Нахожусь я сейчас на ежегодной конференции Cisco SecCon 2012, которая как и всегда посвящена совершенно различным аспектам обеспечения информационной безопасности. О прошлогодней конференции я уже писал; теперь обращусь к тому, что говорилось на этой (в первый день).Тон задала Reeny Sondhi (фиг знает, как индийские имена переводятся на русский), директор по качеству безопасности продуктов EMC.
Она рассказывала о проблемах с качеством безопасности (не знаю как нормально на русский перевести security assurance) в современных ИТ-продуктах. Привела достаточно интересную модель зрелости процесса оценки качества ИБ, и место ИТ-лидеров современности на ней. Большинство игроков (Cisco, EMC, Microsoft и другие) уже давно находятся на 3-м уровне, постепенно сдвигаясь к 4-му уровню (всего уровней пять). Если вкратце, то уровни следующие:
Но это потребует от регуляторов смены всей парадигмы регулирования ИБ и переход от реактивного подхода, заключающегося в требовании реагирования на инциденты, в сторону проактивного, когда мы устраняем саму причину возникновения и развития инцидента. И речь не о идее навесной системы защиты, которую так активно двигают ФСТЭК и ФСБ, а о рекомендациях внедрения SDLC всеми разработчиками российских средств защиты и, возможно, разработчиками иного ПО. Безопасность должна быть интегрированной, а не наложенной. Но это потребует от регуляторов смены парадигмы - необходимо менять акцент и более глубоко копать тему SDLC, code review, agile-разработка и т.д. Совершенно иные компетенции, иные знания, иная квалификация. Но без этого никуда. Чем дальше, тем сложнее будет бороться с новыми угрозами, 0Day-уязвимостями, APT и т.д. Особенно в условиях неразвитости отечественного рынка средств защиты.
Но и не одни только регуляторы должны что-то делать. Движение должно идти с двух сторон. Cами разработчики (и СЗИ и другого ПО), которые должны для себя понять, что внедрение SDLC выгоднее, чем устранение последствий от выявленных уязвимостей или закладок. Правда, пока, и это надо признать, это не более чем разговоры. В России пока невыгодно заниматься этими вопросами. Ведь никто никакой ответственности не несет. Разработчик продает свой софт "as is". Испытательная лаборатория не гарантирует качества своей работы. Орган по сертификации тоже не несет ответственности за выданные им сертификаты соответствия.
Достаточно вспомнить недавний случай с одним из отечественных VPN-продуктов. Через 2 дня после появления пресс-релиза о получении VPN-продуктом очередного сертификата ФСБ на одном из хакерских форумов появляется сообщение о взломе данного продукта. И ничего... Все спущено было на тормозах. Вполне допускаю, что разработчик устранил источник проблемы. Но никакой ответственности он не понес. Сертификат никто не отозвал. Регулятор может и вообще не в курсе, что в Интернете ходят рекомендации по способам обхода сертифицированной СКЗИ.
Понятия "репутация" у нас пока тоже в среде разработчиков не сильно популярно. В условиях отсутствия серьезной конкуренции на рынке и выборе продуктов по наличию бумажки, а не реального функционала, никто сильно заморачиваться не будет. Ну или почти никто. Компании, смотрящие на Запад, вполне могут задуматься об этом, но это пока единицы. Действия (или точнее бездействия) регуляторов только способствуют продолжению нахождения российского рынка ИБ в такой ситуации. До первого серьезного (очень серьезного) инцидента... Или до смены поколения-двух в наших регуляторах. Первое, с учетом скорости развития технологий, не за горами. Второе... Я не доживу, наверное. Остается надеяться на здравый смысл регуляторов и разработчиков и появления у них желания сдвинуться с удобного тепленького местечка и начать более активно заниматься тем, чем на Западе занимаются уже несколько лет.
Она рассказывала о проблемах с качеством безопасности (не знаю как нормально на русский перевести security assurance) в современных ИТ-продуктах. Привела достаточно интересную модель зрелости процесса оценки качества ИБ, и место ИТ-лидеров современности на ней. Большинство игроков (Cisco, EMC, Microsoft и другие) уже давно находятся на 3-м уровне, постепенно сдвигаясь к 4-му уровню (всего уровней пять). Если вкратце, то уровни следующие:
- Выставление требований по безопасности к разрабатываемому продукту при почти полном отсутствии контроля реализации (включая и качество) этих требований.
