04.03.2013

Писателям сплойтов посвящается...

В последнее время очень много говорится об ответственности бизнеса за надежность своей ИТ-инфраструктуры и ее безопасность. Мол, найдена уязвимость на сайте, надо срочно устранять, а то ай-яй-яй, какие последствия наступят! КАКИЕ? Это первый вопрос, который задает бизнес. При это любые глубокомысленные заявления о репутации, о серьезности ущерба, о важности последствий, фразы "ну вы же все понимаете" ни к чему не приводят. Бизнес не понимает. Не потому, что он дурак, а потому что он понимает только вопрос денег (утрирую немножко, конечно). Покажите, во сколько выльется мне наличие дыры на сайте? В деньгах покажите! Нет прямого ущерба? Покажите косвенный. Не можете посчитать? Тогда идите и учите, как считать, не отнимайте время. Но как же?.. А риски... Риски? Какие риски? У бизнеса есть более значимые риски, чем уязвимость на сайте с отсутствующим ущербом (если не посчитан, значит отсутствует). Валютные риски, риски ликвидности, рычночные риски, страновые риски, инфляционные риски, процентные риски, кредитные и оборотные риски... Операционные риски и их подмножество - риски информационной безопасности - в бизнесе занимают не такое важное место, как об этом думают (если вообще думают) безопасники.

Потом искатели дыр на сайте начинают ныть о том, что их не ценят и они никому не нужны. Выходов отсюда два. Либо безопасник-технарь понимает ограниченность своего взгляда на мир и меняет его, начиная воспринимать гораздо большую палитру красок в мире ИБ. Либо безопасник-технарь решается продемонстрировать на практике реальность своих заявлений о серьезности последствий от использования уязвимости на сайте. В лучшем случае его прогоняют вон; в худшем - он идет по этапу (и возможно даже не по 272-й статье). Отдельные феномены умудряются всю жизнь прожить с мнением, что их никто не понимает и не ценит, а уж они-то самые крутые в мире безопасники. Правда, с этим своим мнением они никому не нужны - семьи у них обычно не бывает, работу они либо не имеют, либо меняют слишком часто из-за своей неуживчивости. В России это может закончиться традиционно - алкоголизм или наркомания. Но вернемся к ответственности бизнеса.

Допустим безопасник-технарь совершил чудо и смог продемонстрировать ущерб от дыры на сайте в деньгах. Допустим он выбрал правильную методику, понятную бизнесу и принятую им. Допустим. Но возникает вторая часть утверждения "ай-яй-яй, какие последствия наступят". Речь идет о слове "наступят". Коль скоро мы говорим об угрозах или рисках, то одним из элементов этих понятий (помимо последствий или ущерба) является вероятность. Бизнес хочет видеть вероятность реализации риска использования уязвимости на сайте. А ее нет! В принципе нет! Точнее есть какие-нибудь отчеты E&Y, KPMG, CSI, OWASP; в них приводится статистика по использованию уязвимостей. Но это как средняя температура по больнице. Любой бизнес спросит: "А я-то тут причем? Почему у меня должна быть такая же вероятность? Может быть у меня и вовсе такого риска не наступит?" И ответить тут будет нечего - потому что мало кто тратит время на нормальный подсчет значения вероятности. Хотя методов немало.

К счастью, вероятность наступления негативного события хоть и важна, но не так, как размер ущерба, т.е. то, с чего я начал пост. И хотя в теории считается, что знать вероятность и размер ущерба одинаково важно, на практике это не так. Даниил Бернулли в 1738 году опубликовал в "Комментариях Санкт-Петербургской Академии" описание так называемого метода полезности денег (он же Санкт-Петербургский парадокс) согласно которому в процессе принятия решения люди уделяют больше внимания размеру последствий разных исходов, нежели их вероятности. Т.е. мы вновь возвращаемся к оценке последствий в терминах, понятных бизнесу, т.е. деньгах.

Кто-то говорит, что управление рисками - это фуфло. Кто-то активно продвигает эту тему. Я уже не раз высказывал свое мнение по этому вопросу (интересная дискуссия от 2008-го года на эту тему). Если при оценке рисков эксперты оперируют качественным показателями, то это профанация. Если применяются соответствующие методы, основанные на правильных моделях и исходных данных, то оценка рисков имеет право на жизнь. Правда, для этого, как говорил Эйнштейн, надо подняться над уровнем, на котором возникла проблема. Надо оперировать финансовыми показателями и финансовыми моделями - тогда и оценка рисков будет адекватной.

Резюмировать можно просто: ПОКАЖИ ДЕНЬГИ, прежде чем обвинять бизнес в тупости и непонимании безопасности. Бизнес также считает тупым безопасника, который не понимает потребностей бизнес и не умеет с ним разговаривать на понятном бизнесу языке. В конце концов, именно бизнес платит зарплату или оплачивает договора. Стоит иногда прислушиваться к мнению бизнеса, а не тупо навязывать свое.

ЗЫ. Как показывает дискуссия в Twitter демонстрация value (в деньгах) пока не находит понимания у безопасников-технарей. Разрыв сохраняется. Безопасность остается в загоне.

ЗЗЫ. Вот еще одно доказательство тем, кто считает, что взлом компании (очень громкий взлом) как-то влияет на бизнес. Кстати, руководитель безопасности этой компании был назван CSO года ;-)

38 коммент.:

Alexey Sintsov комментирует...

писателям сплойтов плевать, у них свой бизнес никак не связанный с ИБ ;)

Рустэм Хайретдинов комментирует...

Тем, кто читает этот блог, пост даже не из букваря, а из азбуки - ИБ с этого начинается и с этого ее начинают учить в вузах.

Те, для кого этот пост написан, не читают твой блог, не учили ИБ ни в вузах, нигде в другом месте - они слишком умные, чтобы учиться. Иногда мне кажется, что они вообще ничего не читают, даже свои твиты двухнедельной давности.

Давай бисер сохраним для более благородных целей.

Алексей Лукацкий комментирует...

Алексей, есть там парочка, которым до ИБ ;-)

Алексей Лукацкий комментирует...

Руст, этому не учат в ВУЗах

Юрий комментирует...

Как театр начинается с вешалки, так ИБ - с аудита. И сегодняшние отчеты об аудите ИБ все написаны тарабарским языком - уязвимости, инциденты, процессы обеспечения...Вот в 2007 у KIA 9 инсайдеров сперли ноу-нау на $22 Млрд - это что за риски ИБ были?? И ведь наеррняка аудит проводили, отчитались об уязвимостях. А риски недостаточной мотивации персонала в отчет наверняка не вошли (может и другие факторы выстрелили, подробности инцидента мне неизвестны). Безопасникам давно пора либо работать в связке с бизнес-аналитиками, либо самим осваивать смежную специальность, чтобы терминология IRR, NPV, SWOT анализ и другие заняли то же место, что и родные, ИБшниые термины. Мы сейчас как раз это направление развиваем - поговорить с бизнесом, задать правильные вопросы, понять, чего боится. Все разрисовать (!), найти риски ИБ и транслировать их в риски бизнеса, и это уже предъявлять (а подробности в анамнезе, для специалистов). "Найдена уязвимость" - для своих, "Замедление роста на N% ввиду оттока клиентов", связанной с этой уязвимостью - для бизнеса. ЗЫ Насчет количественной оценки рисков много спорили, ну даже самому бизнесу сложно оценить в деньгах многие свои риски. Очевидно, количественные методы хорошо ложатся только на зрелые компании, таких в России лично я почти не встречал. Кроме того, склонность к качественной оценке заложена в нас природой (качественно риск оценивается постоянно, в фоновом режиме), количественная же создана человеком, и при большом числе недоказуемых допущений все равно сводится к качественной.

doom комментирует...

>К счастью, вероятность наступления негативного события хоть и важна, но не так, как размер ущерба, т.е. то, с чего я начал пост.

У нас есть еще целый пласт людей, думающих иначе - которые говорят про важность неотвратимости наказания, а не его строгость ;)

Yuriy Aleksyutenko комментирует...

Алексей, анализируя Ваши крайние посты (включая этот) невольно навязывается вывод - школота Вас серьёзно задела. Кому и что Вы пытаетесь доказать? Успокойтесь, каждый грызёт свою морковку.

Alexander Polyakov комментирует...

уже намекал както в тему всей этой истории. С 14 страницы, а лучше сразу 31 и 32. http://dsecrg.ru/files/pub/pdf/Evolution%20of%20Penetration%20Testing_rus.pdf

Юрий комментирует...

Александр, тесты на проникновение, ориентированные на бизнес, звучит как замена правой передней полуоси, ориентированной на безопасность дорожного движения. В примере с кражей ноу-хау - как поможет пентест? JPMorgan потерял кассету с данными миллионеров Чикаго - как поможет пентест? Сам пентест не является самоцелью, он инструмент, пригодный для ограниченного круга задач. Потому, на мой взгляд, говорить про эволюцию скальпеля в разрезе мировой хирургии несколько странно, не находите? ЗЫ На 10 слайде исправьте - SDLC

ilya комментирует...

Попробую на этот раз прокомментировать заметку в стиле официальной рецензии советского критика 60-х годов на заметку буржуазного автора :). Правда несколько в утрированной, даже местами пародийно-ироничной форме - иначе такой серьезный, пафосный, напористый и совершенно безапелляционный, при этом довольно далекий от практики и целевой аудитории, для которой он написан, текст просто несколько сложно комментировать :). Но не пройти мимо такой нетленки я просто не мог: автор уж не взыщи, как обычно последнее время не обижайся и отнесись к этому с правильной долей юмора и иронии :). И в любом случае большое спасибо за заметку - она не дает нам заскучать, за это мы все и любим блог автора, хотя порой и диаметрально расходимся с ним во мнениях и оценках и сходимся в жарких словесных баталиях.

Итак ниже текст скорее не для дискуссии, т.к. как дискутировать то тут особо и не о чем, а просто чтобы немного повеселиться и размять перо и мозг благо у меня были свободные 30 минут в Сапсане :).

Итак 60-е ...

"
1. Статья буквально угнетает совершенно безапелляционным стилем автора, который уже довольно долгое время буквально пронизывает все его работы. Где призыв к дискуссии, где полемичность в такой сложной и неоднозначной области как ИБ? Автор, простите за тавтологию, здесь авторитетно пытается навязать свое мнение читателю, изначально отвергая даже малейшие попытки к какой-либо полемике. Он - единственный носитель истины; Моисей, несущий сакральные знания вечно "ноящим" и, как минимум, с точки зрения автора предельно недалеким технарям.

2. Теперь об "истине".
Складывается ощущение, что автор бесконечно далек от обеих сторон, о которых он так истово пишет: как от заказчика, так и от пентестера.
С одной стороны в твиттере он соглашается, что фундаменталисткая теория анализа рисков плохо применима в иб ("фуфло" в терминологии автора). С другой стороны он призывает основывать вывод о необходимости аудита на основании подсчета ущерба. Однако та самая теория анализа риска и зиждется на ущербе и вероятности реализации угрозы, что так плохо считается в ИБ как сам же справедливо и замечает автор. При этом он безальтернативно призывает делать вывод о необходимости проведения аудита на основе точного подсчета ущерба, хотя переходит в дальнейшем и на риск.
Стоит рекомендовать автору задуматься о следующем:
- сайты визитки это еще не все в интернете
- стоимость любого аудита - это копейки относительно других расходов на ИБ
- обоснования на основе ущерба или риска не применяются или применяются формально только на бумаге (по факту) даже для огромных интеграционных проектов по ИБ; что уж говорить об относительно дешевом аудите.
- драйверов принятия решения о проведении аудита масса и в каждом конкретном случае они могут быть свои (как и их комбинация). Говорить, что ущерб или риск основа основ, как минимум, несколько самонадеянно.
- если уж говорить о теории, то там решение принимается не на основе ущерба, а на основе риска, то есть, вероятного ущерба, что более правильно, но еще более невероятно в ИБ, как справедливо замечает сам автор. Правда дальше он начинает себе же и противоречить, говоря о других существующих методах, когда оценка риска "имеет право на жизнь". Хотя отлично известно, что любые методы АР (как количественные, так и качественные) так или иначе основаны на Ущербе и Вероятности, что в ИБ высчитывается крайне плохо и на практике практически бесполезно.
- регулярно чистить зубы имеет смысл и без точного подсчета ущерба, как и риска
- стоит всегда помнить, что основой фактор, двигатель любой индустрии безопасности - это фактор страха, хотя об этом и принято стыдливо умалчивать лживой буржуазной прессой

ilya комментирует...

3. В чем автор однозначно прав, что безопасник должен уметь говорить с бизнесом на одном языке и это, в основном, язык денег. Так или иначе, с теорией или без, на каком угодно языке безопасник должен уметь доступно об'яснить бизнесу необходимость тратить деньги, здесь автор совершенно прав. При этом, однако, не стоит быть столь категоричным: аргументы и язык могут быть любыми в зависимости от специфики бизнеса и лиц, принимающих решение.
Однако вернемся к статье. О ком в ней идет речь в этом месте? Правильно, о CISO или о том, кто "продает" безопасность. А кому предназначена вся статья? Логично - столь ненавистным вдруг автору в последнее время технарям (инженерам, аудиторам, пентестерам, реверсерам и тд) как он их заметно уничижительно называет, "писателям эксплойтов" (хотя этим званием стоит гордиться!), у которых совершенно иные задачи. "Кесарю - Кесарево, Богу - Богово". Нет смысла учить инженеров продавать, как и сейлов - писать эксплойты.
Поэтому возникает законный вопрос, а зачем автор заведомо обращает свою статью не на ту аудиторию? Какова истинная его цель? Разжечь очередной холивар холодной войны империализма?

4. После прочтения статьи, а точнее серии последних статей и высказываний автора, складывается стойкое ощущение, что автор пытается манипулировать фактами, всеми способами просто пытаясь аргументировать свою нелюбовь к хакерам (технарям), настоятельно насаждая мысль об их ненужности. Мир шире шахматной доски и здесь не бывает абсолютных истин (на что стоит также обратить внимание автору); поэтому может это и так и автор прав - в любом случае история всех рассудит.

Ну и в завершении рецензии хотелось бы узнать у автора, а причем здесь, собственно, эксплойты :)?

Rebz комментирует...

>> Руст, этому не учат в ВУЗах
Этому-то как раз и учат в вузах. Оценке рисков и прочей бумажной волоките. А сами риски ты придумываешь сам - сгорел сервер, коряво настроены права доступа и т.д. Уверен, это далеко от реального положения дел.

Алексей Лукацкий комментирует...

Rebz, вас учили ПОКАЗЫВАТЬ ДЕНЬГИ? ВУЗ подскажите, пожалуйста

toxa комментирует...

> - стоимость любого аудита - это копейки относительно других расходов на ИБ

Затраты оценивают не по абсолютным величинам, а по возвращенной пользе. А отчеты о технических аудитах, чтобы бизнесу была польза, у нас никто делать не умеет, я уже писал об этом http://toxa.livejournal.com/531047.html

toxa комментирует...

> стоит всегда помнить, что основой фактор, двигатель любой индустрии безопасности - это фактор страха, хотя об этом и принято стыдливо умалчивать лживой буржуазной прессой

Это ты сам себе придумал. По-моему, никто, кроме тебя, с этим никогда не был согласен.

Юрий комментирует...

> Rebz, вас учили ПОКАЗЫВАТЬ ДЕНЬГИ? ВУЗ подскажите, пожалуйста

Леш, ясно же, что не понял человек. Вот она, ошибка системы - восприятие всего отличного от техники как "прочая бумажная волокита". Смешались в кучу - риски, деньги:)

Rebz комментирует...

И слава Богу, что не учат "показывать деньги". Вуз должен давать практические знания все же.
Алексей, я вас значит не понял в вашем ответе "этому не учат в ВУЗах". Рискам - учат, а вот перевод из рисков в бабло - этому нигде не научат, только на практике.

Евгений комментирует...

Алексей, мне кажется вы переоцениваете людей :). Даже если этому учить в вузе, молодость и отсутствие опыта не даст воспринять молодому специалисту эту концепцию.
Это как при обучении вождению авто - вначале молодой водитель умеет смотреть только прямо перед машиной и оценивать текущую обстановку в малом радиусе перед авто. Со временем и ростом опыта (навыков) водитель учится просчитывать все дальше и дальше, реагировать не только на непосредственные действия, но и возможное поведение других водителей (так впереди девушка в красном авто, надо осторожнее :)), пешеходов, да просто учет кустов, углов, щитов и прочей нечисти, загораживающей обзор, не дающей возможности оценить дальнюю перспективу.

Так и здесь, они почему-то думают, что бизнес должно интересовать наличие и отсутствие дырок на сайте, в программах и т.п. Из опыта внедрения ПДн :) большинство организаций замечательно живут вообще без безопасников и если у них и были проблемы с бизнесом,то уж точно не потому, что сайт дырявый или в сети кто-то шарится. Да пока это не мешает основной деятельности - зарабатыванию денег, то ради бога. :) Этакий симбиоз, ставший возможным когда большинство вирусов перестали пакостить и начали скрываться от обычного пользователя.

Rebz комментирует...

Кто "они думают"? Не надо всех обобщать.
И вообще смысла нет говорить о компаниях в целом. Компании можно делить на крупные, средние, мелкие, гос.структуры и частный сектор, бизнес связан с ИТ или нет. И только от этого можно отталкиваться нужны ли там вообще безопасники или нет.
Те, у кого бизнес в интернете, им не надо говорить о том, что нужно заказывать услугу пентеста, у них уже наверняка в головах есть этот пунктик, некоторые обращаются вообще до запуска своего ресурса/продукта в продакшн, потому что знают о последствиях, они же риски.

ZZubra комментирует...
Этот комментарий был удален автором.
ZZubra комментирует...

Влезу в сей жарко-бессмысленный спор, плавно переходящий на личности. Итак, для конструктивного решения возникшей проблемы стоит (естественно, на мой провинциальный взгляд) определиться с:
1. Кто такой ИБ-шник? Какое у него образование?
2. Чему учат ИБ-шников,IT-шников,Программеров и менеджеров?
3. Как результаты предыдущих пунктов пересекаются с экономикой?
4. Что нужно сделать, чтобы ИБ-шник,IT-шник и Программер прониклись проблемами бизнеса?

Собственно, не вижу особого смысла в конкретных ответах на эти вопросы, т.к. считаю, что только правильная постановка вопросов является почти ответом на них(хотя по просьбе желающих могу их и расписать для каждого типа ИБ-шника), но принципиальный подход к решению (по моему мнению) лежит в области "индоктринации" сутью работы ИБ-шника. Боюсь ошибиться, но, кажется, у Шнайдера была статья о том, что ИБ-шника надо учить не конкретным вещам, а "учить думать, как параноик".
Ну а связку между бизнесом и ИБ можно делать через цепочки импортных стандартов (еще бы учили им где-нибудь в ВУЗах), например (зависит от исходной подготовки): алгоритм-UML-BPMN-экономика или "С++"-OODA-SOAF-Минцберг-"e-CF"-COBIT-... и т.п.

Nikituki комментирует...

>Rebz, вас учили ПОКАЗЫВАТЬ ДЕНЬГИ? ВУЗ подскажите, пожалуйста

МИФИ, подытоживали тему по рискам семинаром, где самостоятельно описывали/обрабатывали/оценивали (в том числе и в деньгах) риски.

>Вуз должен давать практические знания все же.

ВУЗы у нас дают на 90% теоретические знания, что они и должны делать, имхо.

spewow комментирует...

>Евгений пишет...
>Да пока это не мешает основной деятельности - зарабатыванию денег, то ради бога.

Золотые слова. Они плодились и размножались, пока не положили всю сеть.

www.autonews.ru/autobusiness/news/1751447/

Но это частности, ведь проработало 5 лет без этих ваших "иб". Касперский почистит разово сетку и еще 5 лет проработает!
Бизнес подход наше все! :)

Евгений комментирует...

to spewow: Вам наверно покажется кощунственным, но с точки зрения бизнеса это нормально. Скажите, фирма обслуживающая камеры, потеряла на этом деньги? Нет. Значит разово потратятся на лечение и все. При необходимости потом повторят. Зачем им безопасник? :)

Золотые слова - "Компании можно делить на крупные, средние, мелкие, гос.структуры и частный сектор, бизнес связан с ИТ или нет".

spewow комментирует...

>to Евгений
Это нормальный подход. На самом деле истинный безопасник должен делать только одну, но глобальную вещь. Сидеть с Топами компании и думать, как делать бабки. В его конкретном случае, это тема звучит так - «Как не попасть на бабки».
Все остальное это несущественные частности.
Вы думаете почему Алексей так много пишет про законы РФ касающиеся ИБ?
Потому, что по этим законам компанию можно поставить на бабки. Причем не эфемерные, а четко прописанные в КоАП РФ. Не сделал, как по закону, попал на бабки. Это поймет даже ёжик, не говоря уже о CEO.
Причем ИБ-ник 1000 уровня, знает как сделать по закону, и не попасть на бабки исполняя этот закон.

Алексей Лукацкий комментирует...

spewow: Я пишу про законы не потому, что компанию можно поставить на 100% на бабки. Бабки как раз там небольшие, если вообще есть. Просто потребитель про это постоянно спрашивает.

Блог изначально задумывался о другом - об экономике ИБ, измерениях эффективности и т.п. Но так уж получилось, что и 4 года назад (когда блог стартовал) и сейчас - это мало кому нужно. Поэтому пишу про то, что востребовано - про compliance

John Doy комментирует...

Мнение школоты: а по-моему Вас статья задела. Вот Вы и пишите что-то вроде - ну и что, что сайт дырявый, все равно его никто ломать не будет. А если и будет - то ничего страшного. Очень хороший подход. А админ сайта, наверное, очень уработался, бедный. Ему же зарплату платят ни за то, что бы он оперативно баги устранял, а за то, что бы сайт работал.

Алексей Лукацкий комментирует...

Ну что тут сказать ;-) Отвечу также ссылками:
- Ригель написал про разность подходов - http://xpomob.blogspot.ru/2013/03/blog-post.html
- Рустем написал про обиду: "Оппоненты, гыыы ;-) Чтобы быть оппонентом, мало иметь аккаунт в твиттере и знать матерные слова. У меня таких "оппонентов" у подъезда грызущих семечки..."

Andrey Ant комментирует...

Алексей, добрый день.
Долго наблюдал за баталиями развернувшимися в твиттерах и линкединах и очень долго удерживался от написания своей точки зрения. Но вчерашнее собеседование в одном небезызвестном банке просто переполнило чашу моего терпения. Я предполагаю кому предназначался этот пост но хотел бы добавить свои “пять копеек” к этой статье. Меня поразил второй абзац Вашей статьи, так как имею достаточный опыт работы в разных компаниях как безопасник так и исследователь.

По поводу “неуживчивости и частой смены работы”. К сожалению, нередко бывают случаи, когда безопасник или исследователь приходит на новую работу и с “горящими” глазами старается показать свои навыки и знания, нередко демонстрируя явные промахи как в документации так и в реализации систем защиты. В ответ Бумажный или околобумажный CISO либо чувствует в таком человеке конкурента, либо просто хочет скрыть эти самые “косяки” от руководства, пытается просто выжить такого человека из компании или даже попытаться его подставить. Ведь только этот CISO вхож в круги руководства и может выставлять ситуацию и положение дел как ему выгодно, а не как обстоят дела на самом деле. Новый человек такого права не имеет, да и не принято “шагать через голову”. Я не против “бумажных безопасников” в целом, но порой их документы настолько абсурдны и не только не делают компанию безопасней, а скорее наоборот.
Даже если этот новичок в Компании пытается играть по правилам таких CISO, терпит, и пытается реализовать защиту теми средствами которые уже имеются, у него ничего не получается так как у Бумажного CISO свой интерес на этот счет. Он же должен “выбить” у руководства деньги на покупку “Супер безопасной и Супер дорогой системы”, внедрив которую закроются несколько рисков. Ну или хотя бы просто получить премию за ЕГО же придуманную идею и реализацию проекта. В итоге нередко доходит до смешного. Проводится куча совещаний, определяются сроки, ответственные, исполнители, бюджет и т.д. Проект длится в лучшем случае полгода, CISO получает премию, толку от внедрения системы мало, а наш молодой безопасник – только разочарование. В итоге иллюзии безопасности в некоторых Компаниях живутся очень долго, пока не грянет гром.

Andrey Ant комментирует...

Практически тоже самое из пентестом/ресерчем. Как только молодой исследователь понимает, что его идеи, обнаружения или проекты присваиваются его вышестоящим руководством или коллегами, близкими к руководству, либо его инициатива попытка его ресерча или инициатива вываливается в огромную дополнительную работу для самого инициатора без какого либо вознаграждения для него самого(кто снимает сливки уже ясно), у него пропадает всякое желание делать что-то новое и интересное и он уже выполняет свою работу просто чтобы работать до поры до времени пока на его шею не навалятся еще кучка таких “менеджеров”. И конечно же все научились прикрываться NDA, да и сор из избы не принято выносить, вот и приходится “оправдываться” на очередном собеседовании о причинах своего ухода с прошлых мест работы.
Но уважаемые, о каких пентестах и аудитах может идти речь когда порой в компании нет ни Patch Management, ни Change Management, ни документации, ни нормальных политик AD и т.д. и т.п.?
И дело не в том что “никто не понимает и не ценит, а уж они-то самые крутые в мире безопасники.” Отнюдь нет, думаю что так никто не считает, просто практики в ИБ почти всегда лучше осведомлены о тех или иных уязвимостях, новых интересных продуктах и решениях, так как знают как ломать и что делать, чтобы от этого защититься. Я не говорю, что “Бумажные безопасники” не нужны и их работа бесполезна. Она также важна, только документация должна быть грамотной и лучше, когда она прорабатывается совместно с практиками. ИМХО если в компании все четко документировано, регламентировано, основываясь на лучших практиках, а главное выполняется и контролируется, то это уже большая половина дела.

По поводу оценки рисков для бизнеса и измерения всего и вся в деньгах. Бизнес в большинстве случаев не знает какими активами он обладает, и чтобы узнать и оценить в деньгах ту или иную базу и ущерб от ее утраты, кражи и т.д., потребуется очень много усилий и времени если речь идет о крупных компаниях. Интересно, а как оценить в деньгах человеческие судьбы? Как оценить тот риск, когда придя в банк обнаружиться нулевой баланс на счету? Или домой придет штраф о невыплате кредита на огромную сумму, или придут огромные штрафы, о нарушении ПДД, зафиксированной камерами видеонаблюдения? Много будет ли толку от бумаг тогда?

По-моему “ограниченность своего взгляда на мир” более присуща “бумажным” безопасникам, и с этим что-то нужно делать, если их цель все таки обеспечение ИБ, а не просто зарабатывание денег.
Уважаю ребят из Positive Technologies, Digital Security, onsec и немногих других за их вклад в развитие ИБ, за помощь и учебу молодежи, за отличные конференции PHDays и Zeronights, на всех из которых мне посчастливилось побывать, хотя с некоторыми из них не во всем согласен. К сожалению не слышал, чтобы другие компании читали лекции и проводили практические занятия по безопасности и пентесту в Российских вузах бесплатно.

doom комментирует...

2 Andrey Ant

Сочувствую вашему негативному опыту работы на предприятии.

Вообще, тот типаж CISO, что вы описали - это не "бумажный безопасник", а стандартный человек-из-органов-на-пенсии. Именно они себя так ведут.

P.S. И мне интересно узнать, что же в вашем понимании Change Management и Patch Management? Как их реализовать без бумаги (точнее без выстраивания самих процессов)? Там технические средства - дело десятое, так-то...

Евгений комментирует...

>Как их реализовать без бумаги (точнее без выстраивания самих процессов)?

И ведь что интересно, не только их. Любой процесс, который выполняется практически, но не задокументирован - то есть держится только на конкретном специалисте (какой бы уникальный, умный, супер-пупер не был), рушится с уходом этого спеца. Это безопасность?

ЗЫ. Вообще малоконструктивный спор получается, впрочем как и всегда между людьми, которые не нацелены на поиск истины, а токмо ради победы/спорта/просто поболтать. Иначе не приводили бы в пример крайние случаи, которые и так всем понятно что плохо для безопасности. Как CISO, который пилит бабло и присваивает идеи подчиненных, так и принижение роли практических навыков и инструментов.

doom комментирует...

Да, в общем-то, никто ж не принижает роль специалиста... Просто хороших специалистов ооочень мало - надо выстраивать процесс так, чтобы получать удовлетворительный результат с теми, кто есть.

Andrey Ant комментирует...

2 doom:
“Сочувствую вашему негативному опыту работы на предприятии.”
На предприятиях. За 4 года я сменил работу 5 раз! И это были как в небольшие, так и очень крупные компании. Довелось поработать и безопасником и в интеграторе и исследователем. И ситуация я Вам скажу удручающая.

“Вообще, тот типаж CISO, что вы описали - это не "бумажный безопасник", а стандартный человек-из-органов-на-пенсии. Именно они себя так ведут. “

Не всегда так, но процентов в 80-90, так или иначе связанные со службами или органами. Это касается не только CISO но и РП в интеграторах или некоторых топов, которые порой не просто далеки от infosec или пентеста, но и вообще от IT. Зато у них есть влиятельные друзья или родственники, и сидят они на своих местах только благодаря им. А выбиваются в таких компаниях в начальники отделов или замы не те люди, которые обладают реальными навыками и знаниями, а те кто хорошо умеет работать языком или, простите за выражение, лизать жопу таким руководителям ).

“P.S. И мне интересно узнать, что же в вашем понимании Change Management и Patch Management? Как их реализовать без бумаги (точнее без выстраивания самих процессов)? Там технические средства - дело десятое, так-то...”

Никто не спорит с тем что должны быть соответствующие документы, но одних документов слишком мало и они должны быть качественными, а не количественными. Их практически никто не читает, кроме самих же безопасников и служат они по большей части для того, чтобы прикрыть “мягкое место” того же бумажного CISO, или служить поводом для увольнения того или иного неугодного сотрудника ). По факту в некоторых компаниях все неплохо с документацией, но вот порой эта самая документация сильно далека от реальной ситуации, так как отсутствует мониторинг и контроль за ее выполнением. Какой толк скажите мне от одного наличия таких документов, кроме как пройти соотв. проверки контролирующих органов? Реально они как то помогают защититься от реальных угроз?


“Просто хороших специалистов ооочень мало - надо выстраивать процесс так, чтобы получать удовлетворительный результат с теми, кто есть.”

Это точно их оооооочень немного, но они есть, и им не все равно на ИБ в России.А чтобы это не было просто словами, нужен конструктивный диалог (вместо взаимных упреков в твиттерах линкединах и т.д.).
Я считаю, что CISO должны быть интересны такие мероприятия как ZN или PHDays и по крайней мере надо выслушивать точку зрения практиков и быть в курсе последних уязвимостей, продуктов, методов противодействия и т.д. Иначе вся эта бумажная работа только и будет оставаться только бумажной и далекой от реальности. По тому как если и есть заинтересованность в реальной ИБ то она должна соответствовать практике.

doom комментирует...

>По факту в некоторых компаниях все неплохо с документацией, но вот порой эта самая документация сильно далека от реальной ситуации, так как отсутствует мониторинг и контроль за ее выполнением.

Значит все плохо с документацией. Кроме документов есть еще записи - это понятие одинаковое, что в ISO 9000, что в 27000 - это как раз некий метод накопления свидетельств выполнения процесса.
У нас да - распространена ситуация, когда делаются документы для галочки и все на них забивают.

>Я считаю, что CISO должны быть интересны такие мероприятия как ZN или PHDays и по крайней мере надо выслушивать точку зрения практиков и быть в курсе последних уязвимостей, продуктов, методов противодействия и т.д. Иначе вся эта бумажная работа только и будет оставаться только бумажной и далекой от реальности. По тому как если и есть заинтересованность в реальной ИБ то она должна соответствовать практике.


У CISO на это просто нет времени. Даже я уже давно не могу себе позволить приехать на какой-нибудь PHD (а я совсем даже не CISO :) ), а если доберусь, то я знаю, что мне там будет несколько скучновато - ибо у меня нет необходимости настолько детально погружаться в технику.

Andrey Ant комментирует...

“Значит все плохо с документацией. Кроме документов есть еще записи - это понятие одинаковое, что в ISO 9000, что в 27000 - это как раз некий метод накопления свидетельств выполнения процесса.”

Для того чтобы вести подобные записи выполнения процесса – нужен практический мониторинг и контроль. Бумага тут не поможет.

“У нас да - распространена ситуация, когда делаются документы для галочки и все на них забивают.” - в точку.

“У CISO на это просто нет времени. Даже я уже давно не могу себе позволить приехать на какой-нибудь PHD (а я совсем даже не CISO :) ), а если доберусь, то я знаю, что мне там будет несколько скучновато - ибо у меня нет необходимости настолько детально погружаться в технику.”

Тоесть Вы хотите сказать, что на ibbank и прочие infobez тусовки у CISO есть время, а на практические конфы – нет? Очень слабый аргумент. На PHDays, ZN есть не только доклады с углубленным техническим уклоном, но и демонстрации техник, новых продуктов и т.д...

“While you do not know life, how can you know about death?” Confucius
While you do not know attack, how can you know about defense? ...

Алекс Алекс комментирует...

Вот и учат. Только не штатные преподаватели.

Алекс Алекс комментирует...

Вот и учат. Только не штатные преподаватели.