Pages - Menu

Страницы

19.6.15

Можно ли считать Snort отечественной системой обнаружения атак и может ли он защищать гостайну?

Продолжу тему про импортозамещение в отечественной ИБ-индустрии. Итак на сайте "Кода безопасности" в открытом доступе лежит сравнение их "Детектора атак" с другими отечественными системами обнаружения атак. Нормальный документ, но не без косяков, конечно, присущих любому конкурентному анализу. Например, в разделе про базу сигнатур (решающих правил) в одном случае написано, что она коммерческая, а в другом - что она состоит из собственных, открытых и коммерческих сигнатур, совместимых только со Snort. Почему для первой системы это не указано, если она тоже базируется на Snort?


Но удивило меня не это (косяки или некоторые преувеличения в конкурентных сравнениях допускают все). Вопрос в другом. Как можно было при использовании разработанного в США Snort (кстати, не самой последней версии),


Фрагмент документации

при использовании американской базы сигнатур атак (а Emerging Threats, чьей базой пользуется "Детектор атак", принадлежит американской Proofpoint),
Фрагмент с сайта

говорить о том, что


Я даже сейчас вопрос с ОС (а там все построено на базе FreeBSD, OpenBSD, Linux и Windows) не поднимаю, а они явно разработаны не компаниях-"разработчиках" систем обнаружения вторжений. Тут хотя бы по движку IDS решить. Можно ли его называть разработанным в России, да еще конкретной компанией? Как мне кажется, нет! А уж по в отношении всего ПО и его составных частей тем более.

Кстати, когда я уже писал эту заметку, в голову залетела шальная мысль: "А как вообще американская Emerging Threats может продавать в России свою продукцию, которая используется в организациях, находящихся под санкциями?" Это ж риски для потребителя, который в определенный момент просто не сможет получать актуальные сигнатуры атак...

При этом все эти системы могут не только интегрироваться в ГосСОПКУ (это, кстати, 8-й Центр ФСБ вполне допускает), но и защищать гостайну.


Выводов никаких не делаю - делал еще в прошлый раз.

ЗЫ. Увы, но недавние дискуссии в Facebook по поводу переделанной под гостайну и местами неработающей так как от нее ждут ОС Astra Linux показывают, что даже с open source у нас до конца не смогли разобраться.

21 комментарий:

  1. Эххх... мне грустно...Но ответ же очевиден.
    Зачем тратить много денег на разработку, когда можно чуть-чуть? А потребитель все равно днище и ему пофиг, главное, что бюджет ему надо освоить и формально иметь что-то 8) Бизнес идет по пути наименьшего сопротивления, максимальной дешивизны разработки и максимально возможного дохода.

    ОтветитьУдалить
  2. Этот комментарий был удален автором.

    ОтветитьУдалить
  3. ВТорой вопрос: нарушают ли они лицензию GPL снорта?

    ОтветитьУдалить
  4. 1. Да, поэтому я и считаю, что это очковтирательство.
    2. Нет, формально не нарушают. Уже выясняли это

    ОтветитьУдалить
  5. 1 - А если они соответствуют критериям Минкомсвязи (например не больше 30% лицензионных отчислений за рубеж)?:)

    ОтветитьУдалить
  6. Ща шёл от метро и пришёл в голову ответ на 1 вопрос.
    В этих случаях всех интересует богомерзкий комплаенс, а в простонародье сертификат.
    Функциональность не интересует, или так, интересует выполнения ограниченного круга задач и только их.
    Всё. Если надо было бы функционал -- сделали бы. Его не надо.
    Тут у твоего любимого Медведовского ссылка на плач директора ИВК что ли был. Там после фразы про некомпетентных заказчиков можно дальше не читать. Будет в этой области компетентный заказчик -- будет меньше гавна

    ОтветитьУдалить
  7. Заряжаем и лезем на башню с говнометом!
    А как определить компетентность заказчика? Есть критериальная модель?

    ОтветитьУдалить
  8. Моделей компетенций полно (NICCS, e-CF, SFIA), но вот обычно имеется ввиду отсутствие знаний в некой узкой области, которая считается "главной" и "основной".

    ОтветитьУдалить
  9. Больше не лежит обсуждаемый документ на сайте )

    ОтветитьУдалить
  10. Респект - убрали. Хотя и в пятницу вечером.

    ОтветитьУдалить
  11. Дак вообще неблагодарная это тема выводить критерии отечественного продукта...
    Если уходить совсем в ортодоксальные требования, то это надо и весь софт самописный, и все библиотеки, и системное ПО делать отечественными. Но этого мало! Также отечественными должны быть средства разработки, а также все окружение, используемое при разработке (чтоб уж наверняка). Но это путь в никуда...

    Тот же snort можно рассматривать как публичную библиотеку (почему за использование nDPI, например, таких "наездов" нет, как за snort?), проблема в том, что snort позиционируется как самостоятельный продукт. Но, если, например, отечественный разработчик написал кучу процессоров для snort'а - он может назвать полученный продукт "отечественной разработкой"? По мне - да.

    P.S. Я понимаю, что возмущение здесь скорее вызвали громкие заявления про то, что все компоненты системы отечественной разработки, но все равно тема очень не однозначная.

    ОтветитьУдалить
  12. Представил пример. Купил себе собаку(snort), чтобы территорию охраняла. Посадил её на цепь, выстроил вольер (куча процессоров для snort'а). Но однажды собака убежала (санкции). Является ли теперь цель и вольер средством охраны территории? По мне - нет.

    ОтветитьУдалить
  13. А какие санкции к Open Source?
    Повторюсь, что снорт - это, практически, библиотека.
    Запретить использовать даже glibc в отечественных продуктах что ли?

    ОтветитьУдалить
  14. Снорт - это еще и сигнатуры. А их можно перестать поставлять

    ОтветитьУдалить
  15. Сигнатуры можно разрабатывать. И это придется делать в любом случае, если мы ориентируемся на местный продукт

    ОтветитьУдалить
  16. Алексей, день добрый.

    Отечественный поделий на Snort е я знаю как минимум 3.И есть как минимум 3 отечественных поделия на Вате. Это последователи Попова. Самое печальное все подобные решения получили сертификаты и бирочку "made in Russia".

    Сигнатуры, обновление едра системы, подключение новых сервисов? Нет, не слышал.


    Да, и еще раз да, заказчику важно все эти сертификаты, но не функционал.
    А почему для заказчика важны бумажки, тут Алексей и ваша вина немного есть как центр компетенций к которому прислушивается сообщество.

    ОтветитьУдалить
  17. Алексей, я в том плане, что в РФ очень маленькое количество центров влияний(люди) в ИБ.Вам как центру влияния поверят. Понимаете у догоняющих больше нет другой стратегии, кроме как верить центру влияния.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.