Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 След.
RSS
[ Закрыто ] Аналитические методы анализа защищённости информационных систем
 
2Phoenix
Согласен, не совсем удачный пример, но всё же суть я думаю понятна.
По остальным деталям я с тобой абсолютно согласен, но речь то изначально велась только с точки зрения ИБ. Хотя, если безопсность - ерунда, тогда зачем мы тут вообще собрались? :))
 
ИМХО: если при создании ПО не задумывались о безопасности продукта - это плохое ПО.
 
Про что и речь :)
 
Цитата
ТОпец пишет:

Нет, я требую продолжения банкета!
ОС - ЭТО РАЗВЕ НЕ ПО?
Это сферический конь в вакууме?
Давайте выбирать ось!!!
Не нравиться ОСЬ, давай выбирать Web-сервер.
Под приложение на asp.net которое выбрал коммерческий департамент, ибо оно их удовлетворяет.
И?

О каком выборе идёт речь в данном случае??? Ясно что приложения, сделанные с применением технологии ASP.NET буду лучше всего работать под ОС Windows 2k3/IIS 6.0.
Если не согласен, вот тебе критерии:
1) Известно ПО.
2) Известна сумма (ПО под ASP.NET стоит недёшево, не менее 1000$, т.ч. стоимость сервера W2k3 - копейки от суммы)
3) А дальше уже идёт: производительность/стабильность/платформы которые поддерживают... Кол-во багов, защитное ПО ( бесплатный IIS Lockdown и пр.)

В итоге получаем, что W2k3/IIS6.0 вполне подходит в данном случае.

В твоём примере пришлось отталкиваться от конкретной технологии, которую поддерживают не все веб-сервера, соотв. и такой выбор ОСи...
 
Цитата
Phoenix пишет:
В то время, как то ПО, которое описано в статье (FTP, HTTP сервера), имеет совершенно другие назначение, никак не связанное с безопасностью. У них совершенно другие основные функции, и, опять таки, логично, если мы будем выбирать его в главной степени по тому критерию, насколько основные функции того или иного ПО удовлетворяют наши нужды.
А безопасность в этом случае, всего лишь один из атрибутов, который может в той или иной степени повлиять на наш выбор.

Верно. А теперь вспомни название статьи =))
 
Цитата
Pig Killer пишет:
 
Цитата
Dragon_X пишет:


Хорошо. Допустим, ты инженер по защите информации. К тебе приходит директор и говорит, что фирма хочет создать свой электронный магазин и для этого надо поставить Novell (это же круто, там есть встроенный веб-сервер, надёжность и пр...). Согласишься с ним? Нет? Тогда давай критерии по которым ты выберешь ПО в данном случае...
Такого не производет никогда! При выборе любого продукта будет учтено не только твое мнение, а еще менние 10 человек. И твой вклад в решение о выборе продукта, основанный только на данных об уязвимостях в нем, БУДЕТ НИЧТОЖНО МАЛ.  

Так и в статье указано, что "одним из критериев" может являться информация об уязвимости продукта... А уж то, как данная информация повлияет на выбор того или иного продукта, заисит от конкретного случая. Хотя я лично согласен, что в большинстве случаев выбирают функциональное ПО, чаще обновляемое и, зачастую, попадающую под категорию уязвимого...
 
Цитата
Dragon_X пишет:
зачастую, попадающую под категорию уязвимого...

Всё. Пять баллов! Хочу узнать о неуязвимом ПО.
 
Цитата
Dragon_X пишет:
 
1) Известно ПО.
2) Известна сумма (ПО под ASP.NET стоит недёшево, не менее 1000$, т.ч. стоимость сервера W2k3 - копейки от суммы)
3) А дальше уже идёт: производительность/стабильность/платформы которые поддерживают... Кол-во багов, защитное ПО ( бесплатный IIS Lockdown и пр.)

О чем здесь в принципе и толкуют.
Что параметр "количество багов" в принципе не существенен. Он "ни о чем" и ничего не показывает.
Например я не могу отказаться от бажного IE ибо он держит керберос, а остальные гоняют пароли в отрытом виде? Тут ещё вопрос - кто более бажный?
Например мой фтп именивасипупкина в котором багов не нашли (ибо не искали) но хранящий пароли в открытом виде на диске или другой фтп с _запатченных_ багов, но удовлетворяющий меня архитектурно?

>В итоге получаем, что W2k3/IIS6.0
>вполне подходит в данном случае.

А тож. Хотя фреймворк есть и для других платформ. Но разворачивать и поддерживать их там такой гемор, что фиг с ней с защищенностью.

PS. IIS Lockdown на IIS 6.0 не работает, ибо уже выполнен по умолчанию :-)
 
Цитата
Ку-ку пишет:
 
Цитата
Dragon_X пишет:
зачастую, попадающую под категорию уязвимого...

Всё. Пять баллов! Хочу узнать о неуязвимом ПО.

А почему не по 10-ти бальной шкале все 10-ть не дать? ;-)

Об этом (о практ. неуязвимом ПО) тебе лучше спросить r00t'a... Что-нибудь про OpenBSD...

В принципе, можешь ^rage'а потревожить....
 
