Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и
 
Обсуждение статьи ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и каковы причины?
 
1. не названы причины сложившейся ситуации и нет даже намека на предложения по ее исправлению
ИМХО, тут виновато прежде всего правительство. вместо того, что бы законодательно определить ОБЯЗАННОСТИ продавца ПО, оно закрывает глаза на полную безответственность, фактически устраняясь от защиты пользователей от фирм-бракоделов. торговля под лицензией eula это всеравно, что продажа чего-то в упаковке, которую нельзя открыть с условием, что проданный товар уже не подлежит возврату. до тех пор, пока ситуация здесь не измениться, проблемы с безопасностью никуда не исчезнут.
2. такое впечатление, что я это уже где-то читал...
3. а что это за математические выражения там представлены? причем нет ни одного обозначения, что за величины там используются и что они означают. к тому же, если автор попер в математику, нет ни одного математического обоснования данных выражений. если автор не может сделать это сам, пусть дает ссылку на авторитета, который это уже сделал.
а то ведь я, например, могу тоже вспомнить свою учебу в университете и щегольнуть каким-нить лагранжианом из квантовой теории поля.
 
1. Статья рассматривает ровно те вопросы, которые автор хотел рассмотреть. Об остальном, в частности, что делать, будут другие публикации.
2. Да, действительно, обозначения пропущены. Это простейшая формула теории массового обслуживания (3 курс института), наверное, в данной популярной статье нет смысла обосновывать целесообразность пуассоновского потока, экспоненциального распределения и т.д. Обозначения пропущены, но, наверное, они очевидны. Расчет можно провести и по более точной формуле ("поиграть" с числом обслуживающих приборов, но, наверное, это уже для специализированного журнала. Автор же в данной статье пытался рассмотреть проблему на понятийном уровне.
 
Цитата
Статья рассматривает ровно те вопросы, которые автор хотел рассмотреть
и какие это? если закрыть глаза на попытки привести качественные оценки, я вижу пока единственный банальный вывод: чем больше дырок, тем фиговей ситуация с безопасностью. я что-то пропустил?

Цитата
Да, действительно, обозначения пропущены. Это простейшая формула теории массового обслуживания (3 курс института)
у нас в стране дофига институтов и в каждом - свой набор обозначений. вы когда-нибудь видели в учебнике или статье голые формулы без пояснений?

Цитата
Расчет можно провести и по более точной формуле
я не против приближений. я просто пытаюсь обратить внимание, что применение каких-то математических формулировок, на которых, кстати, построены выводы автора статьи, должны быть чем-то обоснованы.
мне, например, непонятно почему мы используем приближение пуассоновского распределения.
пусть автор обоснует правомерность применения этой формулы. мне, например, вовсе не очевидна такая ситуация. я с помощью внешних условий и угла рассмотрения задачи могу превратить представленные кривые в прямые.
кстати, поведение представленных зависимостей вызывает у меня реальное сомнение. точнее, они будут примерно такие же, но вот только что бы они с такой-же крутизной скатывались к нулю, это надо реально постараться.

и еще
0.95% это проценты чего? это из формулы http://www.securitylab.ru/_Article_Images/2007/04/image002.gif?
это неприемлимо для систем обработки иформации. есть для рассчета надежности системы такая вещь, как нагрузочный коэффициент. вот от него надо танцевать, а не от каких-то притянутых за уши приближений.

Цитата
Автор же в данной статье пытался рассмотреть проблему на понятийном уровне
в таком случае, на кого она рассчитана?
на понятийном уровне совершенно непонятно почему при постоянном колличестве незакрытых дыр в единицу времени надежность системы падает с течением времени. или рассматриваемая нами система не патчится? тогда какой практический смысл в статье?
 
По моему многое из перечисленного в статье и особенно вот это: "ИТ-безопасность: никто не готов к новым угрозам" уже далеко не новости...
 
