вторник, 9 февраля 2010 г.

Доверять, как себе?

Время от времени умные дядьки рассказывают, как хорошо и правильно отдавать отдельные функции ИБ на аутсорсинг. Большинство говорит правильные слова: аутсорсинг помогает сэкономить. За счет чего? 

В связи с этим очень интересную картинку нарисовала недавно в своем отчете TrustWave (спасибо Дмитрию Евтееву).



"Most compromised systems we investigated in 2009 were managed by third party. In the software POS system breaches we investigates, this third party often introduced many deficiencies exploited by the attacker, such as default vendor-supplied credentials and insecure remote access applications."

Дабы у коллег не возникало соблазна возразить "а вдруг речь идет о компаниях, в которых компьютеры используются как пишущие машинки", уточню: в первой части отчета приводятся результаты анализа инцидентов, результатом которых стала утечка данных платежных карт у участников платежных систем. Вариант "а вдруг подрядчик не знал/не осознавал" в этом случае исключен.

Еще раз обозначу свою позицию по вопросу аутсорсинга: аутсорсить функции безопасности можно, но это исключительно вопрос экономической целесообразности. Выигрыш в затратах на собственные ресурсы оборачивается проигрышем в защищенности, ибо "nil de nihilo fit". Только в том случае, если вы можете организовать такой же контроль за действиями специалистов подрядчика, какой вы организуете в отношении своих специалистов, у вас есть шанс, что аутсорсинг НЕ УМЕНЬШИТ защищенность ваших активов. 

Предложения о том, как аутсорсинг поможит улучшить защиту, я бы предложил обсуждать здесь :)

15 коммент.:

Ригель 9 февраля 2010 г., 9:15  

Пишмашинки - это про меня, что-ль?
Так у меня так и написано: "за солидный выигрыш в стоимости известный проигрыш в качестве", но еще в сентябре.

malotavr 9 февраля 2010 г., 9:43  

Пишмашинки - про тебя, но только в контексте предудыщегй записи :)

Тут речь идет об узлах, которые совсем не пишмашинки, а проблемы те же, в том числе - default vendor-supplied credentials, то бишь все те же словарные пароли, о которых мы в прошлый раз на пустом месте поспорили.

Ригель 9 февраля 2010 г., 10:25  

Странно: мне запомнилось, что я в предыдущий раз иронизировал над рефлексом абсолютных защищенников придавать вселенское значение уязвимости, не взирая ни на организацию, ни на место первой в проблемах второй.
Но если тебе больше негде вдохновение черпать, то без проблем.

Алексей Лукацкий 9 февраля 2010 г., 12:51  

А вот некоторые компании вполне нормально живут отдав на аутсорсинг ключевые приложения и их безопасность ;-) И нормально живут. И миллиарды зарабатывают

Ригель 9 февраля 2010 г., 13:53  

Картинка отражает среднее по больнице, а некоторые - конечно. Умным всегда хорошо ))

malotavr 9 февраля 2010 г., 21:45  

> иронизировал над рефлексом абсолютных защищенников придавать вселенское значение уязвимости , не взирая ни на организацию, ни на место первой в проблемах второй.

Судьба у меня такая - напоминать тем, кто слишком увлекся организацией, что они напрочь забывают про место их собственных ошибок в проблемах этой самой организации :) Если при декларируемом высоком уровне СУИБ компания допускает элементаные ошибки типа "ой, как это - у нас дефолтные пароли?", значит этот уровень не так уж и высок :)

А что касается "абсолютных защищенников" - "беда не в том, что человек смертен, беда в том, что он смертен внезпно". Перефразируя - беда не в том, что в активах компании есть уязвимости или дурацкие ошибки, беда в том, что компания об этом не знает :)

malotavr 9 февраля 2010 г., 21:49  

> вполне нормально живут отдав на аутсорсинг ключевые приложения и их безопасность

Вот тебе и тема для мифа - "Можно отдать функцию на аутсорсинг и забыть про проблемы" :)

Серьезно, расскажи как-нибудь, как Cisco своих подрядчиков контролирует. Что-то мне подсказывает, что и аудит у них недетский проводится, и в договор подряда соответствующие права/обязаности включаются :)

Ригель 9 февраля 2010 г., 22:37  
Этот комментарий был удален автором.
Ригель 10 февраля 2010 г., 0:36  

"Слишком увлекся" и "элементарные ошибки" - это тоже про меня? Сверкающий профессионал переходит границы, по-моему.

Дефолтные пароли найдутся всегда, если инфраструктура большая, изменчивая и администрируют люди - так же как нарушения политики чистых столов или формы одежды. Про то, что искать их должен тот же, кто политики и процедуры устанавливает прошу поподробнее.

malotavr 10 февраля 2010 г., 2:53  

"Слишком увлекся" и "элементарные ошибки" - это тоже про меня?

Издеваешься? И в мыслях не было, что ты эту фразу в свой адрес приимешь. Если действительно считаешь, что она как-то с тобой ассоциируется, напиши - я удалю свой комментарий или переформулирую его. Только тогда придетя что-то с нашим флеймом сделать.

Факт - что многие компании слишком увлекаются организацией защиты и допускают элементарные ошибки. Пароли "cisco" и "secret" при авторизации на граничном маршоутизаторе - это элементарная ошибка. Спорить будешь?

По поводу "дефолтные пароли найдутся всегда". Возьмем ИСО 27001. О чем говорит наличие дефолтного пароля (замечу - и не одного, поскольку это обычно не разовая, а системная ошибка)? О том, что компания либо не требует использования хороших паролей (недостки в реализхации контролей А.11.3.1 и А.8.2.1), либо не имеет способа проверить выполнение этого требования (недостаток в реализации контроли А.10.10.2), либо не прнименяет дисциплинарных мер по факту выявленного нарушения (недостаток в реализхации контроли А.8.2.3). В любом из этих трех случаев наличие дефолтный пароль говорит о наличии недостатков в СУИБ. То есть предумотренные ИСО 27001 механизмы безопасности присутствуют, но их качество оставляет желать лучшего.

Причем, если нарушение политики чистых столов или формы одежды к серьезным рискам не приводит, то "общедоступное администрирование" оборудования - еще какие риски :)

Про то, что искать их должен тот же, кто политики и процедуры устанавливает прошу поподробнее.

Искать должен кто-то, кому это поручено (А.10.10.2). А вот ответственность за результаты этих поисков несет руководство (А.6.1.1). Разве нет?

Ригель 10 февраля 2010 г., 4:11  

Тебя 27001 интересует? Там расклад такой:

Чтобы схватить мейджор (замечание, несовместимое с сертификацией), нужно провалиться с контролом из второй части (т.е. из собственно 27001, если по современной нумерации), но из него самого, а не из аддендума, который перечисляет контролы 27002-го.
А в 27002 (бывший 17799, бывший 7799-1) дефолтные пароли вполне себе наравне с чистыми столами, извини. Соображение про общедоступное администрирование разумное, но оно по понятиям, а не по стандарту.
Вот если инцидент не был обработан, корректирующая мера не была инициирована и т.п. (это я какбэ из 27001 перечисляю), то да - проблема.
И то если найдутся эвиденсы, что обычно они работают (т.е. будут записи о других инцидентах и импрувментах, проведенных как надо), то неработающий базовый контрол не вкатаешь.

malotavr 10 февраля 2010 г., 4:23  

Спасибо, 27001 я привел в качестве примера. С тем же успехом мог привести PCI DSS.

Т.е. наличие дефолтных паролей (или любых других очень распространенных ошибок) это недостаток, который не мешает быть признанным соответствующим стандарту. И в то же время это недостаток, который делает систему очень уязвимой для угроз.

Собственно, говоря о "слишком увлекшихся организацией" я имею в виду те компании, которые меряют себя исключительно на предмет соовтеттвия каким-либо стандартам, игнорируя практические проблемы собственной защищенности. Таких, согласись, много :)

Ригель 10 февраля 2010 г., 6:01  

Да, ты правильно уловил: оценивается общая безопасность, отдельные недостатки не мешают, если их мало и они обрабатываются.
Образ воздушного шарика, который достаточно в любом месте проколоть, относится к абсолютной защищенности, не к безопасности. А уж если говорить не про безопасность, а про управление ею, так это уже даже не первая, а вторая (!) производная от защищенности.

Пользуясь известной аналогией, менеджмент безопасности - это как отношение человека к своему здоровью.
Не всякая болезнь мешает назвать человека здоровым. Не всякое нездоровье позволяет назвать человека плохо относящимся к своему здоровью. Сертификат дается на "следит за здоровьем / не следит за здоровьем", понимаешь?

malotavr 10 февраля 2010 г., 6:21  

Понимаю :)

Резюмируя наш флэйм:
- по статистике аутсорсинговые компании допускают проколы чаще, чем сами компании
- то, что подрядчик соответствует какому-то стандарту (например, ISO 27001) не гарантирует, что он будет ошибаться реже остальных.

Согласен?

Ригель 10 февраля 2010 г., 7:01  

1. Согласен, но это среднее по больнице. По такой же статистике у землянина одна сиська и одно яйцо.
И это американцы. В России уровень тех, кто предлагает/покупает аутсорсинг выше - мало кто на это способен пока.
2. Не согласен.

  © Blogger template 'Solitude' by Ourblogtemplates.com 2008

Back to TOP