Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 4 След.
RSS
[ Закрыто ] Аналитические методы анализа защищённости информационных систем
 
Обсуждение статьи Аналитические методы анализа защищённости информационных систем
 
Что-то я не пойму методики тестирования. Точто Serv-U имеет больше версий мне кажется не значит, что он хуже. Веть не тот не другой продукт не изменил направленности движиния к уменьшению степени уязвимостей. И тот и другой зафиксировался на  степени High что впринципе дает, однаковый процент вероятности, что он будет взломан. Другой вопрос в общем кол-ве фактических взломов систем...Хотя все ИМХО
 
статья лоховская,... качественный анализ уязвимостей очень поверхностный...всего 3 категории, а причем тут кол-во версий я вообще не догнал... просто одна прога чаще обновляется и все, это не значит что она менее или более безопасна...
ИМХО бред полный
 
татья довольно своеобразная на мой взгляд. Встречаются и интересные места, что-то лучше бы изменить.

Настораживает не слишом большой объем. В целом, хотелось бы пожилать автору удачи на конкурсе.
 
а по моему сильно...
 
Попытка не пытка! Пускай пробует. Знать бы где месторождение философского камня... Где-то под серваком наверное.

--
Чем дальше в лес...
 
2ANTIVIR
Именно для этого и было введено соотношение количества уязвимостей к "жизненному пути". Чем больше версий, тем больше вероятность, что в них будут найдены уязвимости.

2hr0nix
Ставка делалась на описание самой идеи, а не всех вариантов её применения (хотя здесь я может и прогадал - исправлюсь в будущем :) ).
 
Вставлю и я свои 5 копеек.

Во-первых, наличие дыры в софте ВООБЩЕ не говорит ни о чем. А точнее о потенциальной уязвимости софта. Важно - сколько из этих дыр реально имеются в ВАШЕЙ сети. Вы можете юзать потенциально дырявый MS, но закрыть его так, что он станет неприступнее никсов.

И, во-вторых. К сожалению, софт очень часто выбирается по политическим мотивам (лобби и т.п.). И дырявость при таком выборе играет самую последнюю роль (если вообще играет).
Luka
 
Полностью согласен с ЛУКОЙ. Вот если бы в статье было бы сказано, как дырявость софта влияет на оценку риска всей системы в целом, это было бы круто.

А оценка предпочтения выбора того или иного продукта используя ТОЛЬКО данные по его уязвимостям совершенно не применима. Существует более предпочтительные понятие как функциональность программы, дополнительные механизмы защиты и т.п. Та же настройка типа SecureIIS делает IIS Web сервер неузявимым практически ко всем существующим атакам, сколько бы дыр в нем не находили.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Pig killer пишет:

А оценка предпочтения выбора того или иного продукта используя ТОЛЬКО данные по его уязвимостям совершенно не применима. Существует более предпочтительные понятие как функциональность программы, дополнительные механизмы защиты и т.п. Та же настройка типа SecureIIS делает IIS Web сервер неузявимым практически ко всем существующим атакам, сколько бы дыр в нем не находили.

В статье сказано, что данную классификацию можно расширить.... Другое дело, что не ясно - насколько...

Вопрос стоит так: можно ли вообще создать вполне ограниченный набор критериев по которым можно с заданной степенью достоверности судить о "надёжности" продукта?
 
2Pig killer & Luka
В своей статье при оценке систем я исходил только из одного критерия (я это даже специально оговаривал, чтобы не появлялось недопонимания), а именно - из обеспечения надежности с точки зрения информационной безопасности. Я не спорю ни в коем случае с тем, что помимо критерия информационной безопасности и надёжности существуют и другие немаловажные критерии(например, удобство в использовании).

2Dragon_X
Я, ещё раз повторюсь, приводил этот критерий, как оценку надёжности систем с точки зрения информационной безопасности и только лишь... А расширить можно ровно на столько, на сколько это будет необходимо, т.е. взять только те критерии, к которым планируемое использование системы будет критично.
 
2Michael_X
Я и не спорил, что список критериев можно расширить :-)

Вопрос касался другого: Трудновато будет сформировать универсальный список критериев (который подходил бы для большинства систем)... А для конкретного случая, это может и не составлять труда. Вопрос снят.
 
2Dragon_X: мои поздравления ;)
Увидел в статье ранее высказанную мной идею о присвоении численного "веса" каждой уязвимости(только тут довольно урезанный вариант =)).
По поводу функциональности: ту же самую систему численных "весов" можно применить и к ней(а лучше, объеденить с оценкой рисков). Т.е. сначала пишем требования, которые предъявляем к сервису, после чего оцениваем =).
Кстати, не хватает ещё одного параметра: коэффициента, учитывающего сложность эксплуатации уязвимости на данной машине.
ЗЫ: А название статьи, имхо, "масло масленное". =)
 
2Dragon_X
Попробую не соглапситься с тобой. Эта проблема решается описанием в системе большинства известных критериев, а уж конкретный пользователь любо включает, либо выключает их
из рассмотрения.

