Değişmez On Güvenlik Yasası
Bu Sayfadaki Konular
Yasa #1: Kötü bir adam sizi bilgisayarınızda programını çalıştırmaya ikna edebiliyorsa, artık o sizin bilgisayarınız değildir.
Yasa #2: Kötü bir adam bilgisayarınızdaki işletim sistemini değiştirebiliyorsa, artık o sizin bilgisayarınız değildir.
Yasa #3: Kötü bir adam bilgisayarınıza sınırsız fiziksel erişime sahipse, artık o sizin bilgisayarınız değildir.
Yasa #4: Kötü bir adamın web sitenize program yüklemesine izin verirseniz, artık o sizin web siteniz değildir.
Yasa #5: Zayıf parolalar güçlü güvenlikten daha önemlidir.
Yasa #6: Bir makine yalnızca yöneticisinin güvenilirliği kadar güvenlidir.
Yasa #7: Şifrelenmiş veriler yalnızca şifre çözme anahtarı kadar güvenlidir.
Yasa #8: Güncel olmayan bir virüs tarayıcısı, hiç virüs tarayıcısı olmamasından yalnızca biraz daha iyidir.
Yasa #9: Mutlak anonimlik, gerçek hayatta veya web'de pratik değildir.
Yasa #10: Teknoloji her derde deva değildir.
Microsoft Güvenlik Yanıt Merkezi'nde her yıl binlerce güvenlik raporunu araştırıyoruz. Bazı durumlarda, bir raporun ürünlerimizden birindeki bir kusurdan kaynaklanan gerçek bir güvenlik açığını tanımladığını görüyoruz; böyle bir durum olduğunda, hatayı düzeltmek için mümkün olan en kısa sürede bir yama geliştiriyoruz. (Bkz. "Microsoft Güvenlik Yanıt Merkezi'nde Bir Tur"). Diğer durumlarda, bildirilen sorunlar yalnızca birinin ürünü kullanırken yaptığı bir hatadan kaynaklanır. Ancak çoğu ikisinin arasında kalır. Gerçek güvenlik sorunlarını ele alırlar, ancak sorunlar ürün kusurlarından kaynaklanmaz. Yıllar içinde, Güvenliğin On Değişmez Yasası adını verdiğimiz bu tür sorunların bir listesini geliştirdik.
Aşağıda tartışacağımız sorunlardan sizi koruyacak bir yama beklemek için nefesinizi tutmayın. Microsoft'un veya herhangi bir yazılım satıcısının bunları "düzeltmesi" mümkün değildir, çünkü bunlar bilgisayarların çalışma biçiminden kaynaklanır. Ancak henüz tüm umudunuzu yitirmeyin - sağduyu, kendinizi bu sorunlara karşı korumanın anahtarıdır ve bunları aklınızda tutarsanız, sistemlerinizin güvenliğini önemli ölçüde iyileştirebilirsiniz.
Kural #1: Eğer kötü bir adam sizi bilgisayarınızda programını çalıştırmaya ikna edebilirse, o artık sizin bilgisayarınız değildir.
Bilgisayar biliminin talihsiz bir gerçeği: Bir bilgisayar programı çalıştığında, zararlı olacak şekilde programlanmış olsa bile, programlandığı şeyi yapacaktır. Bir programı çalıştırmayı seçtiğinizde, bilgisayarınızın kontrolünü ona devretme kararı almış olursunuz. Bir program çalışmaya başladığında, makinede sizin yapabileceğiniz sınırlar dahilinde her şeyi yapabilir. Tuş vuruşlarınızı izleyebilir ve bunları bir web sitesine gönderebilir. Makinedeki her belgeyi açabilir ve hepsindeki "will" kelimesini "won't" olarak değiştirebilir. Tüm arkadaşlarınıza kaba e-postalar gönderebilir. Bir virüs yükleyebilir. Birisinin makinenizi uzaktan kontrol etmesine izin veren bir "arka kapı" oluşturabilir. Katmandu'daki bir İSS'yi arayabilir. Veya sadece sabit sürücünüzü yeniden biçimlendirebilir.
