Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 След.
RSS
[ Закрыто ] Аналитические методы анализа защищённости информационных систем
 
Всем ясно, что кроме функциональности програмного обеспечения в современном мире, в котором то или иное программное обеспечение использует неквалифицированный пользователь с точки зрения сетевой безопасности, большую роль играет, именно, безопасноть конкретной версии программы, без использования специфических средств защиты ввиде самописных залаток, фаерволов с мощнымы анализаторскими способностями, которые стоят немалых денег. Поэтому такой анализ, по конкретным версиям аналагичных программынх продуктов со шкалой оценки в 3 уровня, убобной и понятной обывател, является необходим для нас с вами. Такая оценка очень удобна при первоночальном выборе програмного обеспечения, которое должно удолетворят машым меркам по безопасности.
Michael_X, можно ли узнать по подробне методику оценки. Эта простая количественная оценка "дыр", или с учетом того, насколько большой вред может принести тот или иной тип атаки - простой итказ от обслуживания, или атакка черевата потерей ценной иформации, и многие другие критерии?
Пожелания: хотелось бы что-бы в следующих  статьях уважаемого Michael_X в оценках безопасности учытывалась возможность закрытия "дыр" с помощью сторонних продуктов, и сложность их закрытия. Ну и конечно ответы на все поднятые вопросы в этой дискуссии.
 
Цитата
Kolyamba пишет:

Поэтому такой анализ, по конкретным версиям аналагичных программынх продуктов со шкалой оценки в 3 уровня, убобной и понятной обывател, является необходим для нас с вами.
Вы не в состоянии самостоятельно оценить риски и вам нужен такой анализ?

Цитата
Kolyamba пишет:

Пожелания: хотелось бы что-бы в следующих  статьях уважаемого Michael_X в оценках безопасности учытывалась возможность закрытия "дыр" с помощью сторонних продуктов, и сложность их закрытия.
Вообще-то это уже обсуждалось в форуме.
 
Цитата
Pig killer пишет:
 Вопрос не стоит "ЕСЛИ ВЗЛОМАЮТ", стоит вопрос в оценки РИСКА взлома (считай степени вероятности). А вот как раз дополнительные меры защиты оказывают намного большее влияние, чем статистика ранее обнаруженных уязвимостях.
Т.е. ты хочешь сказать, что вероятность обнаружения дыры с типом High (remote root) никак не отразится на вероятности взлома этой системы :) ?! Именно для оценки вероятностей локальных и удалённых взломов с получением тех или иных привилегий вся шкала багов была разделена по классификациям. Кажется я уловил в чём недопонимание подхода: я рассматриваю продукт как единое целое, без наворотов безопасности со стороны других средств защиты.

2Pig Killer & Kolyamba
Любое программно-техническое средство (в том числе firewall'ы и IDS) имеют свою статистику уязвимостей (бессмысленно спорить о том, что ими в свое время никто не воспользовался), т.е. если информационная система состоит из нескольких продуктов (стандаотная ситуация), то, подчёркиваю,    изначальное состояние системы с точки зрения ИБ будет включать в себя раздельные оценки каждого продукта в определённых пропорциях.
 
Цитата
^rage^ пишет:

Вы не в состоянии самостоятельно оценить риски и вам нужен такой анализ?
Никто не сомневается, что оценить сможет каждый, даже ребёнок будет исходить из каких-то своих соображений :). Другой вопрос как он это сделает, как грамотно у него это получится и на сколько это устроит нас, покажется ли нам достаточным избранный набор критериев и расстановка по ним приоритетов? Я предложил, как вариант, формализовать все эти размышления (в статье я делал на этом акцент неоднократно).
 
В каждом высказывании есть доля истины....

Проблема стоит в том, что истина, как и факт - "штука" непостоянная и применима к каждому конкретному случаю...

2Michael_X
Да, я согласен с тобой по поводу изначальной оценки системы. (Должна включать в себя раздельные оценки каждого продукта в определённых пропорциях для общего представления)

2Pig Killer
Ты наверное не согласишься  с раздельной оценкой. Однако, учти, также как существуют различные типы пользователей, также и уровни знаний/умений различных администраторов различаются... Кто-то может настроить свою систему по максимуму, кто-то нет (или не видит необходимости :-( )

Поэтому и должна существовать система оценок, которую можно подстроить к каждому конкретному случаю: начиная от индивидуального анализа продукта, заканчивая анализом всей полученной системы в целом...
 
Цитата
Michael_X пишет:

Никто не сомневается, что оценить сможет каждый...
Другой вопрос как он это сделает, как грамотно у него это получится и на сколько это устроит нас, покажется ли нам достаточным избранный набор критериев и расстановка по ним приоритетов?

Вот про это я и говорил :-))) Про квалификацию... и про соотношение: уровень угрозы для предприятия и соотв. решение по её уменьшению/устранению...
 