- Базовая оценка качества в виде различных процедур Quality Assurance; в первую очередь базовый анализ исполняемого кода пост-фактум.
- Внедрение SDLC и практик code review в разработку ПО. Собственно этому уровню и был посвящен первый день конференции. Докладчики из различных подразделений Cisco, EMC, Microsoft и других компаний делились своим опытом внедрения SDLC, анализа кода, устранения проблем и т.д.
- Учет рисков supply chain management. В первую очередь это касается производителей "железа", которые осуществляют сборку или получают запчасти для своих заводов преимущественно из Китая. Последние публичные и не очень скандалы с китайскими закладками в сетевом оборудовании, в процессорах и т.д. очень серьезно обостряют проблему. И если сама проблема не нова, то только сейчас она вышла на такой уровень, что необходимо ее как-то регулировать.
- Высший уровень (по версии EMC) правильно выстроенного процесса повышения качества ПО с точки зрения безопасности - передача его внешним организациям для тестирования. Но именно как независимая оценка того, что уже правильно было разработано (SDLC) и проверялось самим разработчиком (code review). Просто передача кода для анализа в специалилизрованные компании (завтра будет выступать, например, Coverity) - это не совсем то, что директор направления EMC относит к 5-му уровню модели зрелости. В России такие решения тоже появляются, что не может не радовать.
Но это потребует от регуляторов смены всей парадигмы регулирования ИБ и переход от реактивного подхода, заключающегося в требовании реагирования на инциденты, в сторону проактивного, когда мы устраняем саму причину возникновения и развития инцидента. И речь не о идее навесной системы защиты, которую так активно двигают ФСТЭК и ФСБ, а о рекомендациях внедрения SDLC всеми разработчиками российских средств защиты и, возможно, разработчиками иного ПО. Безопасность должна быть интегрированной, а не наложенной. Но это потребует от регуляторов смены парадигмы - необходимо менять акцент и более глубоко копать тему SDLC, code review, agile-разработка и т.д. Совершенно иные компетенции, иные знания, иная квалификация. Но без этого никуда. Чем дальше, тем сложнее будет бороться с новыми угрозами, 0Day-уязвимостями, APT и т.д. Особенно в условиях неразвитости отечественного рынка средств защиты.
Но и не одни только регуляторы должны что-то делать. Движение должно идти с двух сторон. Cами разработчики (и СЗИ и другого ПО), которые должны для себя понять, что внедрение SDLC выгоднее, чем устранение последствий от выявленных уязвимостей или закладок. Правда, пока, и это надо признать, это не более чем разговоры. В России пока невыгодно заниматься этими вопросами. Ведь никто никакой ответственности не несет. Разработчик продает свой софт "as is". Испытательная лаборатория не гарантирует качества своей работы. Орган по сертификации тоже не несет ответственности за выданные им сертификаты соответствия.
Достаточно вспомнить недавний случай с одним из отечественных VPN-продуктов. Через 2 дня после появления пресс-релиза о получении VPN-продуктом очередного сертификата ФСБ на одном из хакерских форумов появляется сообщение о взломе данного продукта. И ничего... Все спущено было на тормозах. Вполне допускаю, что разработчик устранил источник проблемы. Но никакой ответственности он не понес. Сертификат никто не отозвал. Регулятор может и вообще не в курсе, что в Интернете ходят рекомендации по способам обхода сертифицированной СКЗИ.
Понятия "репутация" у нас пока тоже в среде разработчиков не сильно популярно. В условиях отсутствия серьезной конкуренции на рынке и выборе продуктов по наличию бумажки, а не реального функционала, никто сильно заморачиваться не будет. Ну или почти никто. Компании, смотрящие на Запад, вполне могут задуматься об этом, но это пока единицы. Действия (или точнее бездействия) регуляторов только способствуют продолжению нахождения российского рынка ИБ в такой ситуации. До первого серьезного (очень серьезного) инцидента... Или до смены поколения-двух в наших регуляторах. Первое, с учетом скорости развития технологий, не за горами. Второе... Я не доживу, наверное. Остается надеяться на здравый смысл регуляторов и разработчиков и появления у них желания сдвинуться с удобного тепленького местечка и начать более активно заниматься тем, чем на Западе занимаются уже несколько лет.
Этот комментарий был удален автором.
