiare, nevoi urgente ?i a?a mai departe“, explic? el.Adrian Porcescu spune c? este foarte important? ?i consultan?a în domeniul securit??ii. „În general, în tot ce înseamn? Europa de Est, trebuie s? vii ?i cu viziune, nu numai cu solu?ii. Clien?ii nu sunt suficient de educa?i cât s?-?i aleag? singuri solu?iile. Pe pia?a noastr? este foarte important? consultan?a pe care o ofer? partenerii. Ideea este c? toate nevoile de business duc la adop?ia noilor tehnologii. În momentul în care le prive?ti doar din punct de vedere al business-ului ajungi s? r?mâi cu un pas în urma atacatorilor. Scopul lor este s? fie cu un pas în fa?a solu?iilor de securitate, s? î?i realizeze planurile: informa?ii targetate sau informa?ii bulk, care ulterior se transform? în bani. Atacatorii cibernetici clasici în general urm?resc banii pe când cei mai avansa?i au ca ?int? informa?ia. În momentul în care ajung s? fie ei cu un pas înainte apare o cre?tere a riscurilor pentru companiei. Modul în care implementezi securitatea ?i adop?i tehnologiile în infrastructuri te poate pune pu?in în fa?a lor“, spune expertul Kaspersky. CIA ?i BYOD Totu?i, cum r?mâne cu angaja?ii care î?i folosesc dispozitivele personale la serviciu? Nu pot reprezenta un risc de securitate pentru companie? Reprezentantul Kaspersky spune c? exist? solu?ii ?i pentru acest aspect. Exist? software-uri capabile s? separe datele personale ale angajatului de cele ce ?in de serviciu. Astfel, în cazul unui furt sau al pierderii dispozitivului, informa?iile valoroase nu ajung pe mâna oamenilor nepotrivi?i.„În securitate exist? un crez care se nume?te CIA – Confidentiality, Integrity, Availability. Nu po?i s? ai securitate în momentul în care ai doar unul din acele trei criterii îndeplinite. Strict din punct de vedere al securit??ii, decizia de achizi?ie a dispozitivelor mobile ar trebui s? fie luat? de administrator ?i recomandarea ar fi ca decizia în ceea ce prive?te sistemul de operare s? fie luat? tot de ei. Toat? lumea a adus trendul acesta de BYOD, motiv pentru care ?i noi, ca vendori, oferim solu?ii. Exist? componente anti-malware pentru dispozitive mobile, dar exist? ?i tehnologii de mobile device management. Asta înseamn? c? se poate restric?iona posibilitatea de a conecta dispozitivul la re?ele wireless nesecurizate, s? restric?ionezi posibilitatea de a folosi camera în interiorul infrastructurii. Mai mult, exist? acum ?i no?iunea de containerizare: separarea datelor de business de cele personale. În momentul în care cineva compromite un dispozitiv (acesta se pot pierde u?or), m?car datele din companie sunt securizate. De-a ?oarecele ?i pisica Bug-ul Heartbleed a afectat peste 60% din toate site-urile de Internet. Utilizatorii au fost nevoi?i s? î?i schimbe parolele ?i acest subiect a creat mult? panic? printre utilizatori. Heartbleed a fost o vulnerabilitate de tip 0 Day, iar acestea pot afecta nu numai tehnologiile pe baza c?rora func?ioneaz? site-urile, ci ?i software-ul din computerele noastre. „Practic, ele sunt ni?te vulnerabilit??i descoperite în tehnologii deja existente, cum a fost Heartbleed. Acea vulnerabilitate era într-o tehnologie pe care o folosim de foarte mult? vreme, tehnologie foarte relevant? din punct de vedere al securit??ii. Apar situa?ii din astea în care o vulnerabilitate nedescoperit? la timp afecteaz? pe toat? lumea. Noi, ca vendori de securitate, încerc?m s? venim cu ni?te solu?ii ?i de asta am lansat func?ia Automatic Exploit Prevention. Aceasta adaug? un strat suplimentar de securitate software-ului care are poten?ialul de a fi exploatat. Dac? exist? posibilitatea ca un software s? aib? o vulnerabilitate de tip 0 Day, ac?iunile de exploatare sunt identificate. Este un joc de-a ?oarecele ?i pisica“, a spus el.adevarul.ro/tech Quote