мягко говоря однобокая система оценки
 
2 Michael_X.
А давай попробуем применить твою теорию для выбора операционных систем для сервера.
Зайдем на cve.mitre.org, даже можно пошукать асесовскую базу с поиском (кажись на sans была) и поищем наиболее "подходящую" по твоим критериям систему.
Спорим это будет какой "МакОСьЫкс Сервер" или там даже "Новел".
Не забывай про принцип "Неуловимого Джо".
Кроме того, как безопасник - практик, я тебе скажу что выбор софта - задача бизнеса, и безопасности здесь отводится 3-7%, как и вообще в IT-буджете.
То что ты приводишь, класическая вещи для выбора средств защиты. С этим соглашусь. Почитай Information Security Handbook 4е издание. Или просто погуглюй safeguard selection.
 
Да-с-с-с.....
Человек писал в бреду ....
Автор сам до такой ахинеи дошёл....или помог кто???

:-)
 
Цитата
2 All пишет:
2 Michael_X.
А давай попробуем применить твою теорию для выбора операционных систем для сервера.
Зайдем на cve.mitre.org, даже можно пошукать асесовскую базу с поиском (кажись на sans была) и поищем наиболее "подходящую" по твоим критериям систему.
Спорим это будет какой "МакОСьЫкс Сервер" или там даже "Новел".
Не забывай про принцип "Неуловимого Джо".
Кроме того, как безопасник - практик, я тебе скажу что выбор софта - задача бизнеса, и безопасности здесь отводится 3-7%, как и вообще в IT-буджете.
То что ты приводишь, класическая вещи для выбора средств защиты. С этим соглашусь. Почитай Information Security Handbook 4е издание. Или просто погуглюй safeguard selection.

Цитата
"Аналитические методы анализа..." пишет:

При планировании и развёртывании информационных систем перед специалистами ставится задача создания не просто системы, которая выполняла бы определённые функции, но и накладывается ряд существенных требований, таких как надёжность и сохранность, доверенных системе данных...

...

В этой статье я хочу предложить один из вариантов для аналитической оценки и прогнозирования рисков, связанных с безопасностью информационных систем

2 All
В статье приведен лишь один из вариантов оценки безопасности. Именно с т.з. безопасности. А критерии, как уже говорилось раньше, можно и расширить...
 
D_BuG

А сам-то ты понял, что написал ;-]
 
Цитата
Michael_X пишет:
2Pig killer & Luka
В своей статье при оценке систем я исходил только из одного критерия (я это даже специально оговаривал, чтобы не появлялось недопонимания), а именно - из обеспечения надежности с точки зрения информационной безопасности. Я не спорю ни в коем случае с тем, что помимо критерия информационной безопасности и надёжности существуют и другие немаловажные критерии(например, удобство в использовании).

А я исхожу, что даже с точки зрения ИБ - это бессмысленный способ анализа и тем более выбора. В теории оно может и выглядит нормально, но на практике неприменимо.
Luka
 
Цитата
Michael_X пишет:
Опять попробую не согласиться. Ты никогда не купишь для серьёзной системы ПО, на счету которого 100'ни успешных взломов (а это уже не "ничтожно мало"). Даже понимая, что дырявость можно будет закрыть фаерволом, IDS и т.д., брать на себя риск никто не станет (по крайней мере не захочет, ибо никто никогда не покупает дырявые носки, несмотря на то, что их тут же можно будет зашить, а ведь этот вариант был бы дешевле :) ).
 Посмотри на Windows, Solaris, Linux и т.п. Известны сотни случаев взломов этих систем. И никто не собирается от них отказываться.


Цитата
Michael_X пишет:
Опять же, повторюсь. Если вас взломают и(или) похитят(испортят) важную и конфиденциальную информацию, то вам будет уже глубоко "фиолетово" как быстро производитель выпускает заплатки и есть ли у вашего ПО autoapdate :) . Что касается дополнительных мер защиты, то они (ежели таковые будут иметь место) итак повысят уровень безопасности системы, что не сможет не сказаться на истории жизни системы, что, в свою очередь, отразится в поинтах.

 Если тебя взломали, то это не говорит о защищенности системы. Также как не говорит о ее защищенности и то, что ее не взломали. Взломать можно и при наличии всего ОДНОЙ дыры. А можно не сломать и при наличии сотни дыр.
Luka
 
Цитата
Michael_X пишет:
 Т.е. ты хочешь сказать, что вероятность обнаружения дыры с типом High (remote root) никак не отразится на вероятности взлома этой системы :) ?!

Почему никак? Когда я топаю ногой - это тоже отражается на колебаниях земной поверхности. В твоем случае корреляция такая же (ну почти такая же). Наличие дыры, даже самой высокой степени риска, очень слабо связано с использованием этой дыры для взлома.

К тому же надо учитывать и тот факт, что многие дыры просто неизвестны широкому кругу потребителей и нигде не заявлены. А это тоже надо учитывать. А еще то и то. Параметров становится очень много и твоя методика становится попросту неподъемной в РЕАЛЬНОЙ жизни.
Luka
 
Цитата
Luka пишет:
 Посмотри на Windows, Solaris, Linux и т.п. Известны сотни случаев взломов этих систем. И никто не собирается от них отказываться.

