31.03.2008

Парадокс безопасности

Представим себе классическую ситуацию. Есть производитель систем защиты, который не является альтруистом и который свои решения продает, зарабатывая этим себе на хлеб с маслом. Непродаваемые продукты будут сниматься с производства, т.к. бизнес есть бизнес. И есть покупатель, у которого тоже основная задача - бизнес. Иными словами у покупателя и продавца схожие цели - заработать. Логично предположить, что обе стороны будут инвестировать только в те проекты, которые будут нести некую пользу с точки зрения бизнеса. И обычно для оценки позитивного результата применяются вполне конкретные финансовые методики - NPV, IRR, PbP, ROI, TCO и т.д.

Теперь начинается парадокс. Продавая систему защиту ее производитель отказывается от бизнес-языка (оценки позитивного влияния продаваемой системы защиты) и начинает оперировать техническими терминами - AES, ACL, PKI, IPS и другие трехбуквенные аббревиатуры. Покупатель в лице CISO тоже, в массе своей, ориентируется на технические характеристики.

А все почему? Потому что, есть существенный разрыв между основными подразделениями
и безопасностью. Они изначально говорят на разных языках и не пытаются придти к взаимопонимаю. Каждый валит всю вину на другую сторону ;-(

Жизненный цикл по ИБ

Интересная ситуация сегодня возникла на круглом столе по безопасности. Возник вопрос "каков жизненный цикл системы защиты и сколько он длится?" Казалось бы вопрос тривиальный, ан нет. Ответы на него ярко показали три совершенно разных точки зрения на эту тему. Итак, ответ первый, прозвучал из уст представителя Microsoft. Жизненный цикл системы защиты определяется сроком ее актуальности и нестарения. Как только она устаревает и появляется новая версия, жизненный цикл заканчивается. Логично, в общем.

Вторая версия была озвучена представителем "Инфотекс" - "жизненный цикл системы защиты определяется сроком действия ее сертификата, т.е. 5 лет". Тоже логчиная позиция. Т.к. без сертификата почти ни одна СЗИ не может существовать, то срок ее жизни определяется сроком действия сертификата.

Третья версия была озвучена мной. "Жизненный цикл СЗИ определяется бухгалтерией заказчика и согласно российским финансовым требованиям составляет 7 лет или 3 года (если используется ускоренная амортизация)". Моя позиция тоже логична.

Кстати, интересное различие в позициях. Две рассматривают цикл с точки зрения производителя, одна - с точки зрения заказчика. Отчасти это действительно так, но в любом случае жизненный цикл все-таки должен зависеть немного от других критериев и, в первую очередь, от потребностей организации и ее задач, а не от каких-либо внешних факторов (хотя их тоже нужно учитывать).

ЗЫ. На Западе такой проблемы, кстати нет ;-)

27.03.2008

Впечатления от Russian CSO Summit

25-го закончился двухдневный первый в России Russian CSO Summit. Что могу сказать про это мероприятие? Оно мне понравилось. За последние годы первая конференция, которая сделала акцент не на продуктах, не на рекламных докладах, а на общении руководителей службы ИБ. Не все, конечно, получилось, как хотелось, но в целом очень пристойно. Респект организаторам. А теперь по пунктам:

1. Как обычно зажег Михаил Емельянников, известный своим критическим взглядом на российское законодательство. В этот раз он рассказывал про тонкости выполнения законов "О персональных данных" и "О коммерческой тайне". Эмоциально, профессионально, по делу... Очень интересно было (хотя для частых слушателей или читателей М.Емельянникова нового было немного).