ОтветитьУдалитьУра! наконец то об этом стали чаще говорить). Только ИМХО на 5 этапе решения на которые вы ссылаетесь уже будут бесполезны там только ручной аудит, ибо статичеческие анализаторы даже самые навороченные это 3 этап. То же Coverity использует SAP на 3 этапе. То что на Российском рынке это можно даже отнести скорее ко 2-му (Со слов самих же разработчиков)
ОтветитьУдалитьТак вы же не говорите об этом ;-) Вы только результаты выдаете - там плохо, сям плохо ;-) Хотя могли бы оседлать этого коня, а не ругать конкурентов, что они г-опиаром занимаются ;-)
ОтветитьУдалитьЧто касается ссылки, то она для примера и там не только автоматизированные инструменты. Те же Positve и вы делаете и ручной анализ.
Осёдлываем потихоничку, и помогаем выстраивать тот самый пресловутый SDLC одой небезызвестной компании и вполне готовы помочь другим, были бы желающие. Ну а того что выдаём только результаты, хотел отписать в линкедине да не успел так как тема уплыла совсем далеко. Суть в том, что результаты это только верхушка айзберга. За каждым Advisory стоит огромная работа по консультации и помощи по тому как не допускать подобных проблем в будущем и как автоматизировать поиск подобных проблем для уже созданных решений. А по поводу SLDC тема в целом мне кажется настолько очевдной что както и не задумывался что об этом стоит говорить, но видимо России и есть смысл)
ОтветитьУдалитьЕсли смотреть с точки зрения бизнеса - разработчик оценивает насколько выгодно использовать преимущества качества безопасности. Все упирается в это! Предположим, что введение процедур проектирования и реализации безопасного кода не влияет на сроки выпуска поделки. Предположим, что это внедрение почти ничего не стоит! Пока "рынок" не реагирует на подобные преимущества ничего не поделать! Должен появиться "Мессия" - менеджер/игрок, который сумеет продать такие преимущества!
ОтветитьУдалить5 этап я бы наполнил динамическим сопровождением безопасного применения. Было бы с кем на эту тему серьезно пообщаться...
ОтветитьУдалитьНу флаг SDLC кто-то должен поднять и нести. В Америке - это неплохая ниша, на которой люди деньги зарабатывают
ОтветитьУдалитьВообще, возвращаясь к Awareness в данной области, ZeroNights изначально была направлена на Девелоперов и Хакеров и несёт за собой цель Awareness какараз больше в среде разработчиков нежели Админов и CISO
ОтветитьУдалитьДля чего во первых в качестве партнёров была выбрана компания software people делающая девелоперские конференции. 2) В хабре я поднимал топик созывающий разработчиков высказаться по теме ИБ на FastTrack (к сожалению никто не изволил)
3) Была придумана специально Дискуссионная панель. Не важно во что она вылилась, но моя идея была услышать мнение разработчиков о подходах к защите для чего собственно и позвали Google как одних из лучших в этой области.
4) Ну и конечно доклады.
- продвинутый фаззинг от финов http://2012.zeronights.org/includes/docs/Kettunen%20Miaubiz.pdf - чисто SDLC
- выявление и анализ специфичных уязвимостей ядра от Google http://2012.zeronights.org/includes/docs/Jurczyk%20-%20Windows%20kernel%20reference%20count%20vulnerabilities.%20Case%20study.pdf
- Воркшоп по утилите ASAN позволяющей отлавливать уязвимости повреждения памяти http://2012.zeronights.org/includes/docs/Potapenko%20Vyukov.pdf
- крутейший метод поиска уязвимостей в WEB приложениях в крупных масштабах http://2012.zeronights.org/includes/docs/Shay%20Chen%20-%20The%20Diviner%20-%20Digital%20Clairvoyance%20Breakthrough%20-%20Gaining%20Access%20to%20the%20Source%20Code%20&%20Server%20Side%20Memory%20Structure%20of%20ANY%20Application.pdf
- проект по утилитам на питоне для реверс инжиниринга http://2012.zeronights.org/includes/docs/Evdokimov%20-%20Python%20arsenal%20for%20RE.pdf
ИТД ещё масса примеров. И это ВСЕ практические примеры реализации SDLC. После этого странно слышать, что никто не двигает эту тему. Хотя да, мы не достаточно двигаем ее для высшего руководства, на спец конференциях возможно, тут наш промах, но мы двигаем ее для тех, кто завтра будет этим руководством, а читать общие доклады на тему как это важно, в 2012 году? Да меня коллеги засмеют )
2 Alexander Polyakov
ОтветитьУдалитьИМХО нужен некий каркас, в который уже встраивать методы... На данный момент, когда заходит речь о каркасе либо произносится набор АБРЕВИАТУР или заходит речь о неких продуктах.