Bu yüzden, güvenilmeyen bir kaynaktan asla bir program çalıştırmamak veya indirmemek önemlidir - ve "kaynak" derken, onu yazan kişiden bahsediyorum, size veren kişiden değil. Bir programı çalıştırmakla sandviç yemek arasında güzel bir benzetme vardır. Bir yabancı yanınıza gelip size bir sandviç uzatsa, onu yer miydiniz? Muhtemelen hayır. Peki ya en yakın arkadaşınız size bir sandviç verse? Belki yerdiniz, belki de yemezdiniz - bu, sandviçi onun yapıp yapmadığına veya sokakta bulup bulmadığına bağlıdır. Bir sandviçe uygulayacağınız eleştirel düşünceyi bir programa da uygulayın, genellikle güvende olursunuz.
Yasa #2: Kötü bir adam bilgisayarınızdaki işletim sistemini değiştirebilirse, artık bilgisayarınız değildir.
Sonuçta, bir işletim sistemi, işlemci tarafından yorumlandığında makinenin belirli şeyler yapmasına neden olan bir dizi bir ve sıfırdan ibarettir. Birleri ve sıfırları değiştirin, farklı bir şey yapacaktır. Birler ve sıfırlar nerede saklanır? Neden, makinede, diğer her şeyle birlikte! Bunlar sadece dosyalardır ve makineyi kullanan diğer kişilerin bu dosyaları değiştirmesine izin verilirse, "oyun biter".
Nedenini anlamak için, işletim sistemi dosyalarının bilgisayardaki en güvenilir dosyalar arasında olduğunu ve genellikle sistem düzeyinde ayrıcalıklarla çalıştığını düşünün. Yani, kesinlikle her şeyi yapabilirler. Diğer şeylerin yanı sıra, kullanıcı hesaplarını yönetmek, parola değişikliklerini ele almak ve bilgisayarda kimin ne yapabileceğini belirleyen kuralları uygulamak için güvenilirdirler. Kötü bir adam bunları değiştirebiliyorsa, artık güvenilmez olan dosyalar onun emrine amadedir ve yapabileceklerinin bir sınırı yoktur. Parolaları çalabilir, kendisini makinede yönetici yapabilir veya işletim sistemine tamamen yeni işlevler ekleyebilir. Bu tür saldırıları önlemek için, sistem dosyalarının (ve bu konuda kayıt defterinin) iyi korunduğundan emin olun. (Microsoft Güvenlik web sitesindeki güvenlik kontrol listeleri bunu yapmanıza yardımcı olacaktır).
Yasa #3: Kötü bir adamın bilgisayarınıza sınırsız fiziksel erişimi varsa, artık bilgisayarınız değildir.
Kötü bir adam bilgisayarınıza el koyabilirse neler yapabilir! İşte Taş Devri'nden Uzay Çağı'na geçiş:
En düşük teknolojili hizmet reddi saldırısını düzenleyebilir ve bilgisayarınıza bir balyozla vurabilir.
Bilgisayarın fişini çekebilir, binanızdan dışarı çıkarabilir ve fidye isteyebilir.
Bilgisayarı bir disketten başlatabilir ve sabit sürücünüzü yeniden biçimlendirebilir. Ama durun, diyorsunuz, bilgisayarımın BIOS'unu, gücü açtığımda parola isteyecek şekilde yapılandırdım. Sorun yok - eğer kasayı açıp sistem donanımına erişebilirse, sadece BIOS çiplerini değiştirebilir. (Aslında, daha kolay yollar bile var). Sabit sürücüyü bilgisayarınızdan
çıkarabilir, kendi bilgisayarına takabilir ve okuyabilir.
Sabit sürücünüzün bir kopyasını yapıp onu inine geri götürebilir. Oraya vardığında, her olası oturum açma parolasını denemek gibi kaba kuvvet saldırıları gerçekleştirmek için dünyanın tüm zamanına sahip olurdu. Bunu otomatikleştirmek için programlar mevcuttur ve yeterli zaman verildiğinde, başarılı olacağı neredeyse kesindir. Bu gerçekleştiğinde, yukarıdaki 1 ve 2 Numaralı Yasalar geçerlidir.
