18.08.2009

Грязные секреты ИБ-индустрии

Арсенал Остапа Бендера насчитывал четыреста сравнительно честных способов отъёма денег, главный стратег IBM/ISS по безопасности Джошуа Корман легко и свободно обходится восемью - полтора года назад было семь, потом добавился нулевой. Судя по тому, что вчера их опять везде напечатали, он их опять где-то презентовал. Перетащу-ка я их в Рунет наконец уже.

ИБ-производителям не нужно быть впереди угроз, достаточно быть впереди покупателя.
Мудро, но не ново (поэтому и мудро). Не могу не привести старинный анекдот, аналог которого наверняка есть и у супостатов. На поляну выходит медведь, один из туристов бросается переобуваться в кроссовки, другой спрашивает:
- Ты думаешь, это поможет?
- Конечно: мне надо бежать не быстрее его, а быстрее тебя.
Вот уж совершенно не ноу-хау ИБ-производителей, по-моему. Так же и автопроизводители "затачивают" свои изделия не на удар вообще, а на тот удар, который используется на краш-тестах соответствующего региона, и забавно потом иной раз бывает, когда автомобиль, изначально создававшийся для одного континента и разбитый там на пять звезд, решают поставлять на другой, где он с трудом берет две.
Звериный оскал капитализма никто не отменял, короче говоря.

Испытания антивирусов мало значат.
Тут Корман подразумевает, что результаты собираются в-основном на блокировании размножающихся зловредов, суть вирусы и черви, а три четверти проблем дают троянцы. Недостаточно знаю методики, чтобы комментировать, могу лишь выразить недоумение, что прежде это стояло секретом нюмбер оне.

Периметра нет.
"Компьютер, пользователь, бизнес-процесс, данные - вот периметры, а периметр - это не периметр", поясняет Джошуа ("Усы, лапы, хвост - вот мои документы!" - вторит ему откуда-то голос Шелленберга). Т.е. периметр-то, стало быть, все-таки есть, но не там, где его рисуют производители периметровых СЗИ, и секрет опять стырен у Полишинеля, а формулировка изменена, чтобы не поймали. Кстати говоря, избыточный интерес к DLP сейчас это заблуждение должен подвыправить, как и вообще активный промоушен любого не-периметрового (в старом понимании) СЗИ.

Анализ рисков - главный враг продавца.
Скорее всего, проблему заказчика (нет, она реальная, не вымышленная - тут все сравнительно честно) можно закрыть изменением конфигурации имеющихся средств, реорганизацией процессов, обучением персонала и т.п., не продавая ему еще одно СЗИ. Дальше Корман исходит из того, что если у заказчика нет анализа рисков, который мог бы это выявить, то он - жертва. В России одно другого не означает.

Есть уязвимости пострашней софтверных.
Например, ошибки конфигурации, слабые пароли, людские слабости и т.п. Корректнее было бы говорить, что есть и другие уязвимости (и далеко не все они патчатся), но оценку относительной страшности с потолка не брать. Сам ведь пару слайдов назад анализ рисков упоминал - так вот теоретически возможна и такая ситуация, когда самые актуальные риски связаны с софтверными уязвимостями. Если я, например, решу свой сайт делать, то поломают оный скорей всего через них.

Выполнение требований регуляторов ухудшает безопасность.
Сосредоточение на выполнении некоего чек-листа и успешном прохождении аудитов создает не только условия для формального ИБ-строительства, но и опасную иллюзию достаточности мер, говорит нам иностранный коллега. Однако это верно лишь для плохих требований, а это не всегда так. И в этом пункте, похоже, Кормана критикуют больше всего, т.к. в поздних презентациях уже стало звучать, что соответствие стандарту дает злоумышленникам знания об организации защиты (не признавать же свою ошибку-то!).

Производители закрывают глаза на Storm Worm.
Наименование червя, ботнет которого в лучшие времена исчислялся не одним десятком миллионов хостов, использовано скорее как имя нарицательное. Угроза ботнетов неплохо себя чувствует, т.к. криминалу приносит деньги, для распространения не нужны софтверные уязвимости (используется социнженерия), а ИБ-производители недостаточно стараются, по мнению Кормана. Допускаю, что это шпильки в адрес конкурентов, и только продукт ISS всем поможет.

