セキュリティを実装しないことについて聞いた最も良い理由は何ですか?
私たちは、セキュリティの問題に対して最良の技術的解決策を考案することができますが、その解決策は、人、企業、組織、および/または異議があるにもかかわらず適用する必要があります。
セキュリティに直接影響を与えるため、人々がセキュリティの利害関係を実装する際の障壁は、私に大きな関心を寄せています。他の人が " バイインを取得する方法 "と " 良い教育方法 "について質問したことは知っていますが、私の質問は方程式の反対側についてです。
より安全なポリシー/手順/製品を実装したくないというユーザー、マネージャー、または会社のユーザーについて聞いた特定の理由を聞きたいのですが。より具体的であるほど良い。
たぶん、私たちがしていることに反対することをよりよく理解できれば、奉仕しようとする人々との協力がうまくいくでしょう。
停止とデータ損失の原因となる可能性がある1つのクライアントのインフラストラクチャに脆弱性を発見しました。 1回限りのコスト計算を求められたとき、クライアントは毎回100万ポンド以上のコストがかかることに同意したので、10万ポンド未満の費用がかかる修復計画を提案しました。
100万ポンドは低リスクのしきい値を下回っていたため、彼らはそれを断りました。
しかしビジネスによる有効なリスク決定は正解ですでセキュリティチームに戻るので、これは問題ありませんでした。
私がこれまでに得た最も一般的な言い訳は、古くからの「私たちはそれに取り掛かる、今のところそれを機能させる」です。
この考え方のさまざまな理由は次のとおりです。
- 緊急プロジェクト:ぎりぎり磨かれたプロトタイプは、操作を実行するために必要なすべてであり、残りは「収益を生み出さない」と見なされ、後退します。職場の喧噪は、この重要な作業が、単に忘れられるまで、さらに次々とキューに入れられることを意味します。
- 低資金:上記と同様に、時は金なりであり、会社は開発者に支払う現金が不足している可能性があります。
- 無知:CSRF攻撃、パスワードソルト、準備などの概念について知らない開発者がPHPこの業界にいる年ステートメントとハッシュアルゴリズムはMD5を超えています。それらが怠惰であるということではなく、実際にはかなり優れています。単に知らないだけであり、違反されるまでは自分でそれの必要性に遭遇することはありません。 。
- 傲慢さ:ほとんどの人は「私は小さな会社です。なぜ誰かが私たちをハッキングするのですか?」彼らが小さすぎてハッカーの時間に値するほど信じられない。この「すべての強力な、すべてのコンピューティングの神」というハッカーの認識は、ソニーやホワイトハウスなどのハッキングに忙しくてボブのディスカウントカーパーツに悩まされていると人々に信じ込ませています。真実は、ボブのディスカウントカーパーツは撤退するのがピンチかもしれないし、自動化された侵入テストにさえ落ちるかもしれないし、悪質な競争相手にさえ落ちるかもしれない。舞台裏には、CC番号、電子メールアドレス、個人情報、無料の製品注文など、あらゆる種類のおいしい商品があります。
- 監査の欠如:ほとんどの開発者(私もです!)think彼らはセキュリティのホットショットですが、それが下がるまではわかりません。これを緩和する方法の1つは、独立した請負業者によるセキュリティ監査ですが、それらは高価で時間がかかり、「不要」です...これらの人々はハッカーのようにthinkの方法を知っていますが、あなたの仕事は考えることですソフトウェア開発者のようです。
- 開発者のプライド/エゴ:笑わないでください、それが起こるのを見てきました。一部の開発者は、自分自身について非常に高くて力強いので、他の手段で勝つことができるため(「おい、私は自分の家に行って、私をハッキングしたら破壊する」)、または拒否します。誰かに同行してもらい、ITの世界への神の贈り物に過ぎないことを伝える可能性があります(上記の「監査の欠如」に関連)。
より安全なポリシー/手順/製品を実装したくないというユーザー、マネージャー、または会社のユーザーについて聞いた特定の理由を聞きたいのですが。
これは私がいつも得るものです:
