29.03.2007 11:56:00
|
|
|
|
29.03.2007 18:26:47
мне, например, непонятно почему мы используем приближение пуассоновского распределения. пусть автор обоснует правомерность применения этой формулы. мне, например, вовсе не очевидна такая ситуация. я с помощью внешних условий и угла рассмотрения задачи могу превратить представленные кривые в прямые. кстати, поведение представленных зависимостей вызывает у меня реальное сомнение. точнее, они будут примерно такие же, но вот только что бы они с такой-же крутизной скатывались к нулю, это надо реально постараться. и еще 0.95% это проценты чего? это из формулы это неприемлимо для систем обработки иформации. есть для рассчета надежности системы такая вещь, как нагрузочный коэффициент. вот от него надо танцевать, а не от каких-то притянутых за уши приближений.
на понятийном уровне совершенно непонятно почему при постоянном колличестве незакрытых дыр в единицу времени надежность системы падает с течением времени. или рассматриваемая нами система не патчится? тогда какой практический смысл в статье? |
|||||||||
|
|
29.03.2007 20:09:42
По моему многое из перечисленного в статье и особенно вот это: "ИТ-безопасность: никто не готов к новым угрозам" уже далеко не новости...
|
|
|
|
30.03.2007 09:37:14
Вот уже не первый раз пытаюсь осилить статью данного автора, честно. В общем, в этот раз спасибо - всегда приятно, когда кто-то утруждает себя собрать хоть какую-то статистику, да ещё и чо-то там высчитать-посчитать...
|
|
|
|
30.03.2007 09:56:05
ХА Ха Ха
Статья ни очем оценка проведена абсолютно безграмотно....хотя человека не знакомого с математикой это впечатляет Оценка такому человеку хорошо софт продавать под создание безопасности..........или решения по информационной безопасности. К примеру представим идеальную систему безопасности на основе Windows...... групповая политика в режиме параноик (интересно кто нить работает в таком режиме). Пользователи не используют USB. (ГГГГГГГ) Сеть на оптоволокне. (кстати на данные момент самая защищенная сети и разрешенная к построению в учереждения МО). Запрещенный локальный вход на компьютеры. (НУ ну а как же ноутбуки пользователей в командировках). Прохождение почты по два часа до адреса по схеме сервер-глаза сотрудника службы безопасности-сервер(такая система реализована в Лукойле) Пароли в 12 символов для бухгалтерии (АГА Зарплату админ получит в следующем тысятелетии) Дальше будет страдать параноей и строит и наворачивать систему. А если так то с увереность на 100 процентов готов сказать 100% рабочего времени компьютер работает в опасном для взлома режиме. Не плох анализ. Ах да забыл привести результаты исследования но это тема может развиватьсяю Возьмите иследования рынков потерь по уносу информации на УСБ носителях |
|
|
|
30.03.2007 10:53:38
Прежде всего, спасибо за дискуссию.
Господа, еще раз, не нужно "валить все в кучу". Автор никокго не хотел удивлять, новости все известны. Задача была - дать хоть какую-либо количественную оценку происходящему. Все знают, что все плохо, а вот, насколько? Вторая задача, это акцент на вопросах сертификации - "насквозь дырявая" система сертифицирует по некому набору требований к функциям (это мировая практика сертификации). Так же не должно быть - ведь реальная безопасность отсутствует! Еще раз, по формулам. Не сложно убедить, что при расчетах наиболее случайного события следует использовать пуассоновский поток, можно ввести параметр "Коэффициент готовности" - все это классика теории массового обслуживания и теории надежности. Достаточно иметь высшее техническое образование, чтобы разбираться в этих формулах. Можно существенно усложнить формулу (это достаточно просто), но картина не изменится. Инженерный подход к исследованию - это на простейших формулах показать тенденции. Автор им и воспользовался. С USB носителями бороться очень просто, в частности наше средство защиты (не называю, а то обвините в рекламе продукта) все эти задачи решает. В нашей системе существуют эффективные решения и по защите от сетевых атак, и от вирусов, и от троянов, и от шпионов, и т.д.. Но это "другая история". Возможно, мне удастся опубликовать статьи на эти темы на данном сайте (если администрация сайта предоставит мне подобную возможность). Еще раз, данная статья о другом, она имеет совершенно определенные цели, которые автор сформулировал выше. |
|
|
|
30.03.2007 11:48:19
Ну сколько можно твердить, что абсолютные цифры ничего не говорят. Более того, говорят о квалификации "аналитиков" и исследователей. С каких пор сумма затрат на безопасность говорит о квалифицированности решения/нерешения задач ИБ? Сумма затрат говорит только о сумме затрат! На что они потрачены? В каком соотношении? Где качественная (а не количественная) оценка данных цифр. Второе. Когда руководитель ИБ требует увеличения бюджета своего отдела исходя из "общепринятого" (кем?) мнения, что на ИБ должно тратиться от 5 до 20% от ИТ-бюджета - я могу это понять. Ну как еще обосновать выделение денег?! Но когда эта же ни кем и ничем необоснованная цифра приводится в "аналитическом" материале... Бюджет на ИБ зависит только от решаемых задач и ни от чего больше. Он может быть и больше 5% и меньше 1%. К тому же, как выделить бюджет на ИБ от бюджета на сетевую инфраструктуру, системные и бизнес-приложения и их администрирование? Это цифра очень спорна и обычно приводится, когда все остальные доводы исчерпаны.