Klavyenizi radyo vericisi içeren bir klavyeyle değiştirebilir. Daha sonra parolanız dahil yazdığınız her şeyi izleyebilir.
Bir bilgisayarın değeriyle tutarlı bir şekilde fiziksel olarak korunduğundan her zaman emin olun - ve bir makinenin değerinin yalnızca donanımın değerini değil, üzerindeki verilerin değerini ve kötü bir adamın elde edebileceği ağınıza erişimin değerini de içerdiğini unutmayın. En azından, etki alanı denetleyicileri, veritabanı sunucuları ve yazdırma/dosya sunucuları gibi iş açısından kritik makineler her zaman yalnızca yönetim ve bakımla görevli kişilerin erişebileceği kilitli bir odada olmalıdır. Ancak diğer makineleri de korumayı ve potansiyel olarak ek koruyucu önlemler almayı düşünebilirsiniz.
Bir dizüstü bilgisayarla seyahat ediyorsanız, onu korumanız kesinlikle kritik öneme sahiptir. Dizüstü bilgisayarları seyahat etmek için harika kılan aynı özellikler - küçük boyut, hafiflik vb. - aynı zamanda onları çalınmayı da kolaylaştırır. Dizüstü bilgisayarlar için çeşitli kilitler ve alarmlar mevcuttur ve bazı modeller sabit sürücüyü çıkarıp yanınızda taşımanıza izin verir. Ayrıca, birisi bilgisayarı çalmayı başarırsa hasarı azaltmak için Windows 2000'deki Şifreleme Dosya Sistemi gibi özellikleri kullanabilirsiniz. Ancak verilerinizin güvende olduğundan ve donanımın kurcalanmadığından %100 emin olmanın tek yolu, seyahat ederken dizüstü bilgisayarı her zaman yanınızda bulundurmaktır.
Kural #4: Kötü bir adamın web sitenize program yüklemesine izin verirseniz, artık web siteniz değildir.
Bu temelde 1 Numaralı Yasanın tersidir. Bu senaryoda, kötü adam kurbanını kandırarak zararlı bir programı kendi makinesine indirmesini ve çalıştırmasını sağlar. Bu senaryoda, kötü adam zararlı bir programı bir makineye yükler ve kendisi çalıştırır. Bu senaryo, yabancıların makinenize bağlanmasına izin verdiğiniz her an tehlikeli olsa da, bu vakaların ezici çoğunluğunda web siteleri yer alır. Web sitesi işleten birçok kişi kendi iyilikleri için fazla misafirperverdir ve ziyaretçilerin siteye programlar yüklemesine ve bunları çalıştırmasına izin verir. Yukarıda gördüğümüz gibi, kötü bir adamın programı makinenizde çalışabilirse tatsız şeyler olabilir.
Bir web sitesi işletiyorsanız, ziyaretçilerin neler yapabileceğini sınırlamanız gerekir. Sitenizde yalnızca kendiniz yazdığınız veya yazan geliştiriciye güvendiğiniz bir programa izin vermelisiniz. Ancak bu yeterli olmayabilir. Web siteniz paylaşımlı bir sunucuda barındırılan birkaç siteden biriyse, ekstra dikkatli olmanız gerekir. Kötü bir adam sunucudaki diğer sitelerden birini tehlikeye atabilirse, kontrolünü sunucunun kendisine de genişletebilir ve böylece sizin siteniz de dahil olmak üzere sunucudaki tüm siteleri kontrol edebilir. Paylaşımlı bir sunucudaysanız, sunucu yöneticisinin politikalarının ne olduğunu öğrenmek önemlidir. (Bu arada, sitenizi herkese açmadan önce, IIS 4.0 ve IIS 5.0 için güvenlik kontrol listelerini takip ettiğinizden emin olun).
Kural #5: Zayıf parolalar güçlü güvenlikten daha önemlidir.
