О бесполезности информационной безопасности

Написать этот памфлет меня побудила чрезмерно повысившаяся в последнее время активность господ, занятых продажами продуктов и услуг в области ИБ. Я уже успел привыкнуть к фоновому набору неприятностей а-ля обманутых клиентов требующих внедрить именно этот продукт, дающий, по заверениям продавцов, защиту от злобных хакеров, спамов и куков и большое человеческое счастье в придачу. Но новые веянья в науке продавайств , позволяющие с честными глазами утверждать что ИБ это замечательное направление инвестиций, могущее и должное приносить ощутимый доход, заставляет меня терять членораздельную речь, размахивать руками и плевать ядом.

Чем я и займусь на последующих страницах.

И так:

Утверждение 1. Бизнес - первичен.

В современном капиталистическом обществе первичен бизнес. Если мы отринем жизнь ради всеобщего счастия, теорию малых дел, Полдень XXI века и другие пережитки братьев Стругацких, то в сухом остатке останутся деньги. И бизнес как способ их обретения. Это в равной степени относится к отдельным индивидуумам и их объединениях в рамках компаний различной формы собственности, повышающих общую денежную массу за счет необходимости обогащения эксплуатирующего меньшинства.

Соответственно информационная безопасность, раз за неё платят, должна приносить деньги.

Утверждение 2. Внедрение ИТ может приносить прибыль.

Примем как аксиому?

Утверждение 3. Внедрение ИТ, как правило снижает уровень безопасности информации.

Здесь все тоже достаточно прозрачно. Информация становится более мобильной, её гораздо легче скопировать, изменить, уничтожить.

Грамотно, с минимумом следов, изменить пару строчек в бумажном документе могут единицы, в то время как модификация текстового файла и изменение даты - тривиальная повседневная операция.

Утверждение 4. Своя информационная безопасность не может приносить прибыль.

Просьба обратить внимание на слово "своя". Безопасность других - неплохой бизнес, что доказывают многие антивирусные компании.

Почему же так получается? Потому что информационная безопасность  бесполезна.

Причины:

Асимметричность затрат.

Если взглянуть на экономическую составляющую безопасности с точки зрения щита и меча, то мы увидим явное преимущество нападающего. Нарушить информационную безопасность гораздо дешевле, чем защитить.

Приведу пример.

Минимальная цена теста на проникновение в России в колеблется в районе 5K$. Если кто-то берется за меньшие деньги, сообщите, пожалуйста - задавим гада, чтобы хлеб у честных грейхэтов не отбирал. При чем активная часть работ, т.е. само проникновение редко превышает по продолжительности рабочий день.

Конечно, этот процесс может растянуться во времени, особенно, если речь идет о client-side pentest, но во время, пока пользователь думает - запускать ли ему трояна или позвонить в СБ, вполне можно заниматься другими делами. Конечно, есть некоторый подготовительный этап, а-ля создание нормальных RAT (Троянов, то бишь), но относить его к времени пентеста абсурдно - так можно и время изучения man nmap переложить на заказчика. Хотя даже создание инструментария у квалифицированного специалиста вряд ли займет более одной рабочей недели, а использовать его можно отнюдь не в одной работе. Основное время уходит на написание отчета, согласование и прочий хлам.

Таким образом, за сам взлом заказчик платит максимум пятую часть (с учетом амортизации стула, мышки, стоимости выпитого аудитором кофе и выкуренных сигарет) стоимости услуги.

Пускай pentest и заказной взлом стоят одинаково, бог с ним. Попробуйте оценить "выгоду" для компании от отчета в котором описывается SQL Injection на корпоративном сайте и файл tested_by.txt на рабочем столе администратора со сливом через тот же injection учетных данных и паролей пользователей или тем же RAT на компьютере пользователя компании.

Если в первом случае максимально возможный эффект - это быстрое закрытие наиболее явных "дыр" и осознание необходимости выделения ресурсов на повышение защищенности, то во втором - полный ужас, страшный сон любого безопасника.

Разные требования к специалистам

Я думаю, здесь комментарии не нужны. Каждый, из жизненного опыта отчетливо знает - ломать - не строить.

Для несогласных предлагаю две задачи: найти уязвимость на microsoft.com и написать аналогичную по функциональности "движку" без security-related проблем.

Что-то не заметно леса рук по второму вопросу, хотя часть товарищей отправилась запускать кем-то (не ими) взломанный _вставте свой любимый Web-сканер здесь_.

И следствием этого опять является обоснованное повышения стоимости средств защиты.