Вообще-то речь в первую очередь шла о ПО, а не о ОС...

Цитата
Luka пишет:
 Если тебя взломали, то это не говорит о защищенности системы. Также как не говорит о ее защищенности и то, что ее не взломали. Взломать можно и при наличии всего ОДНОЙ дыры. А можно не сломать и при наличии сотни дыр.

А в статье есть другой критерий - кол-во версий. Если в первом случае будет только одна версия, а во втором - больше сотни (патчи и пр...) Что тогда на это скажешь?


Цитата
Luka пишет:
Когда я топаю ногой - это тоже отражается на колебаниях земной поверхности. В твоем случае корреляция такая же (ну почти такая же). Наличие дыры, даже самой высокой степени риска, очень слабо связано с использованием этой дыры для взлома.

Интересно, если в продукте есть уязвимость типа HIGH (получение командной строки с правами root/system), то ты можешь сравнить это с своим "топаньем" ;-)
 
Цитата
Luka пишет:
 
Цитата
Michael_X пишет:
2Pig killer & Luka
В своей статье при оценке систем я исходил только из одного критерия (я это даже специально оговаривал, чтобы не появлялось недопонимания), а именно - из обеспечения надежности с точки зрения информационной безопасности. Я не спорю ни в коем случае с тем, что помимо критерия информационной безопасности и надёжности существуют и другие немаловажные критерии(например, удобство в использовании).

А я исхожу, что даже с точки зрения ИБ - это бессмысленный способ анализа и тем более выбора. В теории оно может и выглядит нормально, но на практике неприменимо.

Хорошо. Допустим, ты инженер по защите информации. К тебе приходит директор и говорит, что фирма хочет создать свой электронный магазин и для этого надо поставить Novell (это же круто, там есть встроенный веб-сервер, надёжность и пр...). Согласишься с ним? Нет? Тогда давай критерии по которым ты выберешь ПО в данном случае...
 
Цитата
Dragon_X пишет:


Хорошо. Допустим, ты инженер по защите информации. К тебе приходит директор и говорит, что фирма хочет создать свой электронный магазин и для этого надо поставить Novell (это же круто, там есть встроенный веб-сервер, надёжность и пр...). Согласишься с ним? Нет? Тогда давай критерии по которым ты выберешь ПО в данном случае...
Такого не производет никогда! При выборе любого продукта будет учтено не только твое мнение, а еще менние 10 человек. И твой вклад в решение о выборе продукта, основанный только на данных об уязвимостях в нем, БУДЕТ НИЧТОЖНО МАЛ.
 
Цитата
Dragon_X пишет:
Вообще-то речь в первую очередь шла о ПО, а не о ОС...

Нет, я требую продолжения банкета!
ОС - ЭТО РАЗВЕ НЕ ПО?
Это сферический конь в вакууме?
Давайте выбирать ось!!!
Не нравиться ОСЬ, давай выбирать Web-сервер.
Под приложение на asp.net которое выбрал коммерческий департамент, ибо оно их удовлетворяет.
И?
 
Цитата
Pig Killer пишет:
   
Такого не производет никогда! При выборе любого продукта будет учтено не только твое мнение, а еще менние 10 человек. И твой вклад в решение о выборе продукта, основанный только на данных об уязвимостях в нем, БУДЕТ НИЧТОЖНО МАЛ.  
Не думаю (если мы рассматриваем только сферу ИБ), что кому-то захочеться платить деньги за дырявые носки :), хотя, конечно, если их будет дешевле заштопать, чем покупать нормальные... но это уже абсолютно другой разговор.
Попробую привести другой пример из жизни:
Ты никогда не станешь покупать замок на дверь своей квартиры , если тебя заранее предупредят, что он открывается булавкой... замок, конечно можно отремонтировать; можно, в конце-концов, повесить ещё один (после того как из квартиры всё вынесут)... а можно - изначально купить нормальный замок и стальную дверь :)

ЗЫ
Речь идёт только о сфере ИБ!!!
 
Имхо, это сравнение не совсем корректное.
Квартирный запок специально создан для обеспечения безопасности квартиры - это его основная функция.
И это логично, что замок ак раз таки мы выбираем из соображения безопасности. Те, главным критерием тут является, то насколько его основная функция удовлетворяет нашим нуждам.
В то время, как то ПО, которое описано в статье (FTP, HTTP сервера), имеет совершенно другие назначение, никак не связанное с безопасностью. У них совершенно другие основные функции, и, опять таки, логично, если мы будем выбирать его в главной степени по тому критерию, насколько основные функции того или иного ПО удовлетворяют наши нужды.
А безопасность в этом случае, всего лишь один из атрибутов, который может в той или иной степени повлиять на наш выбор.
Как например для замка это могли бы быть, цвет замка, его размер, вес ключа. Это, тоже, в той или иной немаловажные атрибыта замка, которыми мы тоже руководствуемся при выборе замка, но вседже, выбирая замок, мы смытрим именно на его основную функцию. А на все остальное, если только первое нас удовлетворяет.
Страницы: Пред. 1 2 3 4 След.
Читают тему