Bir oturum açma sürecinin amacı, kim olduğunuzu belirlemektir. İşletim sistemi kim olduğunuzu öğrendikten sonra, sistem kaynaklarına yönelik istekleri uygun şekilde kabul edebilir veya reddedebilir. Kötü bir adam parolanızı öğrenirse, sizin olarak oturum açabilir. Aslında, işletim sistemi açısından o sizsiniz. Sistemde ne yapabiliyorsanız, o da yapabilir çünkü o sizsiniz. Belki de e-postanız gibi bilgisayarınızda sakladığınız hassas bilgileri okumak istiyordur. Belki ağda ondan daha fazla ayrıcalığınız vardır ve siz onun normalde yapamayacağı şeyleri yapmasına izin vereceksiniz. Ya da belki sadece kötü niyetli bir şey yapmak ve suçu size atmak istiyor. Her durumda, kimlik bilgilerinizi korumaya değer.
Her zaman bir parola kullanın - kaç hesabın boş parolası olduğuna şaşıracaksınız. Ve karmaşık bir parola seçin. Köpeğinizin adını, evlilik yıldönümünüzü veya yerel futbol takımının adını kullanmayın. Ve "parola" kelimesini kullanmayın! Büyük ve küçük harflerin, sayıların, noktalama işaretlerinin vb. karışımından oluşan bir parola seçin. Mümkün olduğunca uzun yapın. Ve sık sık değiştirin. Güçlü bir parola seçtikten sonra, uygun şekilde kullanın. Yazmayın. Kesinlikle yazmanız gerekiyorsa, en azından bir kasada veya kilitli bir çekmecede saklayın - parola arayan kötü bir adamın yapacağı ilk şey, ekranınızın kenarında veya üst çekmecede sarı bir yapışkan not olup olmadığını kontrol etmektir. Parolanızın ne olduğunu kimseye söylemeyin. Ben Franklin'in ne dediğini unutmayın: iki kişi bir sırrı saklayabilir, ancak yalnızca biri ölmüşse.
Son olarak, kendinizi sisteme tanıtmak için parolalardan daha güçlü bir şey kullanmayı düşünün. Örneğin Windows 2000, sistemin gerçekleştirebileceği kimlik kontrolünü önemli ölçüde güçlendiren akıllı kartların kullanımını destekler. Parmak izi ve retina tarayıcıları gibi biyometrik ürünleri de düşünebilirsiniz.
Yasa #6: Bir makine, yalnızca yöneticinin güvenilir olduğu kadar güvenlidir.
Her bilgisayarın bir yöneticisi olmalıdır: Yazılım yükleyebilen, işletim sistemini yapılandırabilen, kullanıcı hesapları ekleyip yönetebilen, güvenlik politikaları oluşturabilen ve bir bilgisayarı çalışır durumda tutmakla ilişkili diğer tüm yönetim görevlerini üstlenebilen biri. Tanımı gereği, bu görevler makine üzerinde kontrol sahibi olmasını gerektirir. Bu, yöneticiyi eşsiz bir güce sahip bir konuma getirir. Güvenilmez bir yönetici, aldığınız diğer tüm güvenlik önlemlerini geçersiz kılabilir. Makinedeki izinleri değiştirebilir, sistem güvenlik politikalarını düzenleyebilir, kötü amaçlı yazılım yükleyebilir, sahte kullanıcılar ekleyebilir veya milyonlarca başka şeyden herhangi birini yapabilir. İşletim sistemindeki hemen hemen her türlü koruyucu önlemi alt üst edebilir, çünkü onu kontrol ediyor. En kötüsü, izlerini örtebilir. Güvenilmez bir yöneticiniz varsa, kesinlikle hiçbir güvenliğiniz yoktur.