問題は一度もなかったので、必要ありません。
それに対して無知であるように、私はそれに対する議論を提供するのに苦労しています。
あなたができる唯一のことは、システムが脆弱であることを証明することだと思います。これは難しい場合があります。時には、しかし、それらは正しい-システムは比較的安全であり実装のコストに見合うだけの追加の対策は必要ないか、または(彼らにとって)より重要である。その場合、あなたは彼らのドルの価値があることを証明しなければならず、これもまた難しいかもしれません。
これが「最良の」理由ですか。そうではないかもしれませんが、それは確かに一般的です。
パスワードの具体例を見てみましょう。セキュリティのベストプラクティスでは、最小限の長さのパスワードを使用し、文字、数字、特殊文字などを含み、簡単に推測できないようにします。さらに、特定のサイトに固有であり、30日または90日ごとに変更する必要があります。最後に、パスワードが漏えいしたり侵害されたりした場合は、すぐにセキュリティ担当者に連絡し、パスワードをすぐに変更する必要があります。ああ、パスワードを書き留めないでください。
これはセキュリティの観点からはすばらしいアドバイスですが、現実の世界では事実上機能しません。その多くのパスワードを覚えていますか?文字通り何百人もいます。
さらに、気が散ったり、急いだりして、サイトXのパスワードをWebサイトYのログインボックスに入力したことがありますか?人々が正直であるならば、あなたはこれがいつも起こると思うでしょう。両方のサイトでパスワードをすぐに変更しましたか?
システムまたはデータはあまり価値がなく、侵害のコストは、セキュリティの相対的な欠如を正当化するのに十分なほど低い可能性があります。たとえば、私はWebベースのフォーラムに強力なパスワードを常に使用するわけではありません。サイトには自分の名前や個人情報が保存されておらず、傷つけるという評判がないためです。
ほとんどの人はすべてのタイプの変更に抵抗し、それに応じて、何か新しいものの実装を撃退するために無限の論理的誤りを思いつくでしょう。
- その監査人/検査官/認証者はニッパーです
- これまでに何も起こっていません
- 誰かに聞いてください、これは誇張されています
- …
特定の合理化(質問の焦点)に焦点を当てることは、本当の問題、つまり変化を避けようとする自然な傾向を見逃しました。論理的な誤りに立ち向かうには、感情と信念体系に対処する必要があります。したがって、最善のアプローチは、提案に対して論理的な合理化を提示している人々と推論しようとするのではなく、その利点についてアイデアを売り込むことです。
他の良い販売状況と同様に、それを必要とする人に何か価値のあるものを提示する必要があります。そのため、新しいセキュリティパラダイムから直接最も恩恵を受ける人を検討し、その人を最初に売りましょう。あなたが対処しようとしている問題そのものが原因で、あまりよく眠っていない人もいるでしょう。彼らに連絡し、検証された運用上の価値に基づいた提案を他の人に届けましょう。脆弱性が悪用された結果、危機に瀕している人々にそれを売ることができない場合は、組織が話しており、それは成功しません。
1 /制限が厳しすぎると思われる:Webアプリケーションでは、セキュリティが相互運用性を制限していると見なされることがよくあります。これは、サードパーティのプラグイン/アドオンがコンテンツ管理システム(osCommerce、Joomla、およびWordpressを例に挙げると)との対話が許可されているシステム)でよく発生します。およびWordpress引き続き価格を支払います。
2 /コードが安全なディレクトリに保存されている場合は、優れたセキュリティによりウィンドウの外に出ることができます。たとえば、ディレクトリを保護するためにhtaccessの基本認証に依存していると、開発者がセキュリティの領域で標準を落とす可能性があります。これは、システムがローカルエリアネットワークで動作するように開発されている場合も同じです。また、セキュリティはそれほど重要ではないため、標準を緩めることができるという誤った考えがあります。