Luka
|
|||
|
|
30.03.2007 12:23:48
Ну сколько можно твердить, что статья о другом.
То-то Вы не знаете (посмотрите на обсуждение Вашего материала, недавно опубликованного на этом же сайте), как и каким образом, подчас, у нас решаются вопросы ИБ - не редко главное, это не защита информации, а решение формальных вопросов легализации ее обработки. Тогда о каких процентах вообще идет речь. Вы еще поставьте вопрос о том, на решение каких задач иногда затрачиваются достаточно большие деньги, выделяемые на ИБ, и как это связано с решением задач повышения реальной безопасности. Чего стоят все эти концепции, политики, стратегии и т.д. (наверное, как и я, Вы много прочли подобных документов, оценили их "уровень"). Давайте поговорим о квалификации администраторов безопасности, которым непонятны многие технические проблемы и сложно справиться с профессиональными средствами защиты - отсюда наполнение рынка простейшими решениями, которые мало, что реально дают, но иллюзию защиты создают, и администратор "на коне", и т.д. и т.п. Попытаемся ответить на вопрос, почему некоторые "крепко стоящие на ногах" отечественные компании не очень-то заинтересованы в создании профессиональных средств защиты (Вы об этом писали в своих материалах, если я правильно понял), анализ подобных средств приводит к непониманию потребителем, как еще решать задачи ИБ, если не формально. О каких процентах речь? Можно поговорить о различных аспектах. Болезнено актуальных тем и проблем в ИБ сегодня скопилось очень много, но данный-то материал о другом! |
|
|
|
30.03.2007 12:41:19
Полностью соглашусь с Алексеем.
Более того - автор абсолютно не учитывает основополагающие для оценки ИБ вещи - риски и их веса, компенсирующие контроли и соотношение с реальными инцидентами. Это не говоря уже о практически невысчитываемых факторах лояльности... Кстати - приведенный отчет E&Y является сам по себе крайне спорным даже в среде специалистов большой четверки, т.к. их методы оценки на данный момент излишне механистичны и практически никогда не сопровождаются хотя бы референсными penetration tests. Единственной на сегодня более-менее обьективной оценкой (да и то скорее сравнительной чем количественной) являются сводные отчеты аудиторов. Вот по ним и более-менее судить можно как изменилась реальная защищенность ИТ в сравнении с предыдущими годами. |
|
|
|
30.03.2007 13:08:44
"Веса", "ранги" и прочее, как известно, это способы подмены одной неопределенности, другой.Сколько-нибудь объективной оценки, кроме, как определямой аксиомой Паретто, в теории многокритериальной оптимизации не существует, но и она на практике бесполезна. Могу пообсуждать эту тему (в свое время, исследованием операций я занимался достаточно "плотно", опубликовал более 40 работ, из которых более половины в академических журналах).
