анализ ИБ от Силверана

[maniak]

Вроде у провайдеров MAC-адресс записывается в логах - тем самым вычислить таким образом будет легко.

[Dengiz]

Цитата:

Сообщение от Ravshan Alimukhamedov

Почему увы?

Потому что он делал доброе дело - бесплатно проверял сервера на уязвимости

[Djalolatdin Rakhimov]

Цитата:

Сообщение от maniak

Вроде у провайдеров MAC-адресс записывается в логах

Интересно, у каких из провайдеров? Откуда такая уверенность?

[maniak]

Я же сказал "вроде" - уверенности не было окончательной.

[Ivan Lodyanoy]

Цитата:

Сообщение от Dengiz

Потому что он делал доброе дело - бесплатно проверял сервера на уязвимости

Благими намерениями ... Чтож он тогда по парку прятался ?

[Iskander Koneev]

Уважаемый Silveran!

Вы правильно отметили, что люди в ИБ это одна из основных проблем. Я скажу больше того, даже не спецы по безопасности и не админы – а пользователи!
Если поглядеть западную статистику, то видно, что простое проведение на предприятии security awareness, снижает информационные риски в разы…

Мне только не очень понравилось Ваше пренебрежительное отношение к стандартам (ИСОшным). Стандарты – это квинтэссенция опыта и предназначены как раз для помощи в организации толковой ИБ.

Не знаю, каков у Вас опыт работы специалистом по безопасности, но, полагаю, Вы понимаете, что “хороший хакер\кракер\any-“Black-Hat”-er” не равняется “хороший специалист по безопасности”. Знания и навыки по взлому это безусловный плюс, но не достаточное условие.
Предположу, что все громкие случаи по принятию на работу успешных хакеров, означали, на самом деле, зачисление их в команду “penetration testing”. А для того, чтобы выстраивать защиту, нужен другой склад ума и характера.

Пойду дальше, даже человек, искусно защищающий свой домашний компьютер не обязательно станет хорошим профи по безопасности в организации.
Это хорошо видно на развитии уровней зрелости в ИБ для всех компаний.
Начальный уровень – это приобретение и внедрение большого количества технических решений. Именно на этом этапе понадобятся хорошие технари, толковые индивидуалы, в том числе, возможно, и хакеры.
Но через некоторое время предприятие столкнется с проблемами управления своим техническим хозяйством, возросшей совокупной стоимостью владения и кучей других проблем.

Вот тут понадобится качественный переход от внедрения технической безопасности к построению системы управления ИБ. И тут без стандартов никак не обойтись.

Недавнее исследование по ИБ, проведенное компанией, где я сейчас работаю, показало, что просто наличие формализованного документа – политики ИБ, как ни странно, существенно снижает риск реализации инцидентов ИБ.

[Iskander Koneev]

Еще одно небольшое замечание, раз уж всплыл вопрос про аудит ИБ.

Я понимаю, что большинство предприятий в странах бывшего СССР и в Узбекистане в том числе, находятся на той стадии зрелости, когда наиболее актуально как раз техническое обеспечение ИБ.

Тем не менее, я рекомендовал бы сразу приучать пользователей к правильной терминологии и разделять понятия технического аудита и аудита системы управления ИБ.

Не в обиду будет сказано, но в принятой мировой практике, аудитом ИБ называется именно второе. А технический аудит обычно соотносится скорее с vulnerability management или penetration testing. Хотя многие, даже довольно известные компании используют определение “аудит” применительно к технической части.

Если же говорить об аудите именно на языке тех стран, откуда к нам приходят стандарты, то тут нельзя обойтись без определения control (по-русски, кратко он тоже называется “контролем”, но более глубоко под ним следует понимать “контрольный механизм”, куда может входить, как техническое решение, так и, например, организационное мероприятие)

Вот именно проверкой контролей и занимается аудит ИБ и технический аудит это только одна из его составляющих.

Уклонение только в техническую часть, без комплексного подхода чревато неприятными последствиями. Известные мне примеры:
1. Прекрасно оборудованная серверная комната оказалась расположена рядом с туалетом и очередная протечка принесла колоссальный неожиданный ущерб.
2. Хорошо налаженная система резервного копирования, тем не менее, не предусматривала регулярного тестового восстановления данных. В критической ситуации, компания была неприятно удивлена, что большинство ее лент не подлежит восстановлению.

Согласитесь, что сканированием уязвимостей такие недостатки не выявить. Об этом необходимо помнить, в противном случае может получиться некая профанация ИБ.
Компания, пройдя аудит в узком (техническом) понимании, будет считать, что все ОК и получив негативный опыт, будет, мягко говоря, недовольна.

Вообще, сильный уклон в обеспечение защиты от хакеров, это некая детская болезнь, которую предприятие тоже должно пережить. Не отрицая опасности от внешних злоумышленников, надо помнить об имеющейся статистике, которая гласит, что до 80% ущерба в ИБ приносят собственные пользователи предприятия, причем из этого списка до 80% - в результате ошибок, а не злого умысла…