Цитата
Ку-ку пишет:

Что параметр "количество багов" в принципе не существенен. Он "ни о чем" и ничего не показывает.
Например я не могу отказаться от бажного IE ибо он держит керберос, а остальные гоняют пароли в отрытом виде? Тут ещё вопрос - кто более бажный?

В принципе да. Но можно же ввести и другие параметры =) И об этом тоже речь идёт...
 
Цитата
Luka пишет:

 Если тебя взломали, то это не говорит о защищенности системы.
это говорит лишь о том, что твоя квалификация ниже квалификации взломщика =)
(вообщем, пора учиться =)))
Цитата
Luka пишет:

А можно не сломать и при наличии сотни дыр.
просто эксплутировать эти дыры на данной машине будет практически невозможно.
 
Цитата
Dragon_X пишет:
 
Цитата
Ку-ку пишет:
 
Цитата
Dragon_X пишет:
зачастую, попадающую под категорию уязвимого...

Всё. Пять баллов! Хочу узнать о неуязвимом ПО.

А почему не по 10-ти бальной шкале все 10-ть не дать? ;-)

Об этом (о практ. неуязвимом ПО) тебе лучше спросить r00t'a... Что-нибудь про OpenBSD...

В принципе, можешь ^rage'а потревожить....
неуязвимого ПО не бывает. Но мы можем средствами ОС создать условия, в которых эксплутация уязвимости будет практически нереальной, либо просто ничего нам не даст.
(например, если занести юзверя в группу, которой запрещены все сокеты, то даже при удачной эксплутации уязвимости при попытке сделать connect или listen ядро пошлёт лесом).
 
Статья сильная, вернее сказать начало достаточно толковое (надеюсь это началои последует продолжение.
Что касается сути, то здесь сколько специалистов, столько и мнений. Далеко ходить не надо, всеми нами уважаемая и любимая Майкрософт провозгласила: секьюрити бай дезайн, бай дефолт, бай деплоймент и бай чего-то там еще... Как мы видим в корне иной принцип, но ведь действенный...

От себя хочеться сказать, что автор достаточно талантлив. Давайте пожелаем автору развить свою мысь и при этом учитывать вполне справедлиывые (уместные) высказывания (критику) на этом форуме!
 
Жирное ИМХО, или попытка найти конструктивное русло.

За статьей просматривается здравое зерно
1) Оценка
2) Критерии оценки
3) Собственно методика анализа

Объясню немного проще. До поры до времени, пока в компаниях и учереждениях не начали вводить сертификацию на ISO 9001 (система обеспечения качества) мало кто вообще стандартизировал методологии _выбора_ чего-либо. Например при покупке чего-либо чаще всего ограничивались ценовым фактором, а как максимум подключали специалиста из той области куда покупают, для оценки технических возможностей покупаемого. Теперь это многофакторная оценка которая включает и ценовые котировки, и качество материалов, и уровень компании поставщика(сертифицированный персонал, количество лет работы на рынке, наличие сервисного центра).

Таким образом именно для системы обеспечения качества IT отдела необходим документ описывающий процесс _выбора_ ПО для установки. Данная статья показывает какие критерии оценки можно выбрать для оценки. Так например, можно добавить критерий скорости реакции (выпуска патча) на уязвимость, уровень возможных превентивных мер для снижения рисков даже при успешной эксплуатации уязвимости и т.д.

Но все это уже на вкус и цвет человека который будет проводит оценку ПО (серверного, локального это уже не суть).
 
Цитата
Dragon_X пишет:

Хорошо. Допустим, ты инженер по защите информации. К тебе приходит директор и говорит, что фирма хочет создать свой электронный магазин и для этого надо поставить Novell (это же круто, там есть встроенный веб-сервер, надёжность и пр...). Согласишься с ним? Нет? Тогда давай критерии по которым ты выберешь ПО в данном случае...

Я с ним не соглашусь, но поделать ничего не смогу, т.к. он директор и он платит мне зарплату. А дистрибутор Novell наверняка его "объяснил", что Novell это круто и все будет ОК.
Luka
 
Цитата
Dragon_X пишет:
 
Вообще-то речь в первую очередь шла о ПО, а не о ОС...

 А есть разница? Давай я приведу пример IE, IIS, Apache и т.д.

Цитата
Dragon_X пишет:

А в статье есть другой критерий - кол-во версий. Если в первом случае будет только одна версия, а во втором - больше сотни (патчи и пр...) Что тогда на это скажешь?

 Ничего. Я тебе еще раз повторю, что наличие дыры не говорит ни о чем. Говорит наличие взломанной дыры. А у тебя это вообще не учтено в формуле.

Цитата
Dragon_X пишет:

Интересно, если в продукте есть уязвимость типа HIGH (получение командной строки с правами root/system), то ты можешь сравнить это с своим "топаньем" ;-)

 Не могу. Потому что топанье - это действие, а дыра - это просто информация. Вот взлом - это тоже действие.
Luka
 
Цитата
Luka пишет:
 
Цитата
Dragon_X пишет:
 
Вообще-то речь в первую очередь шла о ПО, а не о ОС...

