Bedrijf probeert software lek stiekem te verhelpen
E-mail filterbedrijf Clearswift kwam onlangs met een hotfix voor haar Mailsweeper 4.3.15 programma. Volgens Clearswift zorgt de update er alleen maar voor dat een aantal nieuwe bestandsformaten door de tool ondersteund worden. Verschillende security experts denken echter dat de actie een poging is om stiekem een security lek te dichten, iets dat steeds vaker voorkomt bij bedrijven die hun goede security reputatie willen behouden. Eerdere versies van Mailsweeper zouden namelijk een lek bevatten waardoor het filter bepaalde bijlages niet tegenhield. (IT World)
Rare stelling en uitspraak, het is eerder zo denk ik
dat het niet openbaar maken veel voorkomt en
prijzenswaardig dat het bedrijf op eigen bevindingen
actie onderneemt dit te verhelpen.
Er zijn legio voorbeelden van bedrijven die
gewoon afwachten tot er problemen komen en
vervolgens maanden wachten met het oplossen..
Bij dit soort gaat de omzet en kostenbewaking voor.
de lekken en jij dus niet, dat is een slechte zaak. Als er
bij jou ingebroken wordt en je komt erachter dat de
leverancier allang afwist van het lek dan klaag je hem toch
ook aan.
Ook al is er nog geen fix, je wilt het toch weten, je kunt
dan nl. een risico analyse doen en aan de hand daarvan evt.
aanvullende maatregelen nemen (varieren van b.v extra IDS
filters, extra firewall rules of zelfs het product offline
nemen).
Security by obscurity is slecht.
lekken en overige problemen oplossen zodat Crackers er geen
misbruik van kunnen maken.
Waarom is dat stiekum?
Rare stelling en uitspraak, het is eerder zo denk ik
dat het niet openbaar maken veel voorkomt en
prijzenswaardig dat het bedrijf op eigen bevindingen
actie onderneemt dit te verhelpen.
Er zijn legio voorbeelden van bedrijven die
gewoon afwachten tot er problemen komen en
vervolgens maanden wachten met het oplossen..
Bij dit soort gaat de omzet en kostenbewaking voor.
Het werkt heel simpel. Mijn beveiliging is in lagen
opgebouwd. Als er door wat voor reden dan ook 1 laag faalt,
dan heb ik nog voldoende lagen over ter bescherming. Dit
principe heet defence in depth.
Als er een lek in een bepaald product gevonden wordt dan heb
ik de overige lagen nog, als ik weet dat dat lek er in
zit. Als ik weet dat het lek bestaat kan ik de
beveiliging van de andere lagen er op afstemmen dat dat lek
bestaat, ook al is er nog geen fix beschikbaar.
Op deze manier heb ik in het verleden nasties als SQL
Slammer, MS blaster, Code Red en Nimda buiten de deur
gehouden, ook op niet direct te patchen machines.
Dat kan dus alleen als de vendor zijn verantwoordelijkheid
neemt om te melden dat er een bepaald gat bestaat. Het gaat
om informatie uitwisseling. Je mag er van uit gaan dat de
hacker/cracker community een behoorlijk goed geinformeerde
community is... exploits zijn handelswaar, en blijven niet
lang geheim. Door een exploit niet te melden aan beheerders
neemt een vendor een extra risico, namelijk dat risico dat
een beheerer niet weet dat er een exploit is en dus zich
niet kan verdedigen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.