Грязные секреты ИБ-индустрии

Арсенал Остапа Бендера насчитывал четыреста сравнительно честных способов отъёма денег, главный стратег IBM/ISS по безопасности Джошуа Корман легко и свободно обходится восемью - полтора года назад было семь, потом добавился нулевой. Судя по тому, что вчера их опять везде напечатали, он их опять где-то презентовал. Перетащу-ка я их в Рунет наконец уже.

ИБ-производителям не нужно быть впереди угроз, достаточно быть впереди покупателя.
Мудро, но не ново (поэтому и мудро). Не могу не привести старинный анекдот, аналог которого наверняка есть и у супостатов. На поляну выходит медведь, один из туристов бросается переобуваться в кроссовки, другой спрашивает:
- Ты думаешь, это поможет?
- Конечно: мне надо бежать не быстрее его, а быстрее тебя.
Вот уж совершенно не ноу-хау ИБ-производителей, по-моему. Так же и автопроизводители "затачивают" свои изделия не на удар вообще, а на тот удар, который используется на краш-тестах соответствующего региона, и забавно потом иной раз бывает, когда автомобиль, изначально создававшийся для одного континента и разбитый там на пять звезд, решают поставлять на другой, где он с трудом берет две.
Звериный оскал капитализма никто не отменял, короче говоря.

Испытания антивирусов мало значат.
Тут Корман подразумевает, что результаты собираются в-основном на блокировании размножающихся зловредов, суть вирусы и черви, а три четверти проблем дают троянцы. Недостаточно знаю методики, чтобы комментировать, могу лишь выразить недоумение, что прежде это стояло секретом нюмбер оне.

Периметра нет.
"Компьютер, пользователь, бизнес-процесс, данные - вот периметры, а периметр - это не периметр", поясняет Джошуа ("Усы, лапы, хвост - вот мои документы!" - вторит ему откуда-то голос Шелленберга). Т.е. периметр-то, стало быть, все-таки есть, но не там, где его рисуют производители периметровых СЗИ, и секрет опять стырен у Полишинеля, а формулировка изменена, чтобы не поймали. Кстати говоря, избыточный интерес к DLP сейчас это заблуждение должен подвыправить, как и вообще активный промоушен любого не-периметрового (в старом понимании) СЗИ.

Анализ рисков - главный враг продавца.
Скорее всего, проблему заказчика (нет, она реальная, не вымышленная - тут все сравнительно честно) можно закрыть изменением конфигурации имеющихся средств, реорганизацией процессов, обучением персонала и т.п., не продавая ему еще одно СЗИ. Дальше Корман исходит из того, что если у заказчика нет анализа рисков, который мог бы это выявить, то он - жертва. В России одно другого не означает.

Есть уязвимости пострашней софтверных.
Например, ошибки конфигурации, слабые пароли, людские слабости и т.п. Корректнее было бы говорить, что есть и другие уязвимости (и далеко не все они патчатся), но оценку относительной страшности с потолка не брать. Сам ведь пару слайдов назад анализ рисков упоминал - так вот теоретически возможна и такая ситуация, когда самые актуальные риски связаны с софтверными уязвимостями. Если я, например, решу свой сайт делать, то поломают оный скорей всего через них.

Выполнение требований регуляторов ухудшает безопасность.
Сосредоточение на выполнении некоего чек-листа и успешном прохождении аудитов создает не только условия для формального ИБ-строительства, но и опасную иллюзию достаточности мер, говорит нам иностранный коллега. Однако это верно лишь для плохих требований, а это не всегда так. И в этом пункте, похоже, Кормана критикуют больше всего, т.к. в поздних презентациях уже стало звучать, что соответствие стандарту дает злоумышленникам знания об организации защиты (не признавать же свою ошибку-то!).

Производители закрывают глаза на Storm Worm.
Наименование червя, ботнет которого в лучшие времена исчислялся не одним десятком миллионов хостов, использовано скорее как имя нарицательное. Угроза ботнетов неплохо себя чувствует, т.к. криминалу приносит деньги, для распространения не нужны софтверные уязвимости (используется социнженерия), а ИБ-производители недостаточно стараются, по мнению Кормана. Допускаю, что это шпильки в адрес конкурентов, и только продукт ISS всем поможет.

Хочешь хорошую ИБ - строй сам.
Тут ограничусь переводом.

Всё, можно обсуждать список или высказываться о своем видении подобного Топ-несколько. Я, возможно, подумаю над своим вариантом, но цигель подкрался уже на четвертом пункте и с тех пор только располнел.

Пользуясь случаем, хочу передать приветы:
- первый уходит Алексею Лукацкому, любящему, как мне кажется, эту тематику;
- второй достается российским труженикам IBM/ISS, которые так и не принесли свои грязные секреты на отечественные мероприятия и конференции, несмотря на генеральную линию ЦК партии;
- третий несчастному эскизу про оценку эффективности, которому опять карта не легла;
- а четвертый не имеет отношения к Ригелю, хоть тот и является наиболее прокачанным персонажем автора, поэтому будет передан как-то иначе.