Инерция

Инерция
Инерция – это физическое явление сохранения скорости тела постоянной, если на него не действуют другие тела или их действие скомпенсировано
(Из учебника Физики за 7 класс)

Уже писал о том, что требование использования различных СЗИ от ВПО в инфраструктуре не добаляет безопасности. Однако, это требование по-прежнему есть в СТО БР ИББС и 382-П, вот, например, цитата из последнего:
"2.7.3. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают использование технических средств защиты информации от воздействия вредоносного кода различных производителей и их раздельную установку на персональных электронных вычислительных машинах и серверах, используемых для осуществления переводов денежных средств, а также на межсетевых экранах, задействованных в осуществлении переводов денежных средств, при наличии технической возможности."
Согласен, что Положение устаревшее, написано в 2012 году, но проблема в том, что и сейчас, на закате 2018, его по-прежнему пытаются исполнять, продолжая увеличивать энтропию там, где, напротив, требуется порядок.

Как использование двух паролей не считается двухфакторной аутентификацией, так и использование двух эквивалентных систем не является эшелонированной обороной, смысл имеет только полностью различные подходы - об этом писал и в 2013 , и год назад , а также рассказывал  намедни .

Боль в том, что уже понимая низкую эффективность автоматически привентивных средств защиты, мы на уровне регулятора продолжаем культивировать веру в них.

Но нет смысла писать про то же самое, если дело только создании неправильных стереорипов. Основная проблема в том, что требование использования гетерогенного покрытия инфраструктуры средствами защиты - снижает возможности по обнаружению сложных атак, проще говоря, - вредит безопасности. Логика эта на поверхности. Если говорить о целевых атаках, то они тщательно готовятся, безусловно, беря во внимание испльзуемые средства защиты, поэтому предотвратить такую атаку исключительно превентивными автоматами практически невозможно. В этих условиях мы вынуждены отступать , сдвигая приоритеты от предотвращения в сторону обнаружения, поиска и реагирования. Ключевым моментом для эффективного обнаружения является - visibility (попробую перевести это как "наглядность-обзорность") - надо в едином месте обозревать все данные со всей инфраструктуры. Если говорить о endpoint-е, то поставщиком таких данных является EPP-EDR. Все нормальные EPP-вендоры это уже давно поняли это и оснастили свои автоматические Anti-malware-движки агентами EDR и сервисным предложением над ними, потому что только такой полный стек обеспечивает более-менее высокую эффективность.
Требование наличия решений разных роизводителей на разных частях инфраструктуры (например, один вендор - на рабочих станциях, другой - на серверах) приводит к раздроблению наглядности-обзорности на части, что снижает возможности по обнаружению атаки после взлома . Ну, или, как минимум, значительно усложняет обнаружение и активный поиск угроз (Threat hunting) .

Серьезные атаки можно адресовать только после взлома , но мы жертвуем нашей способностью по обнаружению постэксплуатации в пользу малоэффективного предотвращения, да возможностей по предотвращению это особо не добавляет .

К сожалению, снова складывается ситуация, когда требования регуляторов отстают от реальности и этим становятся, как минимум - бесполезными, а как максимум - мешающими. Что делать - понятно: активнее обновлять документы, чтобы они были актуальны современному ландшафту угроз. Эпоха веры в полностью автоматическое предотвращение всевозможных атак - давно ушла в прошлое, вместе с ней и вера в мультисканеры, - это должно привести к соответсвующим изменениям нормативных требований, инерции здесь не место.


Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Сергей Солдатов

REPLY-TO-ALL is a double language blog (English/Russian) run by three information security practitioners. Want to discuss information security problems? This is the place.