Нормальный AntiDDoS не отрубает IP-адрес - он чистит сам трафик, вычленяя вредоносный контент и отправляя его в Black Hole/ А легитимный трафик передается дальше без ограничений.
r00t пишет: Или сначала проверяется код того же самого компилятора той же самой версии, что использует вендор, он сертифицруется, а уже затем проходит аудит кода, код собирается и сравнивается с тем, что предоставляется в бинарном виде?
Ну в данном деле чему-то надо исходно доверять. Т.к. помимо компилятора, есть недоверенная ОС, а под ней еще и недоверенная элементная база. Достаточно смешно компилировать сертифицированную Windows из-под несертифицированной Windows.
Цитата
r00t пишет: Или на самом деле никто толком досконально код не проверяет...
Это ближе к истине. Несколько лет назад на sec.ru была длительная дискуссия на эту тему. Представители сертификационной лаборатории признались, что они проверяют от силы 50-70% всех ветвлений кода. И скорее всего они не имели ввиду операционки, а говорили об обычных СЗИ.
^rage^ пишет: а на чём основывается предположение, что исходники винды не вычищены на предмет закладок? btw, насколько я помню, был случай, когда закладку положили в компилятор. И можете обсмотрется в исходники.
Вообще-то сертификация операционной системы - это не только анализ предоставленных исходных кодов. Это еще и их компиляция и сравнение с тем, что поставляется заказчикам.
И в России есть сертифицированный компилятор. Это так, к слову.
А суть наезда в совершенно ином. Точечные антивирусные вендоры просто боятся выхода MS на рынок безопасности. Так же как нас боятся производители МСЭ. Они говорят примерно следующее - "<вендор такой-то> не занимается безопасностью, а известен своими <рутерами, ОС, СУБД и т.п.>". И никто не задумывается, что эти вендоры занимают на рынке безопасности положение на порядки превосходящее точечных игроков с одиночными решениями. И если раньше антивирусные производители жили спокойно, то сейчас им станет очень туго. MS выпустил OneCare и свой Defender, Cisco выпустила антивирусный модуль для своего оборудования... Точечным игрокам скоро просто не место будет на рынке - их вытеснят. И не потому что они хуже, а потому что у них ресурсов нет на борьбу с гигантами индустрии. Еще Дарвин говорил: "выживает сильнейший". То же применимо и к рынку информационной безопасности.
И вообще, если посмотреть на рынок, то можно заметить, что безопасность становится интегрированной - в сетевое оборудование, ОС, СУБД, приложения. Все серьезные игроки (Cisco, MS, Oracle, SAP...) встраивают безопасность в себя. А раз так, то зачем нужны навесные системы? Через некоторое время они совсем уйдут с рынка. По крайней мере с коммерческого. На рынке гостайны или оборонки они будут и дальше жить, а вот с коммерческого рынка их вытеснят.
Гость пишет: Вы действительно считаете, что тот же mIRC, и ему подобные абсолютно безопасны???
Абсолютно безопасного ничего нет. Даже Антивирус Касперского не является абсолютно безопасным. Любой софт в руках "специалиста" может стать небезопасным. И не дело антивирусной компании вешать ярлыки. Если уж хочется так помочь пользователю, то лучше идти по пути контроля поведения приложений и процессов, а не использовать устаревший сигнатурные метод. Как говорит закон "меры по защите определяет собственник информации" и именно собственник информации определяет какой софт является у него безопасным, а какой нет. Либо внешний консультант, который знает изнутри бизнес собственника и может за него сделать вывод о безопасности/небезопасности софта.
Цитата
Гость пишет: При этом тот же Касперский по умолчанию имеет настройки, которые не позволяют ему трогать riskware - ВООБЩЕ!!! Не нужно - не включайте
А есть у Антивируса Касперского возможность отключать отдельные сигнатуры? Я в бытность свою отказался от этого антивируса именно по этой причине - он не давал мне использовать различные хакерские утилиты, которые я демонстрировал во время своих курсов. Да и Remote Admin, который я использовал для удаленного управления рабочими станциями слушателей, он также блокировал. А т.к. в нем не было функции активации каждой сигнатуры в отдельности, как в любой нормальной системе предотвращения атак, то я эту систему прекратил использовать. Не знаю, как сейчас, сделали эту функцию или нет...
Соответственно информационная безопасность, раз за неё платят, должна приносить деньги.
Автор не очень хорошо знаком с современным бизнесом. Эффективность тех или иных процессов не всегда определяется финансовой прибылью. Существуют и другие показатели и критерии оценки эффективности. Например, соответствие законодательству, улучшение прозрачности и управляемости и т.д.
Цитата
Внедрение ИТ, как правило снижает уровень безопасности информации.
Тоже неверно, хотя такая точка зрения считается общепризнанной. Все от того, что безопасность считается самостоятельной задачей - в отрыве, как от стратегии развития бизнеса, так и от стратегии ИТ-развития. Если понимать безопасность, как один из бизнес-процессов (или можно утрировать - как неотъемлемуюю часть любого ИТ-проекта), то внедрение ИТ никак не связано со снижением уровня безопасности. В нормально организованном процессе это просто невозможно. Ка раз наоборот - безопасность является одной из решаемых задач при внедрении ИТ.
Цитата
Своя информационная безопасность не может приносить прибыль
Тоже неверно. Исходит из очень недалекой, но распространенной, точки зрения на ИТ/ИБ. Достаточно посмотреть на 5-тиуровневую модель зрелости ИТ Gartner, которая идеально проецируется и на безопасность, и сразу все встает на свои места. Самые отсталые компании находятся на нулевом уровне - хаотическое применение ИБ. Большинство компаний перешли на первый уровень - реактивная безопасность ("пока гром не грянет, мужик не перекрестится"). Очень небольшой процент компаний на втором уровне - проактивном. Это как раз тогда, когда безопасность воспринимается, как гигиенический фактор или страховка от будущих бед. А вот на третьем (безопасность, как сервис) или в идеале, четверотом (безопасность - как бизнес-процесс или как add value для бизнеса) вообще никого нет. А все потому, что большинство компаний-производителей сами находятся на втором уровне (недавнее обсуждение статьи Ильи Медведовского это лишний раз доказывает). Они же это пропагандируют среди заказчиков. А раз так, то вполне закономерно такое отношение к ИБ, как описано в статье и материалах многих разработчиков. Собственно это проблема не только российская, но и западная.
janeRKC пишет: восприятие процессов,связанных с ИБ - как природной стихии, с которой ничего нельзя поделать, это всего лишь показатель того, что люди не знают, что с этим делать. Но только не надо говорить, что люди не готовы платить за то, что их научат прогнозировать и управлять своими действиями в зависимости от стихии. Готовы. Проблема то в том, что очень мало кто способен этому научить.
Золотые слова. Согласен на все 100. К сожалению, слишком сильна у многих "специалистов" позиция, что ИБ - это техническая проблема (видимо инженерное образование играет большую роль). Более того, сам заказчик часто воспринимается такими "специалистами" как "идиот", который "сам не знает чего хочет", "требует каких-то обоснований и оценки эффективности" и "не понимает человеческого (технического) языка". В результате имеем то, что имеем.
