טרנד חדש (?) באבטחת מידע שאמור להפוך מוצרי אנטי וירוס ללא רלוונטיים יותר – ניהול רשימות לבנות. הרעיון כאן שבניגוד לאנטי וירוס התכנה החדשה מגדירה מדיניות לאיזה אפליקציות ידועות מותר לרוץ וכל השאר אסור. לעומת זאת במוצרי אנטי וירוס נעשה נסיון לזהות תכנות “רעות” או אנומאליות ואז לנטרל אותן.
כל איש אבטחת מידע יגיד שהדרך הכי בטוחה להתגונן מפני התקפות או גישות לא מורשות היא לנהל רשימה לבנה:
- תנהל רשימה של קבוצות משתמשים למי מותר לבצע פעולות.
- תנהל רשימה של תווים המותרים בתור קלט.
אז כנראה הטרנד החדש עושה שכל – הינה מה גדולי התחום אומרים:
Murphy predicts that within two years, most every machine will have some element of whitelisting security, whether it runs blacklisting-based antivirus software or not. And AV vendors are starting to jump on board: Bit9 recently announced that Kaspersky Lab, for instance, is now using its Global Software Registry database of clean, whitelisted applications to build out some of its technology.
מגניב – לא צריך לקנות אנטי וירוס בקרוב.
מצד שני מי יגן אל מערכות מידע? אולי זה Application Firewalls, יש כבר TLA חדש לזה – AFW. יש אפילו התייחסות לזה ברמת תקן PCI שניתן לראות כאן - Information Supplement: Requirement 6.6 Code Reviews and Application Firewalls Clarified. וואו, דרישה ברמת תקן… איך לא נקפוץ להזדמנות שיווקית שכזו? יאללה, אני ואתה סטרטאפ AFW או WAF שזה עוד סוג של TLA שפירושו Web Application Firewall. מתאם לך?
עד שהעניין יתבהר אבטחת מידע באפליקציות כנראה עדיין בידיים של מפתח שאמור לכתוב קוד מונחה פיתוח מאובטח – הנה מבט על Security Engineering Big Rocks, ובפרט הייתי ממליץ להתרכז בבדיקת קלט אמורה להיות שילוב של השניים – רשימה לבנה ורשימה שחורה:
.gif)
קריאת המשך
שמי אליק לוין ואני מתרכז ב- Security and Performance באפליקציות Net.
בזמני הפנוי אני בלוגר שרוף.
אליעז טוביאס, מוביל קבוצת ארכיטקטים שלנו בחטיבת DPE פירסם לפני זמן מה How many different architect roles do you know?. לפי הכתבה הוא ספר כ-110 סוגים. אני מסכים עם עליאז שזה די מבלבל.
מצד שני העניין של ארכיטקט לא חייב להיות כזה מסובך. בסופו של דבר יש שני סוגים של ארכיטקט – כפי ש-J.D. Meier מתייחס בהערה שלו ב- Why Do We Need Software Architects:
I think one of the problems is that “architect” is overloaded so people don’t know what to expect. There’s lots of flavors (Solution Architect, Enterprise Architect, Software Architect, … etc.) At patterns & practices we ended up using a distinction between “blue-collar architects” that are still hands on and “white-collar architects” that are no longer hands on.
הדעה הזו התחזקה אצלי כשבאחד ההתכתבויות ראיתי איך ארכיטקט שם קץ לוויכוח לגבי סריאליזציה של DataSetים. זה היה אחד הויכוחים הסטנדרטיים עם הרבה פרוזה. הבחור כתב קוד, הריץ אותו, קיבל תוצאות ושלח הכול כתגובה. יש כאלה שעובדות לא מבלבלות אותם אבל הפעם אף אחד לא העיז להתווכח עם עובדה כה חותכת.
צווארון כחול,צווארון לבן… מעניין מה משמעות ניתן לייחס לארכיטקט צווארון כחול לבן… :)
שמי אליק לוין ואני מתרכז ב-
Security and Performance באפליקציות Net.
בזמני הפנוי אני
בלוגר שרוף.
מחשוב בעננים (Cloud Computing) מבטיח להיות הדבר הבא. לכולם יש מה להציע - לגוגל, לאמאזון, וגם לנו – מיקרוסופט. עם כל בתועלות שבמתודולוגיה (או ארכיטקטורה?) ישנם מספר דברים המהווים מכשול של ממש ובין המרכזיים זה אבטחת מידע:
The panel agreed that adoption rate of cloud services is growing, but there are major issues that need to be smoothed out before big businesses will truly consider moving mission-critical applications out of house. If they ever do. Number one on that list is security. - Cloud computing hysteria paralyzed by bolt of reality
אני לא יודע אם להיות עצוב או שמח… אני עצוב כי האימוץ של המתודולוגיה (ארכיטקטורה?) המדליקה הזו הולך להיות קשה. אני שמח כי כנראה אני לא הולך להשאר בלי פרנסה בעתיד הקרוב.
אני גם שמח שיש מספיק קולות משפיעים שמדברים על אבטחת מידע בפיתוח ובפרט בארכיטקטורה התומכת מחשוב בעננים.
הנה דוגמה מצויינת - SOA security reminder
והנה עוד יותר טובה How vulnerable are software applications?
חומרים רלוונטיים
שמי אליק לוין ואני מתרכז ב-
Security and Performance באפליקציות Net.
בזמני הפנוי אני
בלוגר שרוף.