Paweł Goleń, blog - Formularz komentarzy "Gdy niedźwiedź nas dogania"

Paweł Goleń: Gdy niedźwiedź nas dogania

nospam@example.com (Paweł Goleń) — Mon, 29 Jul 2013 16:54:28 +0200

Tak, o konkretnach podyskutować dalej już za bardzo nie można. Ale o ogólnym wzorcu zachowań już tak. Być może napiszę szerzej o tym, co mnie boli, w nieodległej przyszłości :)

Przemek: Gdy niedźwiedź nas dogania

nospam@example.com (Przemek) — Sun, 28 Jul 2013 20:48:14 +0200

Musimy przejść na konkrety żeby o tym dalej dyskutować, a z racji poufności na blogu jest to z mojej strony niemożliwe. Zatem do zobaczenia :-)

Paweł Goleń: Gdy niedźwiedź nas dogania

nospam@example.com (Paweł Goleń) — Sat, 27 Jul 2013 08:47:34 +0200

I tu właśnie jest problem. Obecnie model jest zwykle taki, że najpierw jest zdarzenie (strata), a dopiero później ochrona.

Przemek: Gdy niedźwiedź nas dogania

nospam@example.com (Przemek) — Thu, 25 Jul 2013 22:36:29 +0200

Żeby dopłynąć do brzegu: czy to właśnie nie o to chodzi by zastosować taki mechanizm bezpieczeństwa w miejscach, gdzie jest to ekonomicznie uzasadnione? O braku decyzji w związku z brakiem sprawdzenia czy jest to ekonomicznie sprawdzone wolałbym nie dyskutować, to jak jeździć świadomie samochodem bez ważnego OC i przeglądu technicznego.

Paweł Goleń: Gdy niedźwiedź nas dogania

nospam@example.com (Paweł Goleń) — Thu, 25 Jul 2013 07:26:15 +0200

W wielu się dzieje, w części nie dzieje się nic. Dzieje się tam, gdzie już dojrzano ekonomiczny sens takich mechanizmów. To zresztą nic nowego. Do mnie nigdy bank nie dzwonił w związku z "dziwną" transakcją kartami, do znajomych (inny bank) - owszem.

Przemek: Gdy niedźwiedź nas dogania

nospam@example.com (Przemek) — Thu, 25 Jul 2013 00:33:07 +0200

Moim zdaniem tutaj też się wiele dzieje w wielu miejscach. :-) PS Jasne, można więcej, ale źle wcale nie jest w mojej opinii.

Paweł Goleń: Gdy niedźwiedź nas dogania

nospam@example.com (Paweł Goleń) — Wed, 24 Jul 2013 07:06:02 +0200

Chodzi mi o to, co się dzieje z transakcją po jej złożeniu i przez klienta (albo coś, co udaje klienta). Wszelkiego rodzaju wykrywanie fraudów, anomalii i innych niepokojących charakterystyk transakcji.

Przemek: Gdy niedźwiedź nas dogania

nospam@example.com (Przemek) — Wed, 24 Jul 2013 00:04:46 +0200

Możesz podać przykład bym był pewny co rozumiesz przez backend?

Paweł Goleń: Gdy niedźwiedź nas dogania

nospam@example.com (Paweł Goleń) — Tue, 23 Jul 2013 22:47:12 +0200

No właśnie nie do końca. Jedna część tego ataku (i obrony przed nim) to rzeczywiście to, co dzieje się na froncie. Ale jest jeszcze cały backend i tu już są istotne różnice.

Przemek: Gdy niedźwiedź nas dogania

nospam@example.com (Przemek) — Tue, 23 Jul 2013 16:25:33 +0200

Zaryzykuję stwierdzenie, że w obecnie stosowanym scenariuszu ataku z użyciem malware niemal wszystkie banki są "równe" - atak jest dość uniwersalny. Z moich obserwacji wszyscy(?) robią wiele by utwardzić jeszcze bankowość na wielu warstwach (nie tylko technicznych). Nie wiem czy banki mogą mieć tak duże problemy z udowodnieniem "należytej staranności" jak sugerujesz, moim zdaniem tak źle nie jest. Szczególnie, że nikt tutaj nie chowa głowy w piasek, co najwyżej nie krzyczy na prawo i lewo o wszystkich szczegółach, co nie byłoby dobre dla sprawy. A nie byłoby dobre ponieważ wsparcia innego (kosztowo efektywnego) i tak prawdopodobnie nie dostanie.

Paweł Goleń: Gdy niedźwiedź nas dogania

nospam@example.com (Paweł Goleń) — Mon, 22 Jul 2013 19:12:55 +0200

Zgadzam się z większością, jeśli nawet nie ze wszystkim, co piszesz. Ten magiczny skrót ROI oraz trudności z wyliczeniem tej wartości w przypadku zdarzeń, które jeszcze nie wystąpiły powoduje, że w takich instytucjach działanie jest bardziej reaktywne niż proaktywne. Z Twoim ostatnim stwierdzeniem nie do końca się zgadzam. Oczywiście dobrze by było, gdyby wszyscy działali dla wspólnego dobra (np. wspomniani przez Ciebie ISP). Tak samo byłoby dobrze, gdyby klient był świadomy i nie wpuszczał na swój komputer/telefon malware. Tak niestety nie jest. I taki "zawiedziony" klient idzie później do sądu, a sądy... Cóż, bank potem może mieć spore problemy z udowodnieniem "należytej staranności", zwłaszcza jeśli w jakimś stopniu "odstaje" od konkurencji pod względem mechanizmów bezpieczeństwa.

Przemek: Gdy niedźwiedź nas dogania

nospam@example.com (Przemek) — Sun, 21 Jul 2013 12:45:03 +0200

W moim odczuciu temat może być szerszy/głębszy. Bezpieczeństwo to proces, trudno by wszyscy to rozumieli na każdym szczeblu decyzyjnym. Mam wrażenie, że próby wytłumaczenia tego są często wciąż nieśmiałe. Do tego dochodzi kłopotliwie wyliczane ROI z inwestycji - moim zdaniem to duży problem, czasem widzę takie ROI, że po prostu trzeba na coś wydać "milion", bo zwróci się za 2 miesiące (spróbujcie wyliczyć jakiś ROI na bazie benchmarków z raportów firm trzecich jeśli dane zdarzenie jeszcze nie wystąpiło u Was i trudniej to policzyć). Natomiast idąc z takim ROI'em przez model zagrożeń i analizę ryzyka okazałoby się szybko, że mamy nieograniczony apetyt na budżet, którego i tak nie dostaniemy, bo zabije wkrótce Biznes. Część organizacji jednak na to stać i coś kupują/wdrażają. O efektach trudno mówić bez konkretnego przypadku (sam Gartner zaczął pisać o tym, że należy sensownie wdrażać systemy, które kupujemy). Banki w walce z malware są w trudnej sytuacji, nie bez wyjścia - tutaj naprawdę się dzieje. Osobiście mam problem z tym co robią ci co mają bliżej do Klienta banku - np. mali/średni/duzi ISP (co z wykrywaniem ruchu ZeuS P2P i reakcją na to?) /ESP (gdzie SPF, DKIM, DMARC?), właściciele stron www o wysokiej reputacji, z których dochodzi do infekcji (drive by download), itd. Nie zrzucajmy wszystkiego na ostatni bastion, szczególnie, kiedy niemal cała bitwa o jego skarby odbywa się poza nim...