2. Второй запомнившийся доклад - выступление Касперского. Ну что сказать?.. Эмоционально и живенько, но... То же я слышал и пять лет назад (меняется только фактография) - криминал, мафия, кибер-Интерпол. Запугивать таким образом можно журналистов, но не специалистов, собравшихся на мероприятии. У меня даже сложилось впечатление, что он последнее время только для журналистов и выступает. Неприятный осадок остался после некоторых высказываний Евгения, которые несоответствовали действительности. В частности он заявил что лаборатория Wabi Sabi Labi, торговавшая уязвимостями, давно закрыта, а ее организаторы посажены в тюрьму. А это "не есть факт", как говорилось в "Короне российской империи". Что характерно, на следующий день с утра выступал Эдди Виллемс из Лаборатории Касперского (Бенелюкс). Так вот он рассказывал почти тоже самое, с меньшей эмоциональностью и чуть большей детализаций.

3. Интересной оказалась секция про повышение осведомленности. Юрий Лысенко (РосЕвроБанк) и Денис Андреевский (Вымпелком) поделились своим опытом организации данного процесса. Особенно порадовало выступление Вымпелкома - они продвиулись дальше многих в данной направлении.

4. Очень понравилось выступление Антона Чувакина. Он высказал ряд прогнозов и развенчал несколько мифов в области ИБ. Один из них касался управления рисками. По его словам, некоторые специалисты сейчас сходятся во мнении, что риски и ИБ - вещи несовместимые на сегодняшний день. Несмотря на крамольность этой мысли я с ним согласен - я об этом говорил и писал уже не раз. Если мы не можем посчитать вероятность наступления риска и стоимость ущерба (а так оно и есть), то как можно считать риски непонятно.

5. Так получилось, что после высказывания Антона о профанации риск-менеджмента проводилась секция про него ;-) И там как раз говорили про вычисление рисков. Первым выступал гендиректор Диалог-Науки Виктор Сердюк. А он видимо выступление Антона не слышал ;-) Выступая как по написанному, Виктор оставил двойственное впечатление. Из его выступления родилась бы отличная кандидатская. Но вот как он на практике это все применяет, непонятно... Например, он по традиции наших страховых компаний воспринимает информацию, как материальный (!) актив. Упомянув про то, что риски можно оценивать количественно и качественно, рассказ шел только про последний вариант. Одним из применений управления рисками он назвал обоснование инвестиций. На мой вопрос, как качественная оценка рисков позволяет обосновать финансовые (т.е. количественные) показатели, он так и не смог ответить, сославшись, что все его заказчики не требовали количественной оценки рисков.

6. Последняя интересная дискуссия (на последней секции "Как не быть директору по ИБ уволенным?" я не присутсвовал - улетел в командировку) касалась разработки эффективной стратегии ИБ-безопасности. Но эта тема почти не поднималась - все участники сосредоточились на вопросе "Как оценить эффективность ИБ?". Правда к единому и понятному мнению так и не пришли - каждый с пеной у рта доказывал свою позицию (даже до конфликта чуть дело не дошло). Хотя на мой взгляд тут все просто (относительно, конечно). Есть три уровня измерения эффективности ИБ. Первый - измерение результативности ИБ для самой ИБ. Например, число машин с установленным антивирусом. Второй - измерение оптимальности достижения результата. Например, сколько времени и денег ушло на установку антивирусов. Первые два уровня ориентированы на оценку службы ИБ самой собой. А вот третий уровень - оценка эффективности в бизнес-показателях, наиболее интересна. Тут тоже есть свои методы, но это уже отдельный разговор.

В целом мероприятие получилось. Я давно не видел, чтобы на мероприятии было столько руководителей служб информационной безопасности. Да еще чтобы они выходили на трибуну и делились свои опытом. В кулуарах прозвучало интересное высказывание на тему выступающих: "Чем больше человек выступает и делает реплики с места, тем больше вероятность, что он ищет работу". К отдельным выступающим это было как никогда к месту. Хотя многие докладчики действительно "болели" за дело и делились своим опытом с коллегами. Так что первый блин оказался не комом.

