?

Log in

Круг порока информационной безопасности  
01:53pm 13/11/2012
 
 
The Toxa Himself
Я CISO, я не хочу читать длинные отчеты аудиторов. Я хочу кнопку "защитить" и чтобы защищало. Мониторило, анализировало, пищало.

Традиционно рынок продуктов ИБ разделяется на две большие части: средства анализа защищенности и средства обеспечения защиты. Как правило, услуги и софт по анализу защищенности продают сравнительно небольшие компании, выросшие на исследователях (резерчерах) или вообще бывшие в прошлом тусовкой хакеров. Примеров масса: можно вспомнить L0phtCrack, Nessus, AppScan и так далее. Такие компании редко вырастают и обычно впоследствии приобретаются более крупными игроками. Это неудивительно: ломать проще чем строить, и часто -- интереснее.

Крупные же игроки на мелочи не размениваются, а производят средства защиты. Ведь заказчику неинтересно знать, что у него "плохо тут и еще вот здесь", ему надо, чтобы все было защищено. Это можно понять: заказчику неинтересно разбираться в тонкостях конфигурации и патч-менеджмента, ему надо, чтобы бизнес функционировал и риски ИБ держались на приемлемом уровне. Поэтому рынок средств защиты -- это рынок крупных игроков, как правило, понимающих бизнес-потребности заказчика.

Упрощенно такая модель взаимодействия показана синими стрелками. Исследователь кусает вендора за ноги, чтобы тот шевелился. Вендор выпускает обновления и по мере сил исправляет свой софт. Производитель средств защиты смотрит на все это и предлагает заказчику решения по защите:



Правильная ли это модель? Конечно нет. Рынок ИБ глубоко болен, и мы знаем об этом. Заказчик, купивший веб-приложение, покупает WAF, IDS и анализаторы логов, потому что с самим веб-приложением поделать ничего не может. Это напоминает покупку отечественного автомобиля: сразу после выезда из автосалона надо сделать антикор, нормальную шумоизоляцию и вообще отвезти к мужикам в гараж, чтобы нормально протянули все болты. Все бы ничего, да только в мире IT такие автомобили почему-то продаются по цене Мерседеса.

Но главная беда -- в том, что этот порочный круг никак не разорвать. Ведь производители средств защиты потеряют бизнес, если заказчикам будет не от чего защищаться. Вот исследователи и берут инициативу в свои руки. Но они все, как один, делают ошибку: идут сразу к заказчику и пытаются говорить с ним на его языке. Это показано красной стрелкой на схеме.

К сожалению, заказчик и исследователь никогда не поймут друг друга. "Эксперт по анализу защищенности" -- не то же самое, что "эксперт по защите". Здесь самое время процитировать эпиграф, вынесенный в начало текста. Не смотря на то, что резерчеры очень часто к месту и не к месту вставляют в свои вайтпейперы слово "бизнес", в бизнесе они не понимают ровным счетом ничего.

Кто же может на самом деле исправить ситуацию? Ответ простой: тот, кому это на самом деле надо, то есть сам заказчик! На Западе уже заметно движение крупных заказчиков от выделения бюджета на покупку средств защиты в сторону формулирования требований безопасности к покупаемым продуктам. Так, все чаще штатным требованием при покупке или заказе софта является предоставление отчета об использовании при разработке статического анализатора исходного кода. Причем такой подход является не только правильным сам по себе, он еще и оставляет в игре всех участников рынка. Хотите взаимодействовать с нашей компанией в рамках некоторых ИТ-процессов? Покажите ваш последний отчет о проведенном пентесте, причем не абы кем, а одной из уважаемых контор. У нас такое представить пока еще невозможно, а на Западе - легко.



К сожалению, такое движение требует от заказчика дальновидности и грамотности в вопросах информационной безопасности. Только активное шевеление крупных заказчиков заставит шевелиться крупных вендоров. В России же пока плотно доминируют вендоры. Поэтому счастье наступит еще очень нескоро.



Навеяно дискуссией на LinkedIn
tags: security
 
    ipfw add - ipfw show 7 - Share - Link
 

(no subject)
 Дмитрий Бумов
 
10:16am 13/11/2012 (UTC)
 
 
Дмитрий Бумов
А порой наоборот:
"Я CISO, я хочу читать длинные отчеты аудиторов. Нет, я понимаю, что это место идеально защищено, но я хочу видеть что вы делали, чтобы это проверить. Мониторьте, анализируйте, пищите."
 
    Reply - Thread - Link
 
(no subject)
 d0znpp
 
10:41am 13/11/2012 (UTC)
 
 
Vladimir Vorontsov
"требует от заказчика дальновидности и грамотности в вопросах информационной безопасности" - золотые слова.

Но, на мой взгляд, это провоцирует продажи в банях и на шашлыках, а не анализ решений и хоть какого-то их сравнения в реальной/тестовой среде. Пока у нас будут такие продажи, никто не будет шевелиться.

Это ты со своей нетрадиционно продвинутой ИТ-компании так смотришь на мир, остальные заказчики позади даже не две итерации :(

И второе - продвинутые ИТ-компании (не наши и наши (2-3)) часто выбирают вариант создания своих продуктов (не только ИБ), именно потому, что понимают эту модель - вендора не шевелятся.
Но насчет второго я слишком предвзято пишу, так что не претендую на правду.
 
    Reply - Thread - Link
 
(no subject)
 toxa
 
11:00am 13/11/2012 (UTC)
 
 
The Toxa Himself: gnilomedov
увы, все так.
picword: gnilomedov
 
    Reply - Parent - Thread - Link
 
(no subject)
 swan_lj
 
10:49am 13/11/2012 (UTC)
 
 
Родыгин Евгений: pic#118722438
С учетом того, что уязвимости есть всегда, и, как ты указал, с вендором может работать только огромный богатый заказчик - схема не рабочая.
Если бы заказчик был достаточно ИБ квалифицирован, он сам мог бы напрямую работать с производителем СрЗИ.
К тому же вендоры и так очень любят работать напрямую с крупными заказчиками. Но результата особенно нет...
С инициирующей ролью "исследователя" тоже трудно согласиться. Кусает - да... но никак не инициирует...
picword: pic#118722438
 
    Reply - Thread - Link
 
(no subject)
 toxa
 
11:02am 13/11/2012 (UTC)
 
 
The Toxa Himself: gnilomedov
Огромный богатый заказчик должен сдвинуть камень, безусловно. Потом всем будет проще.
picword: gnilomedov
 
    Reply - Parent - Thread - Link
 
(no subject)
 swan_lj
 
11:36am 13/11/2012 (UTC)
 
 
Родыгин Евгений: pic#118722438
Должен ли? Ему это надо?.. ;)
picword: pic#118722438
 
    Reply - Parent - Thread - Link
 


 
 
 
Navigation  
  Previous
Next
 


  Powered by
LiveJournal.com