Тут все правда при условии если все системы будут с белыми IP адресами и из мер защиты будут только патчи на операционную систему и программы!

Но это не безопасность!   :!:

--------------------------------------------------------------
И название статьи не соответствует тексту -- нахождение новой дыры - это не новая угроза -- эта та же повторяющаяся угроза  
:!:
 
Гы :) Армагеддон :)
Цитата

Среди компьютеров под управлением ОС Linux взломанными оказались 65%, под управлением Windows - 25%.

Если под взломом понимать дефейс... винда домашняя без фаера и часа в сети не проживет... без выполнения вредоносного произвольного кода...

Проблемы нет. Все проблемы информационной безопасности предприятия решаются путем опечатанной комнаты с фаером, закрытия USB портов, дисководов и пишущих приводов, опечатыванием системных блоков, админа, и СБ с паяльником (первый раз профилактическая беседа, второй - паяльник... )... на одном предприятии, которое я знаю, с таким подходом за все время существования IT-службы там не было проблем с безопасностью. Ну разве что DoS (один раз я и сам им устроил :), впрочем, случайно... ) но информация никуда не утечет.

А воткнуть W2003Server в сеть и потом орать - все, пропасть... гы гы... наймите специалистов, раз уж так критично.
 
Вот уже не первый раз пытаюсь осилить статью данного автора, честно. В общем, в этот раз спасибо - всегда приятно, когда кто-то утруждает себя собрать хоть какую-то статистику, да ещё и чо-то там высчитать-посчитать...
 
ХА Ха Ха
Статья ни очем оценка проведена абсолютно безграмотно....хотя человека не знакомого с математикой это впечатляет

Оценка такому человеку хорошо софт продавать под создание безопасности..........или решения по информационной безопасности.

К примеру представим идеальную систему безопасности на основе Windows......
групповая политика в режиме параноик (интересно кто нить работает в таком режиме).
Пользователи не используют USB. (ГГГГГГГ)
Сеть на оптоволокне. (кстати на данные момент самая защищенная сети и разрешенная к построению в учереждения МО).
Запрещенный локальный вход на компьютеры. (НУ ну а как же ноутбуки пользователей в командировках).
Прохождение почты по два часа до адреса по схеме сервер-глаза сотрудника службы безопасности-сервер(такая система реализована в Лукойле)
Пароли в 12 символов для бухгалтерии (АГА Зарплату админ получит в следующем тысятелетии)

Дальше будет страдать параноей и строит и наворачивать систему.
А если так то с увереность на 100 процентов готов сказать 100% рабочего времени компьютер работает в опасном для взлома режиме.
Не плох анализ. Ах да забыл привести результаты исследования но это тема может развиватьсяю Возьмите иследования рынков потерь по уносу информации на УСБ носителях
 
Прежде всего, спасибо за дискуссию.
Господа, еще раз, не нужно "валить все в кучу". Автор никокго не хотел удивлять, новости все известны. Задача была - дать хоть какую-либо количественную оценку происходящему. Все знают, что все плохо, а вот, насколько? Вторая задача, это акцент на вопросах сертификации - "насквозь дырявая" система сертифицирует по некому набору требований
к функциям (это мировая практика сертификации). Так же не должно быть - ведь реальная безопасность отсутствует!
Еще раз, по формулам. Не сложно убедить, что при расчетах наиболее случайного события следует использовать пуассоновский поток, можно ввести параметр "Коэффициент готовности" - все это классика теории массового обслуживания и теории надежности. Достаточно иметь высшее техническое образование, чтобы разбираться в этих формулах. Можно существенно усложнить формулу (это достаточно просто), но картина не изменится. Инженерный подход к исследованию - это на простейших формулах показать тенденции. Автор им и воспользовался.
С USB носителями бороться очень просто, в частности наше средство защиты (не называю, а то обвините в рекламе продукта) все эти задачи решает. В нашей системе существуют эффективные решения и по защите от сетевых атак, и от вирусов, и от троянов, и от шпионов, и т.д.. Но это "другая история". Возможно, мне удастся опубликовать статьи на эти темы на данном сайте (если администрация сайта предоставит мне подобную возможность). Еще раз, данная статья о другом, она имеет совершенно определенные цели, которые автор сформулировал выше.
 
