Цитата |
---|
Гость пишет: А эти самые тинамические штуки создаются на основе чего? |
На основании состояния защищенности клиента.
Luka
17.10.2005 12:44:27
На словах красиво, на практике - зачастую все не так. Почему? Вступать в полемику не буду. У вас есть на все это время - отлично.
А я говорил про карантин от MS? Я говорил вообще о карантине, как методе. Карантин и у Cisco есть.
В статье есть замечательные буквы "и т.п."
У кого как
И что? Я про это и писал, про интеграцию сканеров с анализом рисков и про подготовку информации целенаправленно под конкретного клиента.
И что снова? Я что ограничил инвентаризацию контрлем только версии ОС?
Про это тоже было написано - интеграция сканера с МСЭ и т.п.
Luka
|
|||||||||||||||
|
17.10.2005 12:37:01
Ну тогда остается ставить все автоматом без проверки или отдать на аутсорсинг.
И кто против? Я же про это и писал, что интеграция - один из вариантов развития событий.
Luka
|
|||||
|
17.10.2005 12:34:56
Я еще раз повторюсь. Если они лезут к НАМ, то они должны соответствовать моим требованиям. Иначе доступ им будет блокирован. Со своим уставом в чужой монастырь не лезут, соблюдают принятый. Вы же не качаете права, что вам личный досмотр устраивает в аэропорту. Здесь тоже самое. Не согласен - свободен или получаешь минимальные привилегии.
Почему куча? Одна для всех.
А кто говорит, что он не нужен?
А я никого не тяну за собой. Использовать, не использовать - дело сугубодобровольное.
Luka
|
|||||||||
|
16.10.2005 12:40:20
Не выкинул, просто большинство средств защиты эту теорию не учитывают, т.к. вынуждены бороться с тем, что есть в сети. И сканеру все равно насколько надежна система, если она все равно используется заказчиком.
Я так не считаю Я считаю, что любую дыру можно заткнуть - постоянно или на время, с помощью патча или временных ACL, отключением, в конце концов, уязвимого узла от сети. Все зависит от конкретной ситуации.
Совет хорош, но не применим на практике. Люди используют удобный и красивые решение, а не самые надежные, которыми из-за этой самой надежности невозможно нормально пользоваться.
О чем в статье также упомянуто и назван класс средств, решающих эту задачу, - host-based security scanners.
Luka
|
|||||||||
|
16.10.2005 12:33:17
Интересный поворот Использование сканера, как инструмент последущего взлома системы я даже не рассматривал И уж тем более хорошего коммерческого будущего у данных средств я не виже :funny:
Luka
|
|||
|
16.10.2005 12:30:28
Будет, она меня волнует, т.к. я сейчас ремонт как раз делаю Поэтому я либо лично, либо с помошью доверенного прораба буду контролировать процесс ремонта/создания крыши. Но когда я живу в доме, состояние которого я не мог контролировать на процессе строительства, я приглашу технадзор и они мне оценят состояние моей крыши. Если вероятность ее сноса будет нулевой в обозримом будущем, то я рыпаться не буду. Если высокой, то я просто сменю место жительства, параллельно попробуя стрясти со строителей (в ПО это невозможно). А если риск невысокий, но есть, я задумаюсь о смене крыше (но не сразу) с одновременным страхованием своей жизни
Luka
|
|||
|
16.10.2005 12:26:12
А она не вышла. В статье четко говорится о классе решений, называемых vulnerability management, к которым относятся и классические сканеры. Но на них список не заканчивается. Threat Intelligence - это один из элементов этого процесса. Я еще лет 7-8 назад о нем писал. Когда у вас нет денег на приобретение сканера или сканер не поддерживает ваш софт, то у вас остается только один вариант - вручную устранять дыры, но для этого вы должны знать о них. А penetration testing - это не софт и не решение, это услуга, которая, кстати, далеко не всегда выполняется с помощью сканеров безопасности. Тут важна именно квалификация тестеров. Если бы я начал анализировать еще и услуги, то мне пришлось бы много чего сюда еще добавить. Те же услуги по аудиту (обследованию), обучению, аутсорсингу и т.п.
Luka
|
|||
|
16.10.2005 12:21:28
Это же обзор. Я не собирался расписывать все тонкости применения описанных технологий. Разумеется, в этой связке должно быть тестирования (я об это писал года 3-4 назад в статье про управление патчами). Но на практике ситуация немного отличается от описанной тобой. Сканер обнаруживает уязвимость не сразу, как она появилась, а только после того, как информацию о ней поместили в сканер. А помещают ее в большинстве случаев только после того, как разработан патч (если не брать private exploit). Следовательно сам патч у тебя уже есть. Дальше, сканируешь ты не в момент появления дыры, а через какое-то время (например, о дыре стало известно в понедельник днем, а у тебя сканер должен быть запущен в пятницу). Значит у тебя есть время на тестирование патча и процесс этот не связан со сканированием - он самостоятелен. И вот мы подходим к моменту запуска сканера. Он обнаружил дыру и что? Патч у тебя уже есть. Время на его тестирование у тебя было. Осталось только установить его, что связка "сканер-система управления патчами" и делает.