Попытки продавить некий каркас - плохо воспринимается, но его не так сложно сделать!
Второй вопрос, как расшевелить рынок - только преимуществами...
Какой поднять флаг SDLC? Вы о чем? Леша ж сугубо теоретик. А практика проста - нашим разрабам не до SDLC - это прерогатива крупных вендоров (да и то не всех). У нас что есть крупные разрабы? Вы о чем вообще?
ОтветитьУдалитьЗабыл добавить про аперкат. У Рустэма это, как он сам говорит, простой и дешевый поляроид, а не дорогая и крутая зеркалка. То есть сервис для быстрого неглубокого сканирования кода. Его задача горизонтальное расширение (увеличение числа языков). А большим разрабам нужно в SDLC (и крупные вендоры их и используют) решения с глубоким и серьезным анализом кода в каждом из используемых ими языков (в терминологии Руста сложные зеркалки).
ОтветитьУдалитьПоэтому, как я понимаю, для SDLC аперкат не подходит в принципе - это или фортифай и др. аналогичные "тяжелые" продукты для глубокого анализа. Аперкат скорее для мелких разрабов или тех, кто хочет быстро и дешево найти базовые проблемы в своем софте. А если хочешь копать глубже - то велкам в спец. средства. По крайней мере пока так. Но Руст молодец полюбому - у нас мало кто делает нормальные современные продукты.
Илья, кто плачется везде, что отрасль отстала? Вот и двигай, а не навешивай ярлыки на всех. Не хочешь двигать, лучше вообще молчать. А то болтуном будут звать.
ОтветитьУдалитьАлександр, "двигать" - это планомерная работа, а не от ZN к ZN. Нужны статьи, блог, Twitter, мастер-классы, eLearning, книжки и т.п.
ОтветитьУдалитьНикто не спорит, вы делаете нужное дело. Но его мало. К тому же у вас аудитория немного иная, чем должна быть. Надо расширять и углублять. И партнерится с другими.
Только Илью не подпускайте к этому делу, а то он всех обольет говнищем и навесит всем ярлыков "теоретиков" и "конъюнктурщиков". С ним после этого вообще перестанут общаться в приличном обществе. Останется только эмигрировать
Лех, мы все так или иначе конъюктурщики - это нормальный способо выжить - приспосабливаться. Не обижайся)
ОтветитьУдалитьА по теме - то чем DSEC занимается и что так активно продвигает на рынке СНГ последние 5 лет (аудит защищенности приложений) - это и есть неотъемлимая часть SDLC.
А в остальном рынка этого в РФ нет и не предвидится. Руст СОВЕРШЕННО прав, делая свой поляроид. Потому что бодаться с тяжелыми решениями нет смысла (технологически их повторить дорого и сложно), да и в РФ кому они нужны. А для РФ его бизнес модель совершенно правильная. Именно потому, что у нас нет больших вендоров кому нужно SDLC (и вообще вендоров, кому это нужно)
Сейчас аудит приложений у нас это на 100% проблемы кастомеров - они заказчики, а у них кода обычно нет, если только они сами не разрабы.
Так что тут мы и работаем по полной - на рынке кастомеров. Просто не кричим, что это часть SDLC - кастомерам это все равно - они не часть SDLC и им все равно что такое SDLC
Говоря про рынок, которого нет, я имел в виду, что у нас нет рынка SDLC, где услуга (анализ архитектуры, аудит кода, пентест приложения и тд) предлагается непосредственно вендору. У нас этот рынок в целом в начальной стадии, когда можно условно считать, что заказчик вместо вендора вынужден за свой счет проверять свои приложения и он находится на последнем этапе цикла. Хотя так может быть и при нормальном SDLC, причем во многих случаях.
ОтветитьУдалитьВ теории то да, все выглядит красиво, но у нас она как всегда разбивается о практику. И кажется что ой это новый рынок. Ничего нового на самом деле - все старое. Хотя дорогу осилит идущий и мы пропагандой в том или ином виде SDLC (все равно на стороне вендора или кастомера) занимаемся последние лет 5. Просто в SDLC у вендора в РФ я не верю - нет у нас вендоров уровня SAP, Oracle, Майкрософт и тд и не будет. А мелким это не потянуть. Тем более при наличии кастом билдов под заказчиков, например, как в ДБО - это вообще нереально.
Так что резюмирую - ничего нового тут в SDLC нет, как нет и нового рынка. Просто в наших реалиях аудит защищенности выполняется всегда на стороне заказчика и за его счет и все.
А что касается про "плакаться", то мы то тут работаем и активно развиваем отрасль (техническую ее часть) как можем. Плакаться не наш метод. Но то что отрасль в глубокой Ж по отношению к западу - это да, факт. И мы этот факт отмечаем, не более того. И это нормально - адекватно без розовых очков оценивать то место, где находится наша отрасль. Дорогу осилит идущий - работать надо, компетенции развивать, западный опыт перенимать, идти на запад, делать конкурентные на западе продукты и предлагать там услуги. И переносить все это к нам.
ОтветитьУдалитьНу то есть опять в воду пузырей напускали... До конкретных дел дело опять не пошло ;-) Примерно так я и предполагал
ОтветитьУдалитьПошутил, понимаю.
ОтветитьУдалитьНо если серьезно, то ты о чем, кстати? Что именно ты ждал? Каких еще конкретных дел? Что нужно еще делать и с какой целью?
Казалось бы, что и так действия вполне себе конкретные и последовательные ... По крайней мере как мы себе это видим.
Хотя, конечно, нет предела на пути к совершенству и много тут никогда не бывает.
Илюха, когда некто поднимает волну "все говно, один я во фраке", от него ждут ХОТЯ БЫ конкретного списка мер, чтобы все вылезли из говна. Еще лучше, когда этот некто предпринимает сам усилия вытащить все и всех из говна. Т.е. Он не только балаболит, но и что-то пытается делать. ДЕЛАТЬ - это ключевое условие. Делать не для себя или своего бизнеса, но и для других. Если же делать ничего не хочется, то и лучше и волну не поднимать - зачем каждый раз напоминать всем, что они в говне?..
ОтветитьУдалитьТакое ощущение, что мы с тобой живем вообще в параллельных мирах. Разговор слепого с глухонемым.
ОтветитьУдалитьОднако есть одно отличие. Мы твой мир "бумажной" безопасности знаем и замечаем и уважаем все что вы делаете и что делаешь конкретно ты; ты же нашим миром технической безопасности (хакерским миром) упорно не интересуешься и в упор не хочешь замечать какие-либо активности этого мира. По крайней мере наши, то есть DSEC. И это уже не смешно.
Мы не развиваем индустрию? Ты о чем?? Что за постоянный пардон бред про балобольство? Если не знаешь, не интересуешься - ну хоть спроси, расскажу.
Берем срез за последние 4-5 лет.
Исследования, постоянные выступления (РФ, запад), новости, книга от 07-08гг года "Oracle глазами аудитора" (в задолго до этого, кстати, легндарная "Атака на Интернет"), поддержка портала pcidss.ru, организация и проведение в год двух конференций: PCI DSS Russia (банковская) и знаковая хакерская ZeroNights, помощь в написании руководящих технических документов ФСТЭК и тд. И много кого ты знаешь, кто делает здесь больше? И кто здесь балобол?? И шевелим и развиваем мы его не только для себя - кто угодно может воспользоваться этими плодами. ZN - это не пхд - прежде всего задуманная как день открытых дверей для клиентов пт (это не значит, что пхд плохая - она просто другая); zn напрямую нам ничего не дает кроме пока прямых финасовых убытков - там нет наших клиентов и нашим сейлам там нечего делать. Это, во многом, миссионерство и развитие рынка для всех.
Поэтому извини, но я устал слышать этот бред про балобольство или это на воре шапка горит?
Слезай уже с этого своего нового конька "хватит критиковать -давайте делать" - это оттуда звон? Он ну никак не про нас, это скорее про бумажников в силу их специфики - уж больно просто там побалоболить -велик соблазн; а у нас иди побалоболь на блекхате перед хакерами, ага. Я же не говорю и даже в мыслях не держу, что ты "балобол", "один во фраке", "обливал дермищем" и др. твои последние эпитеты :), хотя ты тоже много ругаешь (и в основном всегда ругал и справедливо ругал, что характерно) по своей теме и следов и реальных плодов твоего труда не так просто отыскать. Где, кстати, твои книги и конфы по ПД - попробуй организуй конфу уровня ZN или пхд с циклом подготовки в 6 мес и бешенной трудоемкостью для кучи людей. Но я же прекрасно понимаю, как все там не просто и ценю, как и все мы, твои усилия в этой области. Откуда же такое полное неуважение к нашему труду, который, мягко говоря, по определению ГОРАЗДО (на МНОГИЕ порядки) более наукоемкий и трудоемкий, чем твой: технологии, это не бумажная безопасность, где можно просто проанализировать закон на n страниц (я не говорю, что это просто; я утверждаю, что это не сравнимо по трудоемкости и сложности). Откуда такое неуважение к zn и пхд - которые как оказалось незнаковые события (в мире бумажной безопасности однозначно, не спорю) и не влияют на индустрию ИБ (ты сказал так про зн, а пхд брат близнец, так что пхд я уже добавил сам).
Не находишь все это странным?
Продолжим.
ОтветитьУдалитьОткуда такое неуважение к тяжелому инженерному труду и тяжелейшим попыткам без поддержки законодателя привлечь внимание рынка к техническим аспектам защищенности на напрочь забюракратизированном рынке, забитым по уши ПД и иже с ними, где такими темпами скоро ничего не останется кроме бумажной безопасности??? И где в итоге реально страна будет поставлена перед угрозой технологической катастрофы пока все пишут бумажки и занимаются комплайнсом.
Откуда это неуважение к технарям с твоей стороны при уважении с другой?? Хотя, конечно, вся молодежь, технари, хакеры вас (бумажную безопасность в целом) не уважают и уже тихо или громко ненавидят (пример из недавних- Солдатов) в этом причина? Обида говорит или что? Или просто банально внезапно появившаяся вдруг нелюбовь к дсек, когда "эпическая" пхд - это ок, а достаточно скромно "знаковая для индустрии" ZN - это вдруг не ок - если так, то понимаю, вопрос про неуважение к технарям-хакерам в целом снят. Но я то понимаю всю важность вашего мира; пойми и ты важность нашего - нам надо идти вместе.
Так давайте уважать труд друг друга и работать вместе. Ведь ситуация крайне опасна - эти два мира: бумажный и технический расходятся все дальше, антогонизм растет. Все это кончится плохо, если не принять мер. Как первый шаг, хотя бы элементарно научиться уважать труд друг друга.
Давай сближать миры и хватит уже сориться на пустом месте. Этим мирам нечего делить.
Хочешь про Хакеры vs Законники можно на линкдедине поговорить. Тема важная. И пропасть непонимания растет.
В общем резюме.
ОтветитьУдалитьДавайте заканчивать распри и противопоставления между законниками и технарями. Оставь обвинения и давай переходить к конструктиву. Иного пути нет.
В частности если есть претензии/пожелания к ZN - ок, велкам - высказывай, советуй. Это открытая для всех конференция и к ее оргам может примкнуть каждый.
tinyurl.com/b4qaybu
ОтветитьУдалитьА здесь в линкедине мы продолжили этот разговор, развив тем самым тему круглого стола на ZeroNights 2012 "Ресечеры vs Разрабы". Хорошо поговорили. Доступно. Присоединяйтесь.
Забыл добавить в заключение. Все что ты написал про SDLC и наших отечественных вендоров - подписываюсь под каждым твоим словом.
ОтветитьУдалитьХотя я вижу вариант выхода из этой ситуации. Так что может и доживем :).
2 ilya:
ОтветитьУдалить- Нет, не видишь...
- Нет, не получится...
Женя, ну типа того :)
ОтветитьУдалитьА если вернуть в обраточку, то Лешка, сейчас стоя один весь такой красивый "во фраке", буквально на пустом месте "облил дерьмищем" всех наших бедных, забитых и таких классных вендоров и долго "ныл" и "балоболил" про то как все у нас плохо, не предложив "ничего" рынку и не указав путь в светлое будущее. Леша, ну как же ты так не хорошо а :).
Вот ровно так по такому сценарию у нас последнее время строятся все "беседы" - именно это я слышу в ответ на любую свою самую невинную шутку или критику кого-либо. Прикольная позиция - возьму на вооружение :)
Раз меня тут помянули, я встряну. Я половины не понимаю на ваших конфах. И РД я не читал, что мне в нос тычут регулярно.
ОтветитьУдалитьНо я немножечко умею слушать клиентов по обе стороны океана. Слышно следующее - не SDLC (это частность), а целиком Custom Build Application Security будет NEXT BIG THING в Enterprise Security. Уже в 2013 году на эту тему в России потратят миллиард рублей - я в курсе большинства больших проектов, я этим на жизнь зарабатываю. Это, минуточку, больше, чем на весь DLP. Ни в одной крупной компании нет даже программы по Application Security - более пустого рынка я никогда не видел - 86% компаний с количеством компьютеров более 1000 имеют в штате программистов и только 7% из них (то есть 6% от опрощенных) используют какие-либо технические меры по контролю кода.
Я однажды сделал с нуля целую отрасль в ИБ России. Не в одиночку и не на свои деньги, но сделал. Это DLP. Я понимаю, как делаются новые рынки, и я уже начал это делать с Application Security, учитывая наши ошибки с DLP - работу с регуляторами, учебные курсы, отчеты, PR всей темы, ну и продажи софта и сопутствующего консалтинга.
Если мы не будем меряться пиписьками, и ждать, что кто-то для нас разовьет рынок, то денег и славы на этом поприще хватит всем. Специфика Enterprise Security в России такова, что, нравится вам это или нет, сначала покупают продукты, а потом уже рисерчи. Позитивы этому отличный пример.
Если хотите - можно собраться в январе и под коньяк с сигарами обсудить перспективы на этом рынке. Можно создать маленький, но очень эффективный союз по формированию рынка под себя. Почти каждому из писавших я уже делал предложения, но раз вы сами подняли тему - почему бы и не встретиться всем - время сэкономим. Роли понятны - у кого регуляторы, у кого рисечи, у кого креатив. Trust me, I did it once.
Таки да, я за
ОтветитьУдалитьИлюха, ты так ничего и не понял. Если вспомнить, то мое противостояние началось с одного события - ты начал поливать говном позитивщиков в LI. Сначала с PHD, потом с отчетом по АСУ ТП. Ты обвинял их в говнопиаре, некомпетенции и т.д. И только после этого я стал "наезжать" на тебя. Причем ты сам использовал ровно теже самые говнопиарские технологии, в использовании которых ты обвинял Позитив. Я тебе на это и указал - не более.
ОтветитьУдалитьНикто инженеров не унижал и обвинял в ненужности. Этого ничего не было и нет. Я прекрасно понимаю, что они делают, что вы делаете и т.д. И вы молодцы, что делаете то, что вы делаете.
Только не надо себя превозносить над всем миру, за счет наездов на конкретную компанию. Просто превозносить? Пожалуйста. Писать о своей крутости? Пожалуйста. Писать, что все в говне, я один во фраке? Пожалуйста. Только без перехода на личности ;-)
Что касается того, что я ни слова плохого не сказал про Позитив, то опять же потому, что они-то молчат про вас и на публику не выносят сор, и публично себя с вами не сравнивают. Они делают свое дело, вы свое. Если бы они стали публично наезжать на вам и им бы досталось, но они себе такого не позволяют. Что же касается моего отношения с ними, то у меня с ними были терки гораздо серьезнее (несколько лет назад). Просто это уже забылось ;-)
Вот собственно и все ;-)
2 Рустэм:
ОтветитьУдалить"сначала покупают продукты, а потом уже рисерчи"
- очень правильное и очень важное замечание! При разработке поделки так же нужно учитывать ее дальнейшую нишу. Но у нас не просто сначала продукт!
У нас продукт под проект за чужие деньги! Есть идеи, есть начатые разработки, но они в начале забуксовали пока денежка не капнет...
2 Евгений Родыгин: тем более есть тема встретиться :).
ОтветитьУдалитьДавайте давайте - жду всех в Питере !
ОтветитьУдалитьС одной разницей - я пошумел тогда на ПТ (был повод и не один) и забыл, а ты до сих пор забыть не можешь.
ОтветитьУдалитьЛадно мир :)
А Руст, прав да. Этот рынок надо формировать. Другое дело, а может ли он в принципе быть сформирован и если да, то в каком виде. Тут большой вопрос.