 А есть разница? Давай я приведу пример IE, IIS, Apache и т.д.

Без комментариев... Смотри выше.

Цитата
Luka пишет:
Цитата
Dragon_X пишет:

А в статье есть другой критерий - кол-во версий. Если в первом случае будет только одна версия, а во втором - больше сотни (патчи и пр...) Что тогда на это скажешь?

 Ничего. Я тебе еще раз повторю, что наличие дыры не говорит ни о чем. Говорит наличие взломанной дыры. А у тебя это вообще не учтено в формуле.

В формуле учитываются именно РЕАЛЬНЫЕ УЯЗВИМОСТИ. См. в статье. И не моя это статья, вообще-то... а Michael_X'а =)))

Цитата
Luka пишет:
 
Цитата
Dragon_X пишет:

Интересно, если в продукте есть уязвимость типа HIGH (получение командной строки с правами root/system), то ты можешь сравнить это с своим "топаньем" ;-)

 Не могу. Потому что топанье - это действие, а дыра - это просто информация. Вот взлом - это тоже действие.

Ага. А дыра - это информация об успешных взломах =))) Т.е. уже сама констатация факта =)))
 
Цитата
Luka пишет:
 
Цитата
Dragon_X пишет:

Хорошо. Допустим, ты инженер по защите информации. К тебе приходит директор и говорит, что фирма хочет создать свой электронный магазин и для этого надо поставить Novell (это же круто, там есть встроенный веб-сервер, надёжность и пр...). Согласишься с ним? Нет? Тогда давай критерии по которым ты выберешь ПО в данном случае...

Я с ним не соглашусь, но поделать ничего не смогу, т.к. он директор и он платит мне зарплату. А дистрибутор Novell наверняка его "объяснил", что Novell это круто и все будет ОК.

Ок. А на следующий раз о прийдёт и расскажет тебе про то, как это ПО защищать =) Т.к. дистрибутор Novell'а наверняка ему "объяснил" как это делается =))) Ты с ним опять "не согласишься"ь, но поделать ничего не сможешь, т.к. он директор и он платит мне зарплату.  [IMG]http://www.securitylab.ru/forum/smileys/smiley32.gif[/IMG]

А ещё через неделю он прийдёт и скажет, что ты ему не нужен....

Из твоих слов вытекает ещё один, самый важный для тебя, критерий:
1) Выбор конкретного ПО, его защита, осуществлется по указанию рук-ля, который тебе платит зарплату... и даёт указания - в какую фирму "сбегать", на какую клавишу нажать и что вообще делать  [IMG]http://www.securitylab.ru/forum/smileys/smiley32.gif[/IMG]

Вывод: И какой ты, *****н, "инженер по защите информации", если не можешь отстоять своё мнение и держишься только за зарпату (наверное, боишься, что тебя уволят и не сможешь больше никуда устроиться, т.к. уровеня знаний только и хватает, чтобы быть "мальчиком на побегушках" у директора  [IMG]http://www.securitylab.ru/forum/smileys/smiley32.gif[/IMG] )
 
Цитата
Dragon_X пишет:
 
Цитата
Luka пишет:
 
Цитата
Dragon_X пишет:

Хорошо. Допустим, ты инженер по защите информации. К тебе приходит директор и говорит, что фирма хочет создать свой электронный магазин и для этого надо поставить Novell (это же круто, там есть встроенный веб-сервер, надёжность и пр...). Согласишься с ним? Нет? Тогда давай критерии по которым ты выберешь ПО в данном случае...

Я с ним не соглашусь, но поделать ничего не смогу, т.к. он директор и он платит мне зарплату. А дистрибутор Novell наверняка его "объяснил", что Novell это круто и все будет ОК.

Ок. А на следующий раз о прийдёт и расскажет тебе про то, как это ПО защищать =) Т.к. дистрибутор Novell'а наверняка ему "объяснил" как это делается =))) Ты с ним опять "не согласишься", но поделать ничего не сможешь, т.к. он директор и он платит мне зарплату.  [IMG]http://www.securitylab.ru/forum/smileys/smiley32.gif[/IMG]

А ещё через неделю он прийдёт и скажет, что ты ему не нужен....

Из твоих слов вытекает ещё один, самый важный для тебя, критерий:
1) Выбор конкретного ПО, его защита, осуществлется по указанию рук-ля, который тебе платит зарплату... и даёт указания - в какую фирму "сбегать", на какую клавишу нажать и что вообще делать  [IMG]http://www.securitylab.ru/forum/smileys/smiley32.gif[/IMG]

Вывод: И какой ты, *****н, "инженер по защите информации", если не можешь отстоять своё мнение и держишься только за зарпату (наверное, боишься, что тебя уволят и не сможешь больше никуда устроиться, т.к. уровеня знаний только и хватает, чтобы быть "мальчиком на побегушках" у директора  [IMG]http://www.securitylab.ru/forum/smileys/smiley32.gif[/IMG] )
 
Цитата
Dragon_X пишет:

Ага. А дыра - это информация об успешных взломах =)))
категорически не согласен! ;)
Страницы: Пред. 1 2 3 4 След.
Читают тему