Nädal 14. IT-turvariskid

 Nädala ülesandeks oli valida üks suurematest IT-turvariskidest ja analüüsi seda ajaveebiartiklis. Mida tuleks "Mitnicki valemi" kolme komponendi (tehnoloogia, koolitus, reeglid) selle maandamiseks ette võtta?

 

Minu arvates üheks suurimaks turvariskiks on teenustõkestusrünne ehk DoS-rünne. Tegemist on arvuti või arvutivõrgu ülekoormamine suure hulga päringute saatmise teel (1). Eristatakse ka hajutatud teenustõkestusründeid (DDoS), kus ründe toimepanemiseks kasutatakse sihtvõrgu liikluse mahu oluliseks suurendamiseks suurt arvu ründavaid süsteeme. (2) Selliste rünnete eesmärgiks on süsteemide kasutamiskõlbmatuteks muutmine. Rünnete tulemusel ei pääse süsteeme kasutama omad töötajad ega kliendid.

CERT-EE on välja töötanud lühijuhendi milles on väljatoodud tehnilised meetmed, kuidas ettevõtted võiksid oma teenuste tööd kaitsma. (2) Eraldi ei hakka siin välja tooma neid meetmeid, sest igal ühel on võimalus neid meetmeid lähemalt uurida RIA kodulehel.

Lugedes neid meetmeid mida tuleks rakendada DoS ja DDoS rünnakute kahjude minimeerimiseks ja ka teiste ründeliikide puhul ning lähtudes „Mitnicki valemist“ saame tõmmata paralleeli turvameetmete ja valemi kolme komponendi vahel. Juhendis on ära toodud tehnilised meetmed, mida peab kindlasti võrguhaldurid jälgima ettevõtte võrgu loomisel ning haldamisel. Iga ettevõttel peab olema juhendite kogum mida peavad ettevõtte töötajad jälgima ettevõtte sisevõrgus ning arvutite kasutamisel. Ettevõte peab kasutama koolitatud personaali võrgusüsteemide ülesehitamiseks ning pakkuma neile täienduskoolituse võimalusi. Tehnoloogia arenedes peab ka töötajatel olema võimalus ennast erialaselt täiendada.


 Allikad:

  1. https://et.wikipedia.org/wiki/Teenuset%C3%B5kestusr%C3%BCnne
  2. https://www.ria.ee/et/kuberturvalisus/nouanded/teenusetokestusrunde-ennetus.html

Comments

Post a Comment

Popular posts from this blog

Nädal 8. Proff ja käsitööline.

  Kui oleks vaja kirjeldada käesoleva teemat ühe lausega, siis võiks öelda, et Proffi ja sama eriala Käsitöölist võiks eristada selle poolest kellel on suurem kogemuste pagas antud valdkonnas. On päevaselge, et selline kitsas üldistus ei sobi enamusele. Tekib küsimus, et kes on ütleb, et tegemist on proffi või käsitöölisega. Tihtilugu inimesed kipuvad võrdlema iseennast töötegijaga ning annavad, siis subjektiivse hinnangu. Enamus inimesi annavad oma esmase hinnangu inimese verbaalse suhtlemise oskusele. Juhul, kui nii-öelda proff ei oska ennast viisakalt väljendada või tema väljanägemine on ebaesteetiline, siis  selline proff ei vääri kindlasti proffi nimetust ning valdavalt püütakse vältida sellise „proffiga“ edasistest kokkupuudetest või vähemalt minimeerida. Sellest järeldan, et professionaali üheks oluliseks tunnuseks on oskus suhelda klientide ja kolleegidega. Kas proff ja käsitööline vajab ka  kutsetunnistuse olemasolu? On rangelt soovituslik omada vastava valdkonna kutsetunnistu
Read more

Nädal 9. Tuntud IT-juhid

  IT juhi roll ettevõttes on aidata kaasa ettevõtte strateegiliste plaanide elluviimisel. Tema üks põhilistest eesmärkidest on lähtuvalt ettevõtte missioonist töötada välja IT strateegiline plaan. IT osakonna juhtimine on tõsine väljakutse igaühele. Pean IT juhi üheks kõige olulisemaks omaduseks paneerimis- ning suhtlemisoskust. IT valdkonna oskused on samuti olulised. Valisin kirjeldamiseks 2 IT juhti: Steve Jobs ja Bill Gates. Mõlemad alustasid oma IT alase karjääriga praktiliselt ühel ajajärgul. Hea on näha inimesi, üks nendest, siis Steve Jobs kellel on ette näidata selline hulk saavutusi tootearenduse valdkonnas. Tema poolt loodud tooted on olnud tohutult populaarsed ning ta on ära tabanud just selle, mis inimestele meeldib. Hindan tema juures seda, et ta julges mõelda teisiti. Tegemist on arengumootor tüüpi juhiga.   Bill Gates vastutas alates Microsoft ettevõtte asutamisest tootestrateegia eest kuni 2006 aastani. [1] Teda on kirjeldatud, kui isepäist juhti. Tema ideedest
Read more

Nädal 7: Arvutid ja paragrahvid IIː litsentsid ja autoriõigus

Copyleft on autoriõiguse kasutamine eesmärgiga eemaldada seaduse poolt vaikimisi seatud piirangud teose levitamisel ning teose modifikatsioonide loomisel nõudega, et samasugused levitamis- ning muutmisvabadused säiliksid ka esialgse teose põhjal loodud töödel [1]. Copyleft litsentsid sobivad arendajatele, kes soovivad tagada, et kõik järgnevad muudatused oleksid arendajate kogukonnale kättesaadavad.   Copyleft litsentsi tüübid: Väga tugev Copyleft (AGPL – Affero General Public License) – GNU Affero üldine avalik litsents on GNU GPL versiooni 3 muudetud versioon. On lisatud nõue, kui serveris kasutatakse muudetud programmi ja on nii-öelda avalik, peab server võimaldama alla laadida lähtekoodi [2]. AGPL litsentsi juures peab teadma, et kui kasutatakse seda litsentsi siis tulevikus ei ole võimalik enam seda tarkvara patenteerida.   Tugev Copyleft (GNU GPL – General Public License) – GPL-i litsents nõuab, et teose levitamise tingimused oleksid kättesaadavad kõigile, kes saavad
Read more