21.03.2008

Ответ на комментарий к моей статье

В мартовском номере Connect у меня вышла статья "Встроенные механизмы защиты", в которой говорится в частности о том, что многие сервисы безопасности опускаются на уровень сети. В качестве примера привожу аутентификацию. В этом же номере напечатан комментарий Светланы Конявской из ОКБ САПР, которая утверждает, что аутентификация пользователя должна производиться только на том или ином компьютере или сервере, к которому пытается достучаться пользователь. Мотивирует Светлана это тем, что внутри проводов не бывает людей, а только сетевые пакеты.

Однако вынужден Светлане ответить, что аутентификация на уровне решает очень важную задачу, которую не в состоянии решить AAA-системы на защищаемых узлах. Речь идет о предотвращении сетевых атак, например, DoS, или выполнении иных несанкционированных действий, которые не требуют доступа к конкретным серверам и ПК. И пропустив их в сеть (а Светлана предлагает сделать именно это) мы получаем весь тот спектр проблем, которые сегодня регулярно попадают в сводки новостей - атаки "отказ в обслуживании", пассивное прослушивание сети, подмена трафика и другие действия, не требующие вообще никакого доступа к защищаемым ПК/серверам.

ЗЫ. Хотя в оправдание Светланы надо сказать, что она работает в компании, которая никогда не "светилась" на уровне сети. Все решения ОКБ САПР ("Аккорд", "Шипка", АМДЗ и др.) касаются только защиты персональных компьютеров и ничего "не знают" о том, что они могут взаимодействовать еще и по сети.

ЗЗЫ. Следом за моей статьей в этом номере идет статья Светланы, в которой говорится, что криптография - это самое модное сегодня направление в области защиты информации, и что пользователи самый первый вопрос задают о максимальной длине ключа...

ЗЗЗЫ. Наткнулся на диссертацию, которую защищала Светлана Конявская. Ее название "Семантическая деривация в структуре числовой оппозиции существительных : Pluralia tantum в истории русского языка"...

Microsoft покупает Komoku

Microsoft, давно не замеченная в поглощениях игроков рынка ИБ, на днях приобрела американскую компанию Komoku, специализирующуюся на поиске руткитов.

Первая особенность сделки в том, что Komoku - компания, созданная на деньги DARPA, исследовательского агентства МинОбороны и Министерства национальной безопасности. Вторая особенность - Komoku разрабатывает не только программные (решение Gamma), но и аппаратные решения. В частности CoPilot - PCI-карта, которая мониторит файловую систему и оперативную память с целью поиска руткитов.

Третья интересная особенность - партнерство Komoku и Symantec. Не исключено, что Symantec вновь выступит с заявлением, как это было всегда, когда Microsoft "вторгался на его поляну".

16.03.2008

Очередные поглощения на рынке IAM

Компания IBM купила Encentuate, которая была известная своими решения в сегменте идентификации и аутентификации (IAM) - усиленной аутентификации, SSO и т.д. Решения Encentuate известны в первую очередm в Америке в сегментах здравоохранения и финансах. Что получится из этой сделки пока непонятно, но ясно одно - IBM скорее всего прекратит свои OEM-отношения с PassLogix, предлагающей аналогичные решения. Хотя для PassLogix это не должно быть сильным ударом - у нее по прежнему сохраняются OEM-соглашения с RSA и Oracle.

Днем ранее Ping Identity купила у Sxip Identity ее продукт Sxip Access, выполняющий функции IAM.

Борьба на рынке IAM усиливается - в этот сегмент выходят гиганты ИТ-рынка, с которыми будет тяжело тягаться мелким компаниям, у которых останется только три пути - продаться, заключить OEM-соглашение или умереть.

Сайт Trend Micro инфицирован!

Недавно я написал про индийского антивирусного разработчика, сайт которого был заражен вредоносной программой. И вот вновь "приятная" новость, претендующая на сенсацию. Сайт Trend Micro, одного из трех мировых лидеров антивирусной индустрии, был инфицирован троянцем. Сама TM об этом написала скупо и только в своем блоге, обойдя вниманием этот факт в своей официальной новостной ленте. Более детально эта тема была расписана в InformationWeek.