Хочешь хорошую ИБ - строй сам.
Тут ограничусь переводом.

Всё, можно обсуждать список или высказываться о своем видении подобного Топ-несколько. Я, возможно, подумаю над своим вариантом, но цигель подкрался уже на четвертом пункте и с тех пор только располнел.

Пользуясь случаем, хочу передать приветы:
- первый уходит Алексею Лукацкому, любящему, как мне кажется, эту тематику;
- второй достается российским труженикам IBM/ISS, которые так и не принесли свои грязные секреты на отечественные мероприятия и конференции, несмотря на генеральную линию ЦК партии;
- третий несчастному эскизу про оценку эффективности, которому опять карта не легла;
- а четвертый не имеет отношения к Ригелю, хоть тот и является наиболее прокачанным персонажем автора, поэтому будет передан как-то иначе.

10 комментариев:

Анонимный комментирует...

Интересное замечание...
Давно заметил, что конкуренция Производителей СрЗИ происходит не с ЗлоКулХацкерами а с такими же производителями СрЗИ и по моему это главное ЗЛО.
Действительно - зачем "шагать семимильными вкладывая и вкладывая в науку и технологии", когда для получения преимущества можно шагать помаленьку...

Ригель комментирует...

Я рад, что тебе приглянулось.

С другой стороны, во многих иных областях коммерции апологеты стратегии "медленного спуска с горы" уже так часто сливают молодым выскочкам, которые все и сразу, что призадумаешься тут.

BDV комментирует...

Спасибо за привет сотрудникам IBM ISS. Они его получили :)
Джош готовил это выступление, которое затем понеслось по миру, когда еще не был в IBM ISS. Так что он выступает в этой презентации как независимый эксперт. Не надо искать рекламных ходов :)
В России я считаю, что выступление с темой "грязные трюки индустрии безопасности" бессмысленно, тем более от имени IBM. :)
Поэтому Джош когда приезжал на IDC весной рассказывал лишь про проблемы безопасности технологии виртуализации и самих виртуальных систем.

Ригель комментирует...

> В России я считаю, что выступление
> с темой "грязные трюки индустрии
> безопасности" бессмысленно

Мне слегка неловко, но я видел первую редакцию программы второго дня Рускрипто'09 на их сайте.

BDV комментирует...

да, я сначала согласился выступать на эту тему, а потом отказался.

Ригель комментирует...

Да и ладно: не последняя интересная тема, в конце концов.

Анонимный комментирует...

"апологеты стратегии "медленного спуска с горы"
- Intel,Microsoft,IBM,AMD,Nvidia ....
Но тут есть особенность - жизненый цикл новых технологий очень короткий, порой от идеи до реализации, снятия сливок и забвения - дело 6-9 месяцев...
а ведь хочется доить и доить !!!
У двух подходов есть и плюсы и минусы... У нас принято достигать достижений методом совершения подвигов... потому мы впереди планеты всей с изделиями в единичных экземплярах... а вот построить индустрию технологий можно только кропотливым повседневным трудом а не ночными боями...

Анонимный комментирует...

Ну и чем плохи периметровые DLP? Есть что-то лучшее?

Ригель комментирует...

Для bothsider:

Независимо от наличия или отсутствия альтернатив, периметровые средства эффективны в условиях выраженного периметра и малоэффективны в условиях размытого, и если политика организации допускает работу за пределами офиса (что в наше время практикуется все чаще), защита должна следовать за информацией, а не повторять офисный забор.

Ригель комментирует...

Для bothsider:

Независимо от наличия или отсутствия альтернатив, периметровые средства эффективны в условиях выраженного периметра и малоэффективны в условиях размытого, и если политика организации допускает работу за пределами офиса (что в наше время практикуется все чаще), защита должна следовать за информацией, а не повторять офисный забор.

Отправить комментарий