Bir sistem yöneticisi işe alırken, yöneticilerin sahip olduğu güven pozisyonunu kabul edin ve yalnızca bu güveni hak eden kişileri işe alın. Referanslarını arayın ve onlara önceki iş kayıtlarını, özellikle de önceki işverenlerindeki herhangi bir güvenlik olayıyla ilgili olarak sorun. Kuruluşunuz için uygunsa, bankaların ve diğer güvenlik bilincine sahip şirketlerin yaptığı bir adımı atmayı düşünebilir ve yöneticilerinizin işe alım sırasında ve sonrasında periyodik aralıklarla tam bir geçmiş kontrolünden geçmesini talep edebilirsiniz. Hangi ölçütleri seçerseniz seçin, bunları genel olarak uygulayın. Ağınızda, güvenlikleri kontrol edilmediği sürece kimseye yönetici ayrıcalıkları vermeyin - buna geçici çalışanlar ve yükleniciler de dahildir.
Sonra, dürüst insanların dürüst kalmasına yardımcı olmak için adımlar atın. Sunucu odasına kimin girdiğini takip etmek için oturum açma/oturum kapatma sayfaları kullanın. (Kilitli kapısı olan bir sunucu odanız var, değil mi? Yoksa, 3 Numaralı Yasayı tekrar okuyun). Yazılım yüklerken veya yükseltirken "iki kişilik" kuralını uygulayın. Herhangi bir yöneticinin sahip olduğu gücü en aza indirmenin bir yolu olarak yönetim görevlerini mümkün olduğunca çeşitlendirin. Ayrıca, Yönetici hesabını kullanmayın - bunun yerine, her yöneticiye yönetici ayrıcalıklarına sahip ayrı bir hesap verin, böylece kimin ne yaptığını anlayabilirsiniz. Son olarak, bir haydut yöneticinin izlerini örtmesini zorlaştırmak için adımlar atmayı düşünün. Örneğin, denetim verilerini salt yazılır medyada saklayın veya Sistem A'nın denetim verilerini Sistem B'de barındırın ve iki sistemin farklı yöneticilere sahip olduğundan emin olun. Yöneticileriniz ne kadar hesap verebilir olursa, sorun yaşama olasılığınız o kadar az olur.
7# Numaralı Yasa: Şifrelenmiş veriler yalnızca şifre çözme anahtarı kadar güvenlidir.
Diyelim ki dünyanın en büyük, en güçlü, en güvenli kilidini ön kapınıza taktınız ama anahtarı ön kapı paspasının altına koydunuz. Kilidin ne kadar güçlü olduğu gerçekten önemli olmazdı, değil mi? Kritik faktör anahtarın korunma şeklinin kötü olması olurdu çünkü bir hırsız onu bulabilirse, kilidi açmak için ihtiyacı olan her şeye sahip olurdu. Şifrelenmiş veriler de aynı şekilde çalışır - kripto algoritması ne kadar güçlü olursa olsun, veriler yalnızca onu şifresini çözebilen anahtar kadar güvenlidir.
Birçok işletim sistemi ve kriptografik yazılım ürünü, kriptografik anahtarları bilgisayarda saklama seçeneği sunar. Avantajı kolaylıktır - anahtarı kullanmak zorunda değilsiniz - ama bu, güvenlik pahasına olur. Anahtarlar genellikle gizlenir (yani saklanır) ve gizleme yöntemlerinden bazıları oldukça iyidir. Ama sonunda, anahtar ne kadar iyi gizlenmiş olursa olsun, makinedeyse bulunabilir. Öyle olmak zorundadır - sonuçta, yazılım onu bulabilir, bu yüzden yeterince motive olmuş kötü bir adam da onu bulabilir. Mümkün olduğunda, anahtarlar için çevrimdışı depolama kullanın. Anahtar bir kelime veya ifadeyse, ezberleyin. Değilse, bir diskete aktarın, bir yedek kopya oluşturun ve kopyaları ayrı, güvenli konumlarda saklayın. (Syskey'i "yerel depolama" modunda kullanan tüm yöneticiler, sunucunuzu hemen şimdi yeniden yapılandıracaksınız, değil mi?)
Yasa #8: Güncel olmayan bir virüs tarayıcısı, hiç virüs tarayıcısı olmamasından yalnızca biraz daha iyidir.
