Безопасность, основывающаяся на \"решениях\"

Термин "решение"придумали продавцы и маркетологи. Это некий аппаратно-программный комплекс, предназначенный для решения той ли иной задачи в сфере информационных технологий. А так как информационная безопасность в воображении отечественных менеджеров еще долго будет оставаться "подразделом" ИТ, то и термин "решение" на нее тоже распространяется. Решениями торгуют, решения внедряют, на решениях делают откаты. В какой-то мере, решения играют весьма важную, местами незаменимую роль в жизни современного ИТ-специалиста. Особенно если от его авторитетного мнения зависит бюджетирование ИТ его организации. Но сегодня не об отсутствии совести, а о наличии заблуждений.

На мой взгляд, "решение" призвано решить проблему способом, отличным от, собственно, решения проблемы. Объясняю. Например, есть в продуктиве древнее, ветхое, но все еще функционирующее ПО. Допустим, это некая экспертная система, на результатах работы которой основывается целая бизнес-модель. Не будет системы -- не будет прибыли. И вот однажды "генеральному" в голову приходит предоставить к ней доступ извне. По задумке, толпа полевых торговых/страховых/кредитных агентов будут бегать по стране, выискивая лиды, после чего выходить на связь с экспертной системой и прямо на месте совершать сделку. Но вот беда, система-то ветхая, и дыр  в ней хоть пруд пруди. Хочешь, не хочешь, а придется звать безопасников. Безопасники затылки почесали, поняли, что исправить дыры им не по силам, идут к продавцам-интеграторам. А там семь бед -- один ответ, у нас для вас есть целая пачка типичных (подчеркиваю, типичных) решений. Тут вам и четырехуровневый фаервол, и VPN на основе IPSec с мультифакторной аутентификацией. Вот только типичные решения к нетипичной проблеме (каковой очевидно является ваша система) не применимы. Как вы думаете, затачивал ли вендор свое решение, предназначенное для покрытия максимального возможного спектра проблем, под вашу специфичную систему с ее, без преувеличения, уникальными глюками? Очень вряд ли. И это только один пример, советую проанализировать на досуге собственный опыт с этой точки зрения. Уверен, у каждого найдется, что вспомнить.

Концепция применения решений породила целые направления и даже учения в ИБ. Один из ярких примеров -- defence in depth. Многоуровневость контролей, их взаимокомпенсация -- такую ересь могли вообразить себе только истинные адепты теории об использовании "решений". Все они уже давно абстрагировались от идеи исправления конкретных ошибок в коде ПО, приводящих к возникновению уязвимостей и возможной компрометации системы. А если забыть об истинной сути проблемы, то да, можно кирпичик к кирпичику выстраивать многоуровневую защиту хоть до неба. С каждым слоем еще на какое-то количество процентов понижая вероятность взлома. Который все равно неизбежен.

Это я все к чему. Весь вред -- от восприятия проблемы как данностии от вредной привычки решать задачи не на языке задачи, а имеющимися подручными способами. Вот и покупаем web-application firewallиз-за того, что не можем разобраться в собственном PHP-коде и реализовать нормальную проверку ввода. Запаковываем локальный (!) трафик в IPSec, потому что уже давно потеряли надежду инвентаризировать когда-нибудь сетевые устройстваи отключить все лишние, устаревшие или хотя бы (а что, и такое бывает) принадлежащие конкурентам. Покупаем дорогостоящие корпоративные антивирусы и DLP-решения, для того, чтобы защититься от фишинга и тоянцев, хотя основная проблема в том, что пользователи кликают линки и запускают вложения. Ее мы не решаем никоим образом, а стоило бы.

У меня небольшая просьба. Перед тем, как в следующий раз сломя голову кинуться тратить казенное бабло на гламурные железяки с разноцветными индикаторами, задумайтесь на минуту, не проще и не дешевле ли спуститься на один уровень с проблемой и рассмотреть ее "нативное" решение. Исправить код, навести порядок в коммутационной, сегментировать сеть и настроить IP-фильтрацию уже имеющимися в распоряжении рутерами и т.д. и т.п. Я понимаю, для большинства это непривычно, но вдруг получится?