Tip пишет: А на тему его дара уговорить IBM купить у него DOS мне кто-то рассказывал, про этот дар. Как раз в это время его мама была в совете директоров IBM. :)
Не совсем так. Мэри Гейтс заседала вместе с Джоном Эйкерсом (высокопоставленным сотрудников IBM - одним из инициаторов контракта с MS) в совете директоров общественное организации United Way. И в один момент она просто рассказала Эйкерсу про новое поколение очень перспективных мелких компьютерных фирм, представляющих угрозу крупным гигантам наподобие IBM. А дальше не совсем понятно, либо Мэри Гейтс уговорила Эйкерса, либо просто подтолкнула в направлении, о котором Эйкерс и так думал, но факт есть факт - именно после разговора с Мэри Гейтс, IBM обратила внимание на мелкие фирмы и, в частности, на MS.
vgarry пишет: Цель принимаемых мер по ИБ есть минимизация этих рисков и потенциального ущерба .
Вот именно отсюда и начинается все непонимание. Мы берем неправильную (или точнее однобокую) предпосылку и на ней строим все наши рассуждения. При таком подходе, когда изначально ИБ считается гигиеническим фактором, и все выводы просто приходят к тому же результату. А если взять за гипотезу, что ИБ не только занимается предотвращением ущерба, но и способствует росту бизнеса, то ситуация начинает выглядеть совершенно по иному. И сразу возникают достаточно интересные примеры применения ИБ для снижения издержек (минимум) и роста бизнеса (максимум). Надо просто уйти от традиционного технократичного толкования ИБ.
Цитата
vgarry пишет: Но если безопасность есть – совершенно не факт, что будут услуги и будут новые продажи.
Мне кажется, что этого никто и не утверждал. ИБ всегда вторична по отношению к бизнесу (если не брать ИБ - как способ ведения бизнеса и зарабатывания денег). Но это не значит, что ИБ не может способствовать росту бизнеса или снижению издержек.
vgarry пишет: подтверждается моим более чем 10-ти летним опытом работы в области безопасности
В России!!! Где ИТ только начинают подниматься, а ИБ до сих пор воспринимается многими, как технический способ затыкания дыр. А уж когда даже компании, продвигающие безопасность, начинают говорить о ней, как о "гигиеническом факторе", то чего уж ожидать от заказчиков.
vgarry пишет: По поводу твоего замечания по SOX...зачем ты мне рассказываешь о вещах, не имеющих к нему отношения
А затем, что SOX - не стандарт по безопасности и не может содержать конкретных требований по ее соблюдению. Я говорю только об этом.
Цитата
vgarry пишет: Приведенные тобой примеры некорректны. Хотел бы услышать хотя бы один пример насчет снижения издержек и технологии, которые позволяют не только тратить, но и зарабатывать.
Не надо делать выводы, даже не удосужившись покопаться в теме. Конкретно Tiscali защищает СЕБЯ от DDoS-атак и существенно снижает издержки. И ни к каким сервисам MSS это отношения не имеет. Возьмем другой пример - УкрТелеком. Один из немногих примеров на постсоветском пространстве, когда был подсчитан ущерб от нарушения ИБ - миллион гривен. Или Choice Point. Утечка базы данных сказалась на курсовой стоимости акции, отказе от крупных контрактов и других, уже сложнее измеримых вещах. Вот тебе прямая связь между собственной ИБ и бизнесом.
vgarry пишет: Во-вторых, формат самого SOX не внушает оптимизма для специалистов по ИБ. В нем нет требований к тому, как именно должна быть построена система управления рисками или система управления безопасностью. Там есть только требование о том, что все это должно быть.
Ну начнем с того, что SOX - это не стандарт по безопасности. Также как и трехглавый закон не описывает конкретные требования. Или если быть ближе к теме, рекомендации ЦБ по управлению операционным риском (имеющим прямое отношение к ИБ), прописанные в письме №76-Т от 24 мая 2005 года, также не включают подробный перечень требований по ИБ - для этого есть стандарт ЦБ по ИБ, конкретизирующий те или иные требования. Также как и в пока еще не принятой Концепции Минсвязи по ИБ. Там есть требование защиты оператором определенных категорий информации. А вот детализация этих требований не является задачей концепции. Аналогичная задача и у SOX. Он говорит "Должно быть". А вот как, это уже другой разговор.