Однажды мы обсуждали этот вопрос с SyS64738 и он сказал интересную фразу: "Цай, это ваша русская меркантильность" (я и на самом деле высокий блондин с голубыми глазами). Возможно это и так. Если я ясно представляю себе людей в покрытой сытой флером Европе, тянущих OpenSource продукт на деньги IBM и подрабатывающих на его сервисе, но в России, где факты покупки софта можно пересчитать по пальцам - увольте. Тем более в такой специфичной области как безопасность.

Несоответствие угроз и мер защиты

Индустрия защиты информации научилась противостоять наиболее типичным и массовым угрозам, многие из современных атак практически не прокрываются инструментарием в области безопасности.

Троянские программы, работающие через любые межсетевые экраны, в том числе и персональные и невидимые для антивирусов, DDoS... Или дырявое приложение (не)известного производителя, которое надо развернуть "вчера" (только не надо тут рассказывать SSDL, засмеют).

Что с этим может сделать IT-Security? Либо принять риски, попытаться закрыть уязвимости административными методами, либо попробовать использовать детективные средства защиты, т.е. обнаруживать атаки. Обнаруживать DDoS и отмахиваться политикой безопасности от 0-day... Смешно.

Волею судеб мне приходилось анализировать политики безопасности ряда компаний, и в них, как правило, угрозы со стороны внутренних пользователей не рассматривались. А любой мало-мальски грамотный blackhat скажет, что от глупости нет патчей, и социоинженерия - верный путь к взлому самой защищенной сети.

Есть ряд направлений IT практически не закрытых средствами защиты, к примеру, мобильные устройства (смартфоны, кпк и прочее). Пытаться защитить ОС, с точки зрения безопасности недалеко ушедшую от Windows 95, постоянно подключенную к глобальной сети и имеющую копию наиболее полезной с точки зрения владельца корпоративной информации паролем из 4х цифр просто смешно.

Хотя тут я, наверное, перебарщиваю, есть же антивирусы для PDA, ловящие EICAR.

Лирическое отступление

Меня вообще забавляет текущая ситуация на рынке безопасности. Представьте себе, что вслед за уведомлением от Microsoft появляется сообщение от компании E в котором рассказывается о том, какой молодец Mark, что нашли эту багу. Через некоторое время, эксплойт появляется в продукте для проверки наличия уязвимости путем получения удаленной командной строки компании C (но не в паблике), затем IDS/IPS компании I начинает обнаруживать атаки, связанные с этой уязвимостью.

Через некоторое время в паблик может просочиться эксплойт и тогда уже подключится сообщество, появятся сигнатуры для snort, NASL для Nessus и прочее. Подтянутся менее именитые сканнеры и IDS, пройдет червяк (хорошо, если шумный) и наступит всеобщая суета вокруг безопасности.

А может случится что E признает баг неэксплуатируемым и выдаст full-dislosure. А потом раз-два и переполненный от дефейсов zone-h...

Знаменитая ID пошла ещё дальше - она в открытую скупает 0-day. Интересно, у неё есть соглашение о full-disclosure с производителями средств защиты? Но в отличии от других ID не накладывает ограничей на full-disclosure, в связи с чем, детальная информация об уязвимости часто просачивается в публичные ресурсы.

В общем, сами ищем баги, сами от них потом и защищаем. Все довольны, особенно Microsoft которому каждый strcpy (утрирую) обходится в 1M$ (официально озвученная цена уведомления безопасности).

Вероятностная природа вселенной

Здесь кроется главное зло ИБ. Как просто было бы: после каждого 2го выпуска патчей Microsoft проходит жесткая эпидемия злобных вирусов, 0-day для Internet Explorer появляется раз в месяц, и каждый 7й нанятый работник сливает информацию налево.

Так нет. Можно всю жизнь спокойно прожить, доверяя самые важные базы людям, второй день работающим в компании, так же как и нахватать троянов на следующий день после миграции с "бажного" IE на "безопасную" Mozzil'у.

И шаманы от анализа риска, как и любые другие предсказатели, будут шумно напоминать об удачных прогнозах, скромно умалчивая о миллионах долларов, которые утекли в никуда, поскольку просто изменилась коньюктура угроз. И это нормально.

Вообще эта непостоянность весьма полезна для продаж безопасности. Судорожные попытки защитится от очередного вирусного скандала, побуждает владельцев информационных систем вести себя как покупатели в магазине 30го декабря.

Таким образом, компьютерная безопасность представляется мне абсолютно бесполезной затеей, но ни в коем случае не удачным методом вложения инвестиций. Подобное утверждение равнозначно тому, что покупать огнетушители в офис - это хороший способ подзаработать.

Иногда вспоминать про безопасность все равно, что судорожно пытаться найти и проверить огнетушитель после (не дай бог) пожара в соседнем доме.