Продолжу тему про импортозамещение в отечественной ИБ-индустрии. Итак на сайте "Кода безопасности" в открытом доступе лежит сравнение их "Детектора атак" с другими отечественными системами обнаружения атак. Нормальный документ, но не без косяков, конечно, присущих любому конкурентному анализу. Например, в разделе про базу сигнатур (решающих правил) в одном случае написано, что она коммерческая, а в другом - что она состоит из собственных, открытых и коммерческих сигнатур, совместимых только со Snort. Почему для первой системы это не указано, если она тоже базируется на Snort?
Но удивило меня не это (косяки или некоторые преувеличения в конкурентных сравнениях допускают все). Вопрос в другом. Как можно было при использовании разработанного в США Snort (кстати, не самой последней версии),
при использовании американской базы сигнатур атак (а Emerging Threats, чьей базой пользуется "Детектор атак", принадлежит американской Proofpoint),
Но удивило меня не это (косяки или некоторые преувеличения в конкурентных сравнениях допускают все). Вопрос в другом. Как можно было при использовании разработанного в США Snort (кстати, не самой последней версии),
Фрагмент документации |
при использовании американской базы сигнатур атак (а Emerging Threats, чьей базой пользуется "Детектор атак", принадлежит американской Proofpoint),
Фрагмент с сайта |
говорить о том, что
Я даже сейчас вопрос с ОС (а там все построено на базе FreeBSD, OpenBSD, Linux и Windows) не поднимаю, а они явно разработаны не компаниях-"разработчиках" систем обнаружения вторжений. Тут хотя бы по движку IDS решить. Можно ли его называть разработанным в России, да еще конкретной компанией? Как мне кажется, нет! А уж по в отношении всего ПО и его составных частей тем более.
Кстати, когда я уже писал эту заметку, в голову залетела шальная мысль: "А как вообще американская Emerging Threats может продавать в России свою продукцию, которая используется в организациях, находящихся под санкциями?" Это ж риски для потребителя, который в определенный момент просто не сможет получать актуальные сигнатуры атак...
При этом все эти системы могут не только интегрироваться в ГосСОПКУ (это, кстати, 8-й Центр ФСБ вполне допускает), но и защищать гостайну.
Выводов никаких не делаю - делал еще в прошлый раз.
ЗЫ. Увы, но недавние дискуссии в Facebook по поводу переделанной под гостайну и местами неработающей так как от нее ждут ОС Astra Linux показывают, что даже с open source у нас до конца не смогли разобраться.
Эххх... мне грустно...Но ответ же очевиден.
ОтветитьУдалитьЗачем тратить много денег на разработку, когда можно чуть-чуть? А потребитель все равно днище и ему пофиг, главное, что бюджет ему надо освоить и формально иметь что-то 8) Бизнес идет по пути наименьшего сопротивления, максимальной дешивизны разработки и максимально возможного дохода.
Этот комментарий был удален автором.
ОтветитьУдалитьВТорой вопрос: нарушают ли они лицензию GPL снорта?
ОтветитьУдалить1. Да, поэтому я и считаю, что это очковтирательство.
ОтветитьУдалить2. Нет, формально не нарушают. Уже выясняли это
1 - А если они соответствуют критериям Минкомсвязи (например не больше 30% лицензионных отчислений за рубеж)?:)
ОтветитьУдалитьТак вопрос не в критериях же :-)
ОтветитьУдалитьЩа шёл от метро и пришёл в голову ответ на 1 вопрос.
ОтветитьУдалитьВ этих случаях всех интересует богомерзкий комплаенс, а в простонародье сертификат.
Функциональность не интересует, или так, интересует выполнения ограниченного круга задач и только их.
Всё. Если надо было бы функционал -- сделали бы. Его не надо.
Тут у твоего любимого Медведовского ссылка на плач директора ИВК что ли был. Там после фразы про некомпетентных заказчиков можно дальше не читать. Будет в этой области компетентный заказчик -- будет меньше гавна
Заряжаем и лезем на башню с говнометом!
ОтветитьУдалитьА как определить компетентность заказчика? Есть критериальная модель?
Моделей компетенций полно (NICCS, e-CF, SFIA), но вот обычно имеется ввиду отсутствие знаний в некой узкой области, которая считается "главной" и "основной".
ОтветитьУдалитьБольше не лежит обсуждаемый документ на сайте )
ОтветитьУдалитьРеспект - убрали. Хотя и в пятницу вечером.
ОтветитьУдалитьДак вообще неблагодарная это тема выводить критерии отечественного продукта...
ОтветитьУдалитьЕсли уходить совсем в ортодоксальные требования, то это надо и весь софт самописный, и все библиотеки, и системное ПО делать отечественными. Но этого мало! Также отечественными должны быть средства разработки, а также все окружение, используемое при разработке (чтоб уж наверняка). Но это путь в никуда...
Тот же snort можно рассматривать как публичную библиотеку (почему за использование nDPI, например, таких "наездов" нет, как за snort?), проблема в том, что snort позиционируется как самостоятельный продукт. Но, если, например, отечественный разработчик написал кучу процессоров для snort'а - он может назвать полученный продукт "отечественной разработкой"? По мне - да.
P.S. Я понимаю, что возмущение здесь скорее вызвали громкие заявления про то, что все компоненты системы отечественной разработки, но все равно тема очень не однозначная.
Представил пример. Купил себе собаку(snort), чтобы территорию охраняла. Посадил её на цепь, выстроил вольер (куча процессоров для snort'а). Но однажды собака убежала (санкции). Является ли теперь цель и вольер средством охраны территории? По мне - нет.
ОтветитьУдалитьА какие санкции к Open Source?
ОтветитьУдалитьПовторюсь, что снорт - это, практически, библиотека.
Запретить использовать даже glibc в отечественных продуктах что ли?
Снорт - это еще и сигнатуры. А их можно перестать поставлять
ОтветитьУдалитьСигнатуры можно разрабатывать. И это придется делать в любом случае, если мы ориентируемся на местный продукт
ОтветитьУдалитьДля этого надо мощный R&D иметь
ОтветитьУдалитьАлексей, день добрый.
ОтветитьУдалитьОтечественный поделий на Snort е я знаю как минимум 3.И есть как минимум 3 отечественных поделия на Вате. Это последователи Попова. Самое печальное все подобные решения получили сертификаты и бирочку "made in Russia".
Сигнатуры, обновление едра системы, подключение новых сервисов? Нет, не слышал.
Да, и еще раз да, заказчику важно все эти сертификаты, но не функционал.
А почему для заказчика важны бумажки, тут Алексей и ваша вина немного есть как центр компетенций к которому прислушивается сообщество.
Опять я во всем виноват
ОтветитьУдалитьАлексей, я в том плане, что в РФ очень маленькое количество центров влияний(люди) в ИБ.Вам как центру влияния поверят. Понимаете у догоняющих больше нет другой стратегии, кроме как верить центру влияния.
ОтветитьУдалитьЭто не совсем так :-(
ОтветитьУдалить