Но опять же, в статье речь о другом. Ведь не исследуется какой-либо конкретный объект информатизации, где уместно говорить о рисках, о затратах и т.д. Вводится два понятия - интенсивность обнаружения уязвимостей (можно, если очень хочется, ввести "веса", хотя достаточно рассматривать только критические, связанные с возможностью получения доступа к системным ресурсам, таких достаточно), и интенсивность их исправления разработчиком. Этого достаточно, чтобы сделать вывод о безопасности системного средства, как такового. Конечно, в различных приложениях, эти уязвимости будут использовать различным образом, или вообще не будут. Но существа-то это не изменит. Если Ваш домашний компьютер не атакуют, то это не значит, что он защищен (вот здесь можно поговрить о рисках, весах и т.д., сделать вывод о том, что нет необходимости его защищать, либо достаточно антивируса). Но это уже конкретный объект со своими рисками, весами и т.д. и т.п. |
|
|
|
30.03.2007 15:09:05
так что приведенные соображения верны исключительно в краткосрочной перспекриве или в случае экстраполяции на как минимум несколько десятков постоянно открытых КРИТИЧЕСКИХ незакрываемых до выхода патча дыр. ибо если более сеоьезно подходить к качественному показу вероятности отказа системы защиты, то там, как мне с ходу видится, будет вовсе не плавная кривая, а "пила", у которой крутизна нижней касательной - функция, зависящая от колличества открытых дыр в единицу времени и времени между обнаружением дыры и ее заплаткой. более того. наше пуассоновское распределение - это только верхняя граница. у нас же ошибки не миллионами сыпятся, что бы мы могли их экстраполировать на непрерывное множество. для реальной ситуации мы имеем разряженное множество событий. и верхняя оценка, даваемая экстраполяцией, мягко говоря, не совсем верна. в реальности вероятность отказа системы это примерно как игра в лотерею, когда колличество билетов меняется с течением времени (вероятность взлома), и билеты, старше N месяцев (периодичность выхода патчей) из лотереи выбывают, даже если один из них был выигрышный. колличество выигрышных билетов = колличеству известных дыр (т.е. постоянно в выпускаемых билетах появляется один выигрышный). примерно так... З.Ы. пусть автор не примет это как наезд, просто все это из-за того, в статье четко не прописано что и откуда берется и почему именно такие результаты появляются. так же пожелания к автору на будущее: -- давать ссылки на литературу, по возможности онлайновую, где можно почерпнуть идеи, которыми он руководствовался или самому давать обоснования для применимости того или иного математического аппарата для данного случая. -- все-таки объяснять, что он имелл ввиду под иероглифами формул и подписывать графики |
|||
|
|
30.03.2007 15:45:12
Уважаемый Сергей, какие пики, но это же аппарат теории массового обслуживания, работающий со средними величинами - это одно из направлений теории веростностей. Давайте "на пальцах". Пусть 2 месяца из 12 в системе существует незакрытая уязвимость. Какова средняя вероятность того, что в любой момент обращения за год система уязвима 2/12 (т.к. в течение двух месяцев вероятность уязвимости системы равна 1, в течении 10 равна 0), а защищена: 1 - 2/12. Вот о чем речь, мы работаем со средними величинами - получаем средний результат за исследуемый период. Потоки же и распределения позволяют как раз учитывать, как распределяются данные события за отчетный период (пуассоноский поток описывает наиболее случайные события, что наиболее характерно для обнаружения уязвимостей, Эрланга - более регулярные, поэтому, например, используются для расчетов нагрузки в телефонии и т.д.), пуассоновский поток позволяет складывать интенсивности событий и т.д. Это уже вопросы корректности модели. Наезды здесь ни при чем. Но не могу же я все это расписывать в популярной статье, усложнять расчетные модели, в противном случае, она превратится в статью, которую опубликуют только в специализированных журналах, и автор рискует, что читатель за формулами не увидит основного смысла (просто бросит читать). Относительно пожеланий, спасибо, принимаются. В порядке замечания отмечу, что ссылка на использование простейших формул аппарата теории массового обслуживания, в статье присутствует. |
|||
|
|
30.03.2007 16:52:30
я пытался донести (возможно сумбурно), что этот "средний" результат хорош когда у нас ошибки и месяцы исчисляются большими числами. как только числа становяться малыми, представленные вещи не следует воспринимать серьезно -- исключительно как предельные случаи - не более того. З.Ы. просто я когда-то давным давно похожее исследование проводил. там были не компы с дырками и патчами, а немножко другая задача. но модель задачи - один к одному. |
|||
|
|
30.03.2007 17:06:11
Еще раз, это модель простейшая, естественно, грубая.
Но с ее использованием сделать вывод, что мы работаем на полностью незащищенных системах, можно. Она дает, пусть с погрешностью, количественное понимание, и качественный вывод о том, насколько все критично. А ведь, кто-то уверяет, что средств защиты ОС достаточно, не требуется никаких добавочных средств защиты, например, при обработке конфиденциальной информации, вот один из вопросов статьи, над которым стоило бы задуматься. |
|
|
|
30.03.2007 19:49:07
Аналитика наступает только после произошедших инцендентов.....
Поверьте моему опыту работы в ИТ........ Закрытие аськи наступает не потому что она опасна в качестве незащищенной системы....а только после того как будут показаны логи от пользователей компании. Приведу старый прикол СекЛаба: Админ закрыл аську скачивание МР3 просмотрь видео роликов....НЕВОЗМОЖНО работать что делать. Обычно в службе безопасности необходимо сталкиваться именно с такими задачами. Проводить аналитику системы безопасности довольно субьективно. К примеру возможно построение ситемвы безопасности двумя путями. 1 Все то что не запрещенно, разрешенно....... 2 Все что не разрешенно, запрещенно. Перрвый путь сложнее при внедрении и более контролируемый при эксплуатации Второй путь менее сложен при внедрении и менне контролируемый при эксплуатации |
|
|
|
30.03.2007 22:00:05
У вас в резюме говорится про проценты. Если статья вообще не об этом, то зачем вообще приводить эти проценты.
Давайте. Только боюсь администраторам будут непонятны и приведенные в статьи формулы ;-(
Luka
|
|||||
|
|
||||