НПП ИТБ опубликовало ряд «аналитических» материалов, в которых есть интересный тезис о том, что для разработки модели угроз достаточно посчитать только их вероятность. А для этого предлагается опираться на статистику уязвимостей и успешных атак. При этом делается классическая ошибка — статистика берется общая (с SecurityLab), а вывод об угрозе на ее основе делается для конкретной компании. Я не говорю, что статистика СекЛаба плохая, но слишком уж она общая — деления по ОС и приложениям в ней нет. А без этого делать хоть мало-мальские серьезные выводы бесполезно.
В качестве доказательства такого заблуждения достаточно привести банальный пример — выбор системы защиты для моего домашнего компьютера. Среди распространенных угроз по мнению НПП ИТБ сегодня можно выделить компрометацию системы и повышение привилегий. Исходя из выводов специалистов НПП ИТБ, чтобы защититься от этих угроз недостаточно использовать IPS или антивирус — они неспособны бороться с проблемой. Рекомендация — поставить КСЗИ «Панцирь» 😉 Но вот беда — я дома использую MacBook и с названными угрозами (как и с большинством других — спамом, вирусами, троянами, червями) пока не сталкивался (за больше чем год активного серфинга в Инете).
Также авторы аналитики забыли, что для того, чтобы считать угрозу актуальной, надо оперировать не только вероятностью ее реализации, но и потенциальным ущербом. Они же поступили просто, — напрочь отметая экспертную оценку как адекватный метод оценки, самые вероятные угрозы назвали и самыми опасными 😉
Еще один пассаж вызвал мой интерес. В качестве безусловной истины был назван «следующий тезис – защитить можно только тот объект, который локализован (обладает заданным фиксированным набором), как в части подключаемых устройств, так и в части используемых приложений«. В качестве доказательства безусловности приведена ссылка на РД ФСТЭК по АС (от 1992-го года). Вот интересно, как тогда мой корпоративный лэптоп защищается уже 4 года? А ведь ни в части подключаемых устройств (как это сделать для Wi-Fi, Bluetooth и даже обычного сетевого подключения с динамической адресацией?), ни в части используемых приложений, я не могу похвастаться формализацией — для защиты используются совершенно иные принципы, которые отметаются авторами отчета как неэффективные.
Еще интересным я посчитал другую «очевидную» истину для специалистов НПП ИТБ — якобы в корпоративных системах должен использоваться только принцип «что не разрешено — запрещено». Я уже вступал в полемику с представителями НПП ИТБ на bankir.ru и опять повторюсь — такой принцип не работает в сколь-нибудь крупной, динамичной и открытой организации. Например, в Cisco. Как будет служба ИБ разрешать 70 тысячам сотрудников доступ на каждый чих СЗИ, изначально непрописанный в политике? И сколько таких сотрудников ИБ должно быть? И как будут «довольны» пользователи в такой ситуации? На бизнес наплевать, зато ИБ будет на высоте. В качестве примера «неудачной» СЗИ названа система защиты в ОС Windows. Правда потребитель почему-то тратит миллиарды долларов на продукцию именно Microsoft, а не апологетов параноидальной безопасности в ущерб бизнесу 😉
Мелочи, вроде невозможности рекламируемого средства бороться с угрозами на уровне бизнес-приложений (как это преподносится), я даже не буду описывать — про это на bankir.ru уже немало копий было сломано.
ЗЫ. Зато реклама СЗИ от НПП ИТБ удалась 😉
ЗЗЫ. Материалы конца 2009-го года опираются на статистику середины 2008-го. Толи материал раньше не могли опубликовать, толи новой статистики не нашли.
ЗЗЗЫ. Опять критикую ;-( Но вчерашние и позавчерашние документы (надеюсь были полезны) немного нивелируют эту критику 😉
А я со всем согласен …
Скоро СрЗИ будут продавать с лозунгами "- это модно!".
P.S. хотя так по моему уже кое кто делает )))
Ну мода — один из мотивов продвижения
Вообще каковы мотивы выбора СрЗИ хотя можно было рассмотреть мотивы выбора или не выбора платных и бесплатных СрЗИ. Что выбрать — средство защиты или изменить образ жизни, отказаться от чего то…
Думаю тема глубокая… Кто и как ограничивает этот выбор…
вот кстати…
http://nnm.ru/blogs/russouth/antivirusnaya_zashita_nuzhen_vtoroy_eshelon/#cut
Странные вы: где продажа, там и маркетинг — хоть это стиральный порошок, хоть СЗИ.
Про стиральный порошок — это ассоциация с интервью ESET ?
Для покупки стирального порошка есть объективная реальность — грязные *** !
Для покупки СрЗИ есть … страх запачкаться ?!
Конечно есть 😉
особенно трогательно в тэгах к статье:
Ключевые слова: персональные данные Панцирь-К НПП Информационные технологии в бизнесе
Со многим соглашусь, но не совсем.
Очень своеобразная практика откинуть вообще потенциальный ущерб, забыть про экспертные оценки и считать защищенными только локализованные объекты (((((
Возвращаясь к вопросу о маркетинге, у нас на семинаре был такой диалог:
Студент: Маркетинг — это наука о том, как обмануть покупателя.
Преподаватель: Как? Если ты его обманешь он к тебе больше не придет и ты много не заработаешь.
Студент: Тогда я понял. Маркетинг — это наука о том, как регулярно обманывать покупателя.
Ну это первая и вторая стадия маркетинга 😉
Страшно когда наступает 3-я стадия — когда сам веришь !
у меня ощущение что вы лежите на пляжу и философствуете 🙂 🙂 пора возвращаться на работу 🙂
Вот лежу я на пляжу и в экран компа гляжу…
выпил ром и не жужжу
А если еще на этом пляжу нет ни твоего ноутбука ни коммуникатора…
Ну коммуникатор есть всегда 😉