2^rage^
Согласен. Я похожим образом представляю себе эту систему оценки. А что касается высказанной тобой идеи, то мне приятно осознавать, что ты её со мной разделяешь... :)
По поводу того, что данный вариант является урезанным - я изначально хотел только описать саму идею оценки, а дальше уже по мере необходимости вдаваться в подробности.
 
Michael_X, если честно, твоя работа как раз подходит для securitylab.ru, но не подходит для всеросийской научной конференции "информационная безопасность региона".
[:)]
 
Цитата
Michael_X пишет:
2Pig killer & Luka
В своей статье при оценке систем я исходил только из одного критерия (я это даже специально оговаривал, чтобы не появлялось недопонимания), а именно - из обеспечения надежности с точки зрения информационной безопасности. Я не спорю ни в коем случае с тем, что помимо критерия информационной безопасности и надёжности существуют и другие немаловажные критерии(например, удобство в использовании).
.
Мне не совершенно понятно как практически можно использовать этот критерий. Его одного совершенно недостаточно при выборе ПО, а если рассматривать другие критерии, то вклад этого будет ничтожно мал.

Даже с точки зрения ИБ оценка основанная только на данных уязвимости неполная. Необходимо учитывать быстроту реагирования производителя на обнаруженную уязвимость (например учитывать количество уязвимостей которые не были устранены до публичного раскрытия данных по этой уязвимости), наличие автоматического обновления программного продукта, наличие встроенных дополнительных мер защиты. Также стоит учесть что многие приведенные уязвимости не работают по умолчанию, т.е. большинство инсталяций просто не уязвимы.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Pig killer пишет:
   
Мне не совершенно понятно как практически можно использовать этот критерий. Его одного совершенно недостаточно при выборе ПО, а если рассматривать другие критерии, то вклад этого будет ничтожно мал.
Опять попробую не согласиться. Ты никогда не купишь для серьёзной системы ПО, на счету которого 100'ни успешных взломов (а это уже не "ничтожно мало"). Даже понимая, что дырявость можно будет закрыть фаерволом, IDS и т.д., брать на себя риск никто не станет (по крайней мере не захочет, ибо никто никогда не покупает дырявые носки, несмотря на то, что их тут же можно будет зашить, а ведь этот вариант был бы дешевле :) ).

Цитата
Pig killer пишет:

Даже с точки зрения ИБ оценка основанная только на данных уязвимости неполная. Необходимо учитывать быстроту реагирования производителя на обнаруженную уязвимость (например учитывать количество уязвимостей которые не были устранены до публичного раскрытия данных по этой уязвимости), наличие автоматического обновления программного продукта, наличие встроенных дополнительных мер защиты.
Опять же, повторюсь. Если вас взломают и(или) похитят(испортят) важную и конфиденциальную информацию, то вам будет уже глубоко "фиолетово" как быстро производитель выпускает заплатки и есть ли у вашего ПО autoapdate :) . Что касается дополнительных мер защиты, то они (ежели таковые будут иметь место) итак повысят уровень безопасности системы, что не сможет не сказаться на истории жизни системы, что, в свою очередь, отразится в поинтах.
 
Цитата
Michael_X пишет:

Опять же, повторюсь. Если вас взломают и(или) похитят(испортят) важную и конфиденциальную информацию, то вам будет уже глубоко "фиолетово" как быстро производитель выпускает заплатки и есть ли у вашего ПО autoapdate :) . Что касается дополнительных мер защиты, то они (ежели таковые будут иметь место) итак повысят уровень безопасности системы, что не сможет не сказаться на истории жизни системы, что, в свою очередь, отразится в поинтах.
Вопрос не стоит "ЕСЛИ ВЗЛОМАЮТ", стоит вопрос в оценки РИСКА взлома (считай степени вероятности). А вот как раз дополнительные меры защиты оказывают намного большее влияние, чем статистика ранее обнаруженных уязвимостях.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Michael_X пишет:

Опять попробую не согласиться. Ты никогда не купишь для серьёзной системы ПО, на счету которого 100'ни успешных взломов (а это уже не "ничтожно мало"). Даже понимая, что дырявость можно будет закрыть фаерволом, IDS и т.д., брать на себя риск никто не станет (по крайней мере не захочет, ибо никто никогда не покупает дырявые носки, несмотря на то, что их тут же можно будет зашить, а ведь этот вариант был бы дешевле :) ).
Ну не прав ты и тут. Причем тут "взломы"? В твоей статьи идет речь про Уязвимости, а эта величина слабо корелируемая со взломами. И как раз степень этой кореляции и зависит от дополнительных мер защиты.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Pig killer пишет:

Ну не прав ты и тут. Причем тут "взломы"? В твоей статьи идет речь про Уязвимости, а эта величина слабо корелируемая со взломами. И как раз степень этой кореляции и зависит от дополнительных мер защиты.
стоп. мы исходя из какого критерия оцениваем степень риска?
Исходя из числа уязвимостей или же из числа успешных взломов?
имхо, если и то, и то - надо разбивать тогда на 2 этапа.
Страницы: 1 2 3 4 След.
Читают тему (гостей: 1)