כמה משפיעות השקות של מיקרוסופט על אבטחה בארגון?

אין היום ארגון שלא כולל בתוכו מערכות מתוצרת Microsoft, גיא מזרחי בוחן את הסוגיה של עד כמה משפיעות השקות של מוצרים חדשים על האבטחה בארגון וחזר עם תשובה מפתיעה.

microsoft-patchמוקדם יותר היום נערך אירוע במיקרוסופט שדיבר על השפעת השקות המוצרים החדשים של מיקרוסופט על אבטחת המידע בארגון ומאחר ואין היום ארגון שלא כולל בתוכו מערכות מתוצרת Microsoft, רציתי לבחון את הסוגיה של עד כמה משפיעות השקות של מוצרים חדשים על האבטחה בארגון?

זה ברור שהתשובה היא שיש קשר ישיר בין הטמעות של מוצרים חדשים לרמת האבטחה בארגון, אבל יש קשר גם להשקות עצמן? גם הארגון לא מתקין מוצר בעת ההשקה?

תחושת הבטן תגיד שזה ברור שכל עוד לא הטמענו מוצר בארגון שלנו הוא לא ישפיע על האבטחה בארגון, אבל זאת יכולה להתגלות כטעות חמורה.
אני אתן דוגמאות תיאורטיות:

  1. מיקרוסופט השיקה את Internet Explorer 8. רוב הארגונים לא רצים לשדרג אליו בשל מגוון סיבות הכוללות את עלות ההתקנה וההטמעה, שינויים נדרשים בתוכנות פנימיות ובאתרי אינטרהנט, זמן עבודה, תקלות וכ”ו. מצד שני, בבית אנשים קיבלו את העדכון באופן אוטומטי. ה-IE החדש בטוח יותר ויודע להתמודד טוב יותר עם בעיות אבטחה הנוגעות לצד הלקוח. המשתמשים מוגנים יותר בבית ומתחילים לשנות הרגלי גלישה (באופן מודע או בלתי מודע) בהתאם לאיך שהדפדפן מגן עליהם. עכשיו עם אותם הרגלים המשתמש מגיע אל הארגון ובו הדפדפן הישן והפחות מאובטח. יש כאן חשיפת המשתמש והארגון בו הוא עובד לבעיית אבטחה.
  2. מהכיוון ההפוך:עובד בבית הזמין “טכנאי” שהתקין לו מערכת הפעלה פרוצה. העובד לומד שאסור לו לעדכן את אותה מערכת הפעלה כיוון ש-Microsoft מדי פעם חוסמים אותה עם WGA או צרות ורעות אחרות. עם אותם ההרגלים העובד מגיע אל הארגון ומשתדל שלא לעדכן את המערכת (יש גם סיבות נוספות כמו: “זה עובד אז למה לגעת?” וכ”ו). שוב – הארגון נחשף לבעיות אבטחה.

יש לציין שאם מראש אתם משאירים את האפשרויות בידי העובד זו בעית אבטחה בפני עצמה, אך לצורך הדיון נשאיר את ההחלטה בידיו. ברור לנו שהארגון לא אמור להסתמך על “המקצועיות” של העובדים כדי להישאר מוגן, אך יש לזכור שהחלטות טכנולוגיות רבות עדיין בידי העובד. מעניין לחשוב עד כמה הארגון חושף עצמו לבעיות בשל העובדה שאינו מספק כלים שלו לעבודה בטוחה בבית (ואולי זו הסיבה שיש ארגונים רבים שכן מספקים מערכות הפעלה חוקיות, אנטיוירוס וכ”ו גם למחשבים בבתי העובדים).

הפוסט פורסם במקור בבלוג יומנו של האקר

Avatar

גיא מזרחי

מומחה לאבטחת מידע והבעלים של הבלוג "יומו של האקר". http://www.hacking.org.il

הגב

1 תגובה על "כמה משפיעות השקות של מיקרוסופט על אבטחה בארגון?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
trackback

[…] ביזגיק : אין היום ארגון שלא כולל בתוכו מערכות מתוצרת Microsoft, גיא מזרחי בוחן את הסוגיה של עד כמה משפיעות השקות של מוצרים חדשים על האבטחה בארגון וחזר עם תשובה מפתיעה. […]

wpDiscuz

תגיות לכתבה: