19.06.2015

Можно ли считать Snort отечественной системой обнаружения атак и может ли он защищать гостайну?

Продолжу тему про импортозамещение в отечественной ИБ-индустрии. Итак на сайте "Кода безопасности" в открытом доступе лежит сравнение их "Детектора атак" с другими отечественными системами обнаружения атак. Нормальный документ, но не без косяков, конечно, присущих любому конкурентному анализу. Например, в разделе про базу сигнатур (решающих правил) в одном случае написано, что она коммерческая, а в другом - что она состоит из собственных, открытых и коммерческих сигнатур, совместимых только со Snort. Почему для первой системы это не указано, если она тоже базируется на Snort?


Но удивило меня не это (косяки или некоторые преувеличения в конкурентных сравнениях допускают все). Вопрос в другом. Как можно было при использовании разработанного в США Snort (кстати, не самой последней версии),


Фрагмент документации

при использовании американской базы сигнатур атак (а Emerging Threats, чьей базой пользуется "Детектор атак", принадлежит американской Proofpoint),
Фрагмент с сайта

говорить о том, что


Я даже сейчас вопрос с ОС (а там все построено на базе FreeBSD, OpenBSD, Linux и Windows) не поднимаю, а они явно разработаны не компаниях-"разработчиках" систем обнаружения вторжений. Тут хотя бы по движку IDS решить. Можно ли его называть разработанным в России, да еще конкретной компанией? Как мне кажется, нет! А уж по в отношении всего ПО и его составных частей тем более.

Кстати, когда я уже писал эту заметку, в голову залетела шальная мысль: "А как вообще американская Emerging Threats может продавать в России свою продукцию, которая используется в организациях, находящихся под санкциями?" Это ж риски для потребителя, который в определенный момент просто не сможет получать актуальные сигнатуры атак...

При этом все эти системы могут не только интегрироваться в ГосСОПКУ (это, кстати, 8-й Центр ФСБ вполне допускает), но и защищать гостайну.


Выводов никаких не делаю - делал еще в прошлый раз.

ЗЫ. Увы, но недавние дискуссии в Facebook по поводу переделанной под гостайну и местами неработающей так как от нее ждут ОС Astra Linux показывают, что даже с open source у нас до конца не смогли разобраться.

21 коммент.:

Alexey Sintsov комментирует...

Эххх... мне грустно...Но ответ же очевиден.
Зачем тратить много денег на разработку, когда можно чуть-чуть? А потребитель все равно днище и ему пофиг, главное, что бюджет ему надо освоить и формально иметь что-то 8) Бизнес идет по пути наименьшего сопротивления, максимальной дешивизны разработки и максимально возможного дохода.

Alexey Sintsov комментирует...
Этот комментарий был удален автором.
Alexey Sintsov комментирует...

ВТорой вопрос: нарушают ли они лицензию GPL снорта?

Алексей Лукацкий комментирует...

1. Да, поэтому я и считаю, что это очковтирательство.
2. Нет, формально не нарушают. Уже выясняли это

Александр Бодрик комментирует...

1 - А если они соответствуют критериям Минкомсвязи (например не больше 30% лицензионных отчислений за рубеж)?:)

Алексей Лукацкий комментирует...

Так вопрос не в критериях же :-)

Ilmar S. Habibulin комментирует...

Ща шёл от метро и пришёл в голову ответ на 1 вопрос.
В этих случаях всех интересует богомерзкий комплаенс, а в простонародье сертификат.
Функциональность не интересует, или так, интересует выполнения ограниченного круга задач и только их.
Всё. Если надо было бы функционал -- сделали бы. Его не надо.
Тут у твоего любимого Медведовского ссылка на плач директора ИВК что ли был. Там после фразы про некомпетентных заказчиков можно дальше не читать. Будет в этой области компетентный заказчик -- будет меньше гавна

p.a.kulikov комментирует...

Заряжаем и лезем на башню с говнометом!
А как определить компетентность заказчика? Есть критериальная модель?

Александр Бодрик комментирует...

Моделей компетенций полно (NICCS, e-CF, SFIA), но вот обычно имеется ввиду отсутствие знаний в некой узкой области, которая считается "главной" и "основной".

Denis комментирует...

Больше не лежит обсуждаемый документ на сайте )

Алексей Лукацкий комментирует...

Респект - убрали. Хотя и в пятницу вечером.

doom комментирует...

Дак вообще неблагодарная это тема выводить критерии отечественного продукта...
Если уходить совсем в ортодоксальные требования, то это надо и весь софт самописный, и все библиотеки, и системное ПО делать отечественными. Но этого мало! Также отечественными должны быть средства разработки, а также все окружение, используемое при разработке (чтоб уж наверняка). Но это путь в никуда...

Тот же snort можно рассматривать как публичную библиотеку (почему за использование nDPI, например, таких "наездов" нет, как за snort?), проблема в том, что snort позиционируется как самостоятельный продукт. Но, если, например, отечественный разработчик написал кучу процессоров для snort'а - он может назвать полученный продукт "отечественной разработкой"? По мне - да.

P.S. Я понимаю, что возмущение здесь скорее вызвали громкие заявления про то, что все компоненты системы отечественной разработки, но все равно тема очень не однозначная.

ser-storchak комментирует...

Представил пример. Купил себе собаку(snort), чтобы территорию охраняла. Посадил её на цепь, выстроил вольер (куча процессоров для snort'а). Но однажды собака убежала (санкции). Является ли теперь цель и вольер средством охраны территории? По мне - нет.

doom комментирует...

А какие санкции к Open Source?
Повторюсь, что снорт - это, практически, библиотека.
Запретить использовать даже glibc в отечественных продуктах что ли?

Алексей Лукацкий комментирует...

Снорт - это еще и сигнатуры. А их можно перестать поставлять

Александр Бодрик комментирует...

Сигнатуры можно разрабатывать. И это придется делать в любом случае, если мы ориентируемся на местный продукт

Алексей Лукацкий комментирует...

Для этого надо мощный R&D иметь

Александр Хен комментирует...

Алексей, день добрый.

Отечественный поделий на Snort е я знаю как минимум 3.И есть как минимум 3 отечественных поделия на Вате. Это последователи Попова. Самое печальное все подобные решения получили сертификаты и бирочку "made in Russia".

Сигнатуры, обновление едра системы, подключение новых сервисов? Нет, не слышал.


Да, и еще раз да, заказчику важно все эти сертификаты, но не функционал.
А почему для заказчика важны бумажки, тут Алексей и ваша вина немного есть как центр компетенций к которому прислушивается сообщество.

Алексей Лукацкий комментирует...

Опять я во всем виноват

Александр Хен комментирует...

Алексей, я в том плане, что в РФ очень маленькое количество центров влияний(люди) в ИБ.Вам как центру влияния поверят. Понимаете у догоняющих больше нет другой стратегии, кроме как верить центру влияния.

Алексей Лукацкий комментирует...

Это не совсем так :-(