Virüs tarayıcıları, bilgisayarınızdaki verileri bir dizi virüs "imzası" ile karşılaştırarak çalışır. Her imza belirli bir virüsün karakteristiğidir ve tarayıcı bir dosyada, e-postada veya başka bir yerde imzayla eşleşen veri bulduğunda, bir virüs bulduğu sonucuna varır. Ancak, bir virüs tarayıcısı yalnızca bildiği virüsleri tarayabilir.Her gün yeni virüsler ortaya çıktığı için virüs tarayıcınızın imza dosyasını güncel tutmanız hayati önem taşır.
Sorun aslında bundan biraz daha derin. Genellikle, yeni bir virüs, yaşamının erken evrelerinde en büyük hasarı verir, çünkü çok az kişi onu tespit edebilir. Yeni bir virüsün ortalıkta dolaştığı ve insanların virüs imzalarını güncellediği duyulduktan sonra, virüsün yayılması büyük ölçüde azalır. Önemli olan eğrinin önüne geçmek ve virüs gelmeden önce bilgisayarınızda güncellenmiş imza dosyalarına sahip olmaktır.
Hemen hemen her anti-virüs yazılımı üreticisi, web sitelerinden ücretsiz güncellenmiş imza dosyaları edinmenin bir yolunu sunar. Aslında, birçoğunun her yeni imza dosyası yayınlandığında bildirim gönderecekleri "push" hizmetleri vardır. Bu hizmetleri kullanın. Ayrıca, virüs tarayıcısının kendisini, yani tarama yazılımını da güncel tutun. Virüs yazarları, tarayıcıların işlerini yapma biçimlerini değiştirmelerini gerektiren yeni teknikler geliştirirler.
Yasa #9: Mutlak anonimlik, gerçek hayatta veya web'de pratik değildir.
Tüm insan etkileşimleri, bir tür veri alışverişini içerir. Birisi bu verilerin yeterli bir kısmını bir araya getirirse sizi tanımlayabilir. Bir kişinin sizinle kısa bir sohbette toplayabildiği tüm bilgileri düşünün. Tek bir bakışta boyunuzu, kilonuzu ve yaklaşık yaşınızı tahmin edebilirler. Aksanınız muhtemelen onlara hangi ülkeden olduğunuzu ve hatta ülkenin hangi bölgesinden olduğunuzu söyleyecektir. Hava durumu dışında bir şeyden bahsediyorsanız, muhtemelen onlara aileniz, ilgi alanlarınız, nerede yaşadığınız ve geçiminizi nasıl sağladığınız hakkında bir şeyler söylersiniz. Birinin kim olduğunuzu anlamak için yeterli bilgiyi toplaması uzun sürmez. Mutlak anonimlik istiyorsanız, en iyi seçeneğiniz bir mağarada yaşamak ve tüm insan temaslarından kaçınmaktır.
Aynı şey İnternet için de geçerlidir. Bir web sitesini ziyaret ederseniz, sahibi yeterince motive olmuşsa, kim olduğunuzu öğrenebilir. Sonuçta, web oturumunu oluşturan birler ve sıfırlar doğru yere ulaşmayı başarabilirler ve bu yer de bilgisayarınızdır. Bitleri gizlemek için alabileceğiniz birçok önlem vardır ve bunlardan ne kadar çok kullanırsanız, bitler o kadar kapsamlı bir şekilde gizlenir. Örneğin, gerçek IP adresinizi maskelemek için ağ adresi çevirisini kullanabilir, bitleri eterin bir ucundan diğerine aktararak aklayan bir anonimleştirme hizmetine abone olabilir, farklı amaçlar için farklı bir İSS hesabı kullanabilir, belirli sitelerde yalnızca halka açık kiosklardan gezinebilirsiniz, vb. Bunların hepsi kim olduğunuzu belirlemeyi zorlaştırır, ancak hiçbiri bunu imkansız hale getirmez. Anonimleştirme hizmetini kimin işlettiğinden emin misiniz? Belki de az önce ziyaret ettiğiniz web sitesinin sahibiyle aynı kişidir! Ya da dün ziyaret ettiğiniz ve size 10 dolarlık ücretsiz bir indirim kuponu göndermeyi teklif eden o zararsız web sitesi ne olacak? Belki de sahibi diğer web sitesi sahipleriyle bilgi paylaşmaya isteklidir. Eğer öyleyse, ikinci web sitesi sahibi iki siteden gelen bilgileri ilişkilendirebilir ve kim olduğunuzu belirleyebilir.