Цитата
Но, настораживает то, какой процент отечественных компаний и организаций на сегодняшний день (это мы видим из результатов исследования, представленных на рис.3), не задумываются на тему серьезности существующих проблем в области ИТ-безопасности, не видят назревшей необходимости квалифицированного решения задач защиты информации.

Ну сколько можно твердить, что абсолютные цифры ничего не говорят. Более того, говорят о квалификации "аналитиков" и исследователей.

С каких пор сумма затрат на безопасность говорит о квалифицированности решения/нерешения задач ИБ? Сумма затрат говорит только о сумме затрат! На что они потрачены? В каком соотношении? Где качественная (а не количественная) оценка данных цифр.

Второе. Когда руководитель ИБ требует увеличения бюджета своего отдела исходя из "общепринятого" (кем?) мнения, что на ИБ должно тратиться от 5 до 20% от ИТ-бюджета - я могу это понять. Ну как еще обосновать выделение денег?! Но когда эта же ни кем и ничем необоснованная цифра приводится в "аналитическом" материале... Бюджет на ИБ зависит только от решаемых задач и ни от чего больше. Он может быть и больше 5% и меньше 1%. К тому же, как выделить бюджет на ИБ от бюджета на сетевую инфраструктуру, системные и бизнес-приложения и их администрирование? Это цифра очень спорна и обычно приводится, когда все остальные доводы исчерпаны.
Luka
 
Ну сколько можно твердить, что статья о другом.
То-то Вы не знаете (посмотрите на обсуждение Вашего материала, недавно опубликованного на этом же сайте), как и каким образом, подчас, у нас решаются вопросы ИБ - не редко главное, это не защита информации, а решение формальных вопросов легализации ее обработки. Тогда о каких процентах вообще идет речь. Вы еще поставьте вопрос о том, на решение каких задач иногда затрачиваются достаточно большие деньги, выделяемые на ИБ, и как это связано с решением задач повышения реальной безопасности. Чего стоят все эти концепции, политики, стратегии и т.д. (наверное, как и я, Вы много прочли подобных документов, оценили их "уровень"). Давайте поговорим о квалификации администраторов безопасности, которым непонятны многие технические проблемы и сложно справиться с профессиональными средствами защиты - отсюда наполнение рынка простейшими решениями, которые мало, что реально дают, но иллюзию защиты создают, и администратор "на коне", и т.д. и т.п. Попытаемся ответить на вопрос, почему  некоторые "крепко стоящие на ногах" отечественные компании не очень-то заинтересованы в создании профессиональных средств защиты (Вы об этом писали в своих материалах, если я правильно понял), анализ подобных средств приводит к непониманию потребителем, как еще решать задачи ИБ, если не формально. О каких процентах речь? Можно поговорить о различных аспектах. Болезнено актуальных тем и проблем в ИБ сегодня скопилось очень много,
но данный-то материал о другом!
 
Полностью соглашусь с Алексеем.
Более того - автор абсолютно не учитывает основополагающие для оценки ИБ вещи -
риски и их веса, компенсирующие контроли и соотношение с реальными инцидентами.
Это не говоря уже о практически невысчитываемых факторах лояльности...

Кстати - приведенный отчет E&Y является сам по себе крайне спорным даже в среде
специалистов большой четверки, т.к. их методы оценки на данный момент излишне
механистичны и практически никогда не сопровождаются хотя бы референсными penetration
tests.

Единственной на сегодня более-менее обьективной оценкой (да и то скорее сравнительной чем количественной) являются сводные отчеты аудиторов.
Вот по ним и более-менее судить можно как изменилась реальная защищенность ИТ
в сравнении с предыдущими годами.
 
"Веса", "ранги" и прочее, как известно, это способы подмены одной неопределенности, другой.Сколько-нибудь объективной оценки, кроме, как определямой аксиомой Паретто, в теории многокритериальной оптимизации не существует, но и она на практике бесполезна. Могу пообсуждать эту тему (в свое время, исследованием операций я занимался достаточно "плотно", опубликовал более 40 работ, из которых более половины в академических журналах).
Но опять же, в статье речь о другом. Ведь не исследуется какой-либо конкретный объект информатизации, где уместно говорить о рисках, о затратах и т.д. Вводится два понятия - интенсивность обнаружения уязвимостей (можно, если очень хочется, ввести "веса", хотя достаточно рассматривать только критические, связанные с возможностью получения доступа к системным ресурсам, таких достаточно), и интенсивность их исправления разработчиком. Этого достаточно, чтобы сделать вывод о безопасности системного средства, как такового. Конечно, в различных приложениях, эти уязвимости будут использовать различным образом, или вообще не будут. Но существа-то это не изменит. Если Ваш домашний компьютер не атакуют, то это не значит, что он защищен (вот здесь можно поговрить о рисках, весах и т.д., сделать вывод о том, что нет необходимости его защищать, либо достаточно антивируса). Но это уже конкретный объект со своими рисками, весами и т.д. и т.п.
 
Цитата
Инженерный подход к исследованию - это на простейших формулах показать тенденции.
вот эту фразу "ПОКАЗАТЬ ТЕНДЕНЦИИ" надо было бы написать перед тем, как начинать какие-то качественные оценки. ибо приведенный анализ все-таки не катит для реальной ситуации. у нас же система все-таки патчится. так что нашу кривую с одной стороны будет опускать вниз вероятность взлома, а с другой резко дергать вверх выпуск патчей. высота пиков будет зависеть от колличества открытых дыр в единицу времени. чем их больше, тем ниже пик.
так что приведенные соображения верны исключительно в краткосрочной перспекриве или в случае экстраполяции на как минимум несколько десятков постоянно открытых КРИТИЧЕСКИХ незакрываемых до выхода патча дыр.
ибо если более сеоьезно подходить к качественному показу вероятности отказа системы защиты, то там, как мне с ходу видится, будет вовсе не плавная кривая, а "пила", у которой крутизна нижней касательной - функция, зависящая от колличества открытых дыр в единицу времени и времени между обнаружением дыры и ее заплаткой.
более того. наше пуассоновское распределение - это только верхняя граница. у нас же ошибки не миллионами сыпятся, что бы мы могли их экстраполировать на непрерывное множество. для реальной ситуации мы имеем разряженное множество событий. и верхняя оценка, даваемая экстраполяцией, мягко говоря, не совсем верна.
в реальности вероятность отказа системы это примерно как игра в лотерею, когда колличество билетов меняется с течением времени (вероятность взлома), и билеты, старше N месяцев (периодичность выхода патчей) из лотереи выбывают, даже если один из них был выигрышный. колличество выигрышных билетов = колличеству известных дыр (т.е. постоянно в выпускаемых билетах появляется один выигрышный).
примерно так...
З.Ы.
пусть автор не примет это как наезд, просто все это из-за того, в статье четко не прописано что и откуда берется и почему именно такие результаты появляются.

так же пожелания к автору на будущее:
-- давать ссылки на литературу, по возможности онлайновую, где можно почерпнуть идеи, которыми он руководствовался или самому давать обоснования для применимости того или иного математического аппарата для данного случая.
-- все-таки объяснять, что он имелл ввиду под иероглифами формул и подписывать графики
 
Цитата
Сергей пишет:
так что нашу кривую с одной стороны будет опускать вниз вероятность взлома, а с другой резко дергать вверх выпуск патчей. высота пиков будет зависеть от колличества открытых дыр в единицу времени. чем их больше, тем ниже пик.

Уважаемый Сергей, какие пики, но это же аппарат теории массового обслуживания, работающий со средними величинами - это одно из направлений теории веростностей.
Давайте "на пальцах". Пусть 2 месяца из 12 в системе существует незакрытая уязвимость. Какова средняя вероятность того, что в любой момент обращения за год система уязвима 2/12 (т.к. в течение двух месяцев вероятность уязвимости системы равна 1, в течении 10 равна 0), а защищена: 1 - 2/12. Вот о чем речь, мы работаем со средними величинами - получаем средний результат за исследуемый период. Потоки же и распределения позволяют как раз учитывать, как распределяются данные события за отчетный период (пуассоноский поток описывает наиболее случайные события, что наиболее характерно для обнаружения уязвимостей, Эрланга - более регулярные, поэтому, например, используются для расчетов нагрузки в телефонии и т.д.), пуассоновский поток позволяет складывать интенсивности событий и т.д. Это уже вопросы корректности модели.
Наезды здесь ни при чем. Но не могу же я все это расписывать в популярной статье, усложнять расчетные модели, в противном случае, она превратится в статью, которую опубликуют только в специализированных журналах, и автор рискует, что читатель за формулами не увидит основного смысла (просто бросит читать).
Относительно пожеланий, спасибо, принимаются. В порядке замечания отмечу, что ссылка на использование простейших формул аппарата теории массового обслуживания, в статье присутствует.
 
Цитата
Давайте "на пальцах"
да я допер что имелось ввиду
я пытался донести (возможно сумбурно), что этот "средний" результат хорош когда у нас ошибки и месяцы исчисляются большими числами.
как только числа становяться малыми, представленные вещи не следует воспринимать серьезно -- исключительно как предельные случаи - не более того.
З.Ы.
просто я когда-то давным давно похожее исследование проводил. там были не компы с дырками и патчами, а немножко другая задача. но модель задачи - один к одному.
 
Еще раз, это модель простейшая, естественно, грубая.
Но с ее использованием сделать вывод, что мы работаем на полностью незащищенных системах, можно. Она дает, пусть с погрешностью, количественное понимание, и качественный вывод о том, насколько все критично.
А ведь, кто-то уверяет, что средств защиты ОС достаточно, не требуется никаких добавочных средств защиты, например, при обработке конфиденциальной информации, вот один из вопросов статьи, над которым стоило бы задуматься.
 
Аналитика наступает только после произошедших инцендентов.....
Поверьте моему опыту работы в ИТ........
Закрытие аськи наступает не потому что она опасна в качестве незащищенной системы....а только после того как будут показаны логи от пользователей компании.


Приведу старый прикол СекЛаба:
Админ закрыл аську скачивание МР3 просмотрь видео роликов....НЕВОЗМОЖНО работать что делать.
Обычно в службе безопасности необходимо сталкиваться именно с такими задачами.
Проводить аналитику системы безопасности довольно субьективно.

К примеру возможно построение ситемвы безопасности двумя путями.
1 Все то что не запрещенно, разрешенно.......
2 Все что не разрешенно, запрещенно.

Перрвый путь сложнее при внедрении и более контролируемый при эксплуатации
Второй путь менее сложен при внедрении и менне контролируемый при эксплуатации
 
Цитата
А Щеглов пишет:
О каких процентах речь? Можно поговорить о различных аспектах. Болезнено актуальных тем и проблем в ИБ сегодня скопилось очень много,
но данный-то материал о другом!

У вас в резюме говорится про проценты. Если статья вообще не об этом, то зачем вообще приводить эти проценты.

Цитата
А Щеглов пишет:
Давайте поговорим о квалификации администраторов безопасности, которым непонятны многие технические проблемы

Давайте. Только боюсь администраторам будут непонятны и приведенные в статьи формулы ;-(
Luka
Страницы: 1 2 След.
Читают тему