Sáu ý tưởng ngớ ngẩn về bảo mật máy tính (2005)

 (ranum.com)
5 điểm bởi GN⁺ 2024-07-16 | 1 bình luận | Chia sẻ qua WhatsApp
  • Sáu ý tưởng ngớ ngẩn nhất trong bảo mật máy tính
    • Bảo mật máy tính vẫn là một "chủ đề nóng"
    • Vì sao dù đã đầu tư rất nhiều thời gian và tiền bạc mà vẫn tiếp tục gặp vấn đề?

Mặc định cho phép

  • "Mặc định cho phép" xuất hiện dưới nhiều hình thức khác nhau
  • Có thể thấy phổ biến nhất trong các quy tắc tường lửa
  • Khi một lỗ hổng mới được phát hiện, quản trị viên phải quyết định có chặn nó hay không
  • "Mặc định cho phép" dẫn đến một cuộc chạy đua bất tận với hacker
  • Khái niệm đối lập là "mặc định từ chối" là một ý tưởng tốt

Liệt kê những thứ xấu

  • Trong giai đoạn đầu của bảo mật máy tính, chỉ có một vài lỗ hổng bảo mật nổi tiếng
  • "Liệt kê những thứ xấu" là việc liệt kê và chặn mọi yếu tố độc hại
  • Các yếu tố độc hại trên Internet đã trở nên nhiều hơn các yếu tố lành tính
  • "Liệt kê những thứ xấu" kém hiệu quả, và "liệt kê những thứ tốt" là cách tiếp cận tốt hơn

Đột nhập rồi vá

  • "Đột nhập rồi vá" là cách tìm lỗi rồi sửa chúng
  • Cách này không giải quyết vấn đề gốc rễ của mã nguồn
  • Việc phát hiện và vá lỗ hổng bảo mật không phải là giải pháp căn bản
  • Hệ thống bảo mật phải được tạo ra an toàn ngay từ giai đoạn thiết kế

Hacking là ngầu

  • Xem hacking là ngầu là một ý tưởng ngớ ngẩn
  • Hacking là một vấn đề xã hội, không phải vấn đề kỹ thuật
  • Việc tôn vinh hacker như anh hùng là đang khuyến khích hacking
  • Việc chuyên gia bảo mật học kỹ thuật hacking cũng là một ý tưởng ngớ ngẩn

Đào tạo người dùng

  • Đào tạo người dùng là phiên bản con người của "đột nhập rồi vá"
  • Việc đào tạo người dùng không phải là giải pháp căn bản
  • Thay vì giải quyết vấn đề, loại bỏ vấn đề là cách tiếp cận tốt hơn

Hành động tốt hơn không hành động

  • Ý nghĩ rằng "hành động tốt hơn không hành động" là một ý tưởng ngớ ngẩn
  • Trước khi đưa vào công nghệ mới, chiến lược tốt hơn là xem xét kỹ lưỡng và chờ đợi
  • Cần nhớ rằng "không làm điều ngớ ngẩn thì dễ hơn làm điều thông minh"

Tóm tắt của GN⁺

  • Bài viết này nói về những sai lầm ngớ ngẩn thường gặp trong bảo mật máy tính
  • Khi thiết kế hệ thống bảo mật, điều quan trọng là phải giải quyết các vấn đề gốc rễ
  • Văn hóa xem hacking là ngầu có thể làm trầm trọng thêm vấn đề hacking
  • Cần một cách tiếp cận giải quyết vấn đề tận gốc thay vì chỉ đào tạo người dùng
  • Khi đưa công nghệ mới vào, cần xem xét đầy đủ và tiếp cận một cách thận trọng

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-07-16
Ý kiến Hacker News

  • Default Deny không khó hơn Default Permit, nhưng giúp người phụ trách bảo mật CNTT ngủ ngon hơn

    • Tuy nhiên, những người khác trong công ty sẽ rất bực bội vì chẳng có gì hoạt động nếu không phải làm thêm nhiều bước với bộ phận IT
    • Càng bực bội, mọi người càng có xu hướng dùng các cách lách luật làm suy yếu các khái niệm bảo mật CNTT
    • Bảo mật CNTT tốt nên giống như phép màu: vô hình với người dùng và không gây cản trở

  • Vào cuối thập niên 90 và đầu những năm 2000, Marcus Ranum và Bruce Schneier từng cho rằng việc công bố lỗ hổng là có hại

    • Tuy nhiên, quan điểm này chưa được chứng minh
    • Ngày nay, hầu hết các hội nghị học thuật về bảo mật đều bao gồm nghiên cứu tấn công

  • Thật ngạc nhiên là không có nhắc đến mật khẩu

    • Tôi cho rằng các quy tắc cấu thành mật khẩu và việc xoay vòng mật khẩu về bản chất là những ý tưởng ngớ ngẩn
    • Nên để người dùng chọn mật khẩu sao cho họ dễ nhớ

  • Việc cho rằng không cần kiểm thử bảo mật là quan điểm bảo mật tệ nhất

    • Việc cho rằng hacking không phải vấn đề kỹ thuật mà là vấn đề xã hội cũng là một quan điểm sai lầm

  • Cách tiếp cận thiên về bảo mật gây bất tiện cho người dùng

    • Điều quan trọng là phải cân bằng giữa bảo mật và sự tiện lợi
    • Nghiên cứu lỗ hổng và exploit có ích cho việc học bảo mật

  • Hacking là một việc ngầu, nhưng truy cập vào dữ liệu và hệ thống của người khác thì không

    • Việc hiểu và thao tác triệt để trên chính hệ thống của mình là điều có ích

  • Học về exploit rất hữu ích để học cả lý thuyết lẫn thực hành cùng lúc

  • Sự đánh đổi đáng tiếc giữa tính khả dụng và bảo mật mới là vấn đề

    • Những cách tiếp cận như Default Permit gây hại cho bảo mật
    • Mật khẩu khó nhớ và gây bất tiện cho người dùng

  • Tin tưởng client đồng nghĩa với việc mô hình bảo mật đã bị phá vỡ

  • Cách tiếp cận Penetrate and Patch khiến công việc bảo mật trở nên vô nghĩa

    • Việc tìm và sửa lỗ hổng lại được coi trọng hơn so với thiết kế hệ thống an toàn ngay từ đầu
    • Nên phân biệt giữa truy cập trái phép và tư vấn bảo mật