Интересно, что на этой неделе были также инфицированы сайты популярного менеджера загрузки FlashGet и один из сайтов WebMoney.

В Интернете становится действительно непросто сохранить свою "девственность" ;-( Если уж такие гранды как Trend Micro, которые должны защищать нас от вирусов, сами страдают от них, то что делать нам, простым смертным? Вопрос конечно риторический...

13.03.2008

Security Director 2.0 - новое мероприятие для руководителей по безопасности

Не далее как тройку месяцев назад я рассказал о первой российской конференции для руководителей служб информационной безопасности Russian CSO Summit. И вот очередное мероприятие - конференция Security Director 2.0. Почему 2.0 не понятно, но учитывая модное поветрие "2.0" (Web 2.0, Enterprise 2.0, Cisco 3.0 и т.д.) двойка в названии закономерна ;-)

Программа мероприятия заявлена достаточно интересно, но... вопросам информационной безопасности внимания там почти не уделяется. Некоторые темы конечно будут интересны и CISO (оценка рисков и эффективности системы безопасности: как обосновать затраты на СБ, снижение расходов на систему безопасности за счет конвергенции ТСБ и ИТ, взаимодействие с департаментами компании: ИТ-директор – ценный союзник и т.д.), но в любом случае эти вопросы рассматриваются с позиции именно "физиков", а не "айтишников". Ну и среди выступающих специалистов в "нашей" теме всего один человек - Михаил Левашов.

03.03.2008

Купил отличную книгу - "Метрики для управления ИТ-услугами" Питера Брукса. Это первое издание на русском языке, посвященное метрикам ИТ. Это не безопасность конечно, но очень близко по теме и подходам.



Из аннотации: "Книга, адресованная в первую очередь ИТ-директорам, представляет собой общее руководство по проектированию и реализации метрик для сервисных ИТ-подразделений, работающих по стандартам отрасли. Автор берет за основу структуру процессов ITIL и опирается на ряд принципов, сформулированных в ITIL и стандарте ISO20000 (BS15000). Большое место отводится типичным проблемам, связанным с правильным применением метрик, и возможным путям их решения. Даются конкретные рекомендации по применению метрик в процессах ITIL, ISO20000 (BS15000) и других. Приводимые в книге метрики могут быть использованы и непосредственно, и в качестве отправной точки для создания набора, отвечающего специфическим потребностям организации".

Пока наткнулся на один, но серьзный недостаток - хромает перевод. "Control Objectives" переводится как "контрольные объекты". Даже не цели, а именно объекты. План действия в чрезвычайных ситуациях переведен как "чрезвычайный план", хотя по смыслу текста речь идет о плане обеспечения непрерывности бизнеса.


Книга недешевая - 800 рублей. Для российского книжного рынка - это очень недешево.

02.03.2008

Trend Micro купила компанию Identum

Trend Micro купила очередного игрока рынка безопасности - английскую компанию Identum, тем самым усилив свои позиции на рынке защиты электронной почты. Надо заметить, что никаких деталей и дополнительной информации по этой сделке нет - TM ограничилась очень сухим пресс-релизом по этому вопросу.

Identum - компания малоизвестная в мире и это не случайно. Она отпочковалась от криптографической кафедры Бристольского университета, что и ограничивает круг ее известности только академическими кругами. Опасений по данному поглощению только 2. Во-первых, теория и практика - это разные вещи, а продукты Identum не имели широкой распространенности и массированного тестирования. А во-вторых, Trend Micro недавно купила Provilla и не факт, что у нее остались ресурсы для эффективного внедрения еще и криптографических механизмов в свои решения.

Нельзя сказать, что Trend Micro была первой, кто решила дополнить свои решения по защите почты функциональностью по шифрованию почты. Например, IronPort, которая сейчас входит в состав Cisco, перед своим поглощением купила компанию PostX, которая занималась тем же, что и Identum, а McAfee купила SafeBoot.