Luka
|
|||
|
16.10.2005 12:11:16
Максимализм в безопасности тоже к добру не ведет. Поставив во главу угла обязательную установку ВСЕХ патчей и СРАЗУ, вы нарушаете нормальное ведение бизнеса. Пользователь будет вынужден тратить очень много времени на то, чтобы поставить все патчи, даже и не нужные в данный момент. Для администратора - это нормально, для человека бизнеса - это непозволительная роскошь. Вот установлена у меня на компе система управления патчами, т.к. когда она мне говорит "хочу поставить патч", я ей в ответ "подожди, я сейчас важным делом занят, потом поставишь". И с точки зрения бизнеса это нормально - безопасность, к сожалению, всего лишь ПОМОГАЕТ вести бизнес, т.е. находится на втором (и хорошо если на втором) месте после зарабатывания денег.
Luka
|
|||
|
16.10.2005 12:05:10
Не надо воспринимать все столь буквально. Речь только об одном. Не все дыры надо устранять сразу же. Т.к. они могут не нести с собой большую угрозу. Ситуация изменилась? Ну так и опасность дыры возросла и мы ее устраняем. Все предельно просто. А чтобы про дыру не забыть и существуют автоматизированные системы анализа защищенности, которые сканируют все, не взирая на память администратора. Опять же нужна интеграция, о которой я написал. Интегрировали систему анализа рисков и обычный сканер - вот и решение. Один модуль контролирует важность дыры, а второй ее обнаружение.
Luka
|
|||
|
16.10.2005 12:01:50
Почему нет? Зачем они получают доступ к нам? Не просто так, а для решения своих бизнес-задач. Это нужно ИМ, а не только нам. Следовательно, чтобы получить то, что нужно ИМ, пусть выполнят некоторые требования. При попытке доступа их сканируют и проверяют. Соответствуют? Отлично. Прошу в сеть. Не соответствуют? Два варианта развития события. Первый - не пускать совсем. Можно, но неправильно. Второй - направить в карантин, где установить им на узел отсутствующие патчи и т.п. Ведь вы когда летите на самолете вынуждены пройти паспортный контроль и сканирование через рамку и личный досмотр. Хотите, нет, но вынуждены. Здесь все тоже самое.
Путем анализа рисков и инвентаризацией системы. Очевидно, что защищать все от всего - не очень эффективно, да и по деньгам дорого. Поэтому сначала вы изучаете все свои ресурсы, приоритезируете их по важности/критичности, а потом уже занимаетесь защитой в соответствии с приоритетом.
Ну многие описанные мной технологии уже реализуются на практике в сетях с тысячами компов.
Как пример, система Citadel.
Вам спасибо. Приятно отвечать на правильно поставленные вопросы, а не думать, чтобы такое ответить автору, просто заявившему "Чушь!" и не развившему свою глубокую мысль
Luka
|
|||||||||||
|
16.10.2005 11:50:35
Что значит много? Если вы проводите эту проверку при каждой попытке доступа в сеть, а именно так работает технология, о которой я упомянул, то это сопоставимо с частотой запуска "классических" сканеров. Хотя могу предположить, что далеко не каждый администратор запускает сканеры против пользовательских компьютеров ежедневно.
Luka
|
|||
|
11.10.2005 23:09:31
Мда... Два дня отсутствия и какая полемика Господа, что все так прицепились к странице сайта S-Terra? Ну а если она давно не обновлялась? Всякое бывает. Вон на главной странице сайта Информзащиты уже 2 года как висит один и тот же опрос и ничего 8)
Почему бы просто не позвонить/написать в С-Терру и прямо не спросить их про производительность. Хотя на странице
Luka
|
|
|
06.10.2005 15:07:44
Что значит универсальные? Речь пока идет только о защите от утечки данных. Если даже эту задачу продукт решает сегментарно (а другие тоже), то НЕ НАДО позиционировать его как нечно уникальное и превосходящее все остальное. Ведь дискуссия началась не из-за того, что S'n'S плох или хорош, а из-за того, как этот продукт преподнесли. На этот сайт не дети ходят, чтобы их можно было на голую рекламу поймать.
Luka
|
|||
|