Bu, web'deki gizliliğin kayıp bir dava olduğu anlamına mı geliyor? Kesinlikle hayır. Bunun anlamı, internette gizliliğinizi korumanın en iyi yolunun, normal hayatta gizliliğinizi koruma şeklinizle aynı olmasıdır - davranışlarınız yoluyla. Ziyaret ettiğiniz web sitelerindeki gizlilik bildirimlerini okuyun ve yalnızca uygulamalarına katıldığınız sitelerle iş yapın. Çerezler konusunda endişeleniyorsanız, bunları devre dışı bırakın. En önemlisi, ayrım gözetmeksizin web'de gezinmekten kaçının - tıpkı çoğu şehrin kaçınılması gereken kötü bir tarafı olduğu gibi, İnternet'in de olduğunu unutmayın. Ancak tam ve eksiksiz bir anonimlik istiyorsanız, o mağarayı aramaya başlasanız iyi olur.
Kural #10: Teknoloji her derde deva değildir.
Teknoloji bazı şaşırtıcı şeyler yapabilir. Son yıllarda, giderek daha ucuz ve daha güçlü donanımların, bilgisayar kullanıcıları için yeni ufuklar açmak üzere donanımı kullanan yazılımların ve kriptografi ve diğer bilimlerdeki ilerlemelerin gelişimine tanık olduk. Yeterince sıkı çalışırsak teknolojinin risksiz bir dünya sunabileceğine inanmak cazip geliyor. Ancak, bu kesinlikle gerçekçi değil.
Mükemmel güvenlik, basitçe var olmayan ve aslında var olma olasılığı da olmayan bir mükemmellik seviyesi gerektirir. Bu, yazılım için olduğu kadar insan ilgisinin olduğu hemen hemen tüm alanlar için de geçerlidir. Yazılım geliştirme kusurlu bir bilimdir ve tüm yazılımlarda hatalar bulunur. Bunlardan bazıları güvenlik ihlallerine neden olmak için kullanılabilir. Bu hayatın bir gerçeğidir. Ancak yazılım mükemmel hale getirilebilse bile, bu sorunu tamamen çözmez. Çoğu saldırı, bir dereceye kadar, insan doğasının bir miktar manipülasyonunu içerir - buna genellikle sosyal mühendislik denir. Güvenlik teknolojisine saldırmanın maliyetini ve zorluğunu artırın ve kötü adamlar odaklarını teknolojiden uzaklaştırıp konsoldaki insana doğru kaydırarak yanıt verecektir. Sağlam güvenliği sürdürmedeki rolünüzü anlamanız hayati önem taşır, aksi takdirde kendi sistemlerinizin zırhındaki olabilirsiniz.
Çözüm, iki temel noktayı tanımaktır. Birincisi, güvenlik hem teknolojiden hem de politikadan oluşur - yani, nihayetinde sistemlerinizin ne kadar güvenli olduğunu belirleyen şey teknoloji ve nasıl kullanıldığı birleşimidir. İkincisi, güvenlik bir yolculuktur, bir varış noktası değil - bir kere ve herkes için "çözülebilecek" bir sorun değildir; iyi adamlar ve kötü adamlar arasında sürekli bir dizi hareket ve karşı harekettir. Önemli olan, iyi bir güvenlik bilincine sahip olmanız ve sağlam bir yargı kullanmanızdır. Bunu yapmanıza yardımcı olacak kaynaklar mevcuttur. Örneğin, Microsoft Güvenlik web sitesinde yüzlerce teknik belge, en iyi uygulama kılavuzları, kontrol listeleri ve araçlar bulunur ve biz sürekli olarak daha fazlasını geliştiriyoruz. Harika teknolojiyi sağlam bir yargıyla birleştirin ve kaya gibi sağlam bir güvenliğe sahip olursunuz
Son düzenleme: