31.5.16

ИБ на базе open source: имеет ли смысл?

Третья моя презентация на ITSF касалась достаточно дискуссионной темы - open source в ИБ. Вообще тема эта неоднозначная и имеет как ярых противников, так и сторонников. Чем-то она похоже на застарелый спор фанатов Linux и Windows. Я специально обходил стороной ответ на вопрос - надо или нет. Скорее моя задача была показать риски, связанные с open source, упомянуть о заблуждениях, связанных с якобы большей защищенностью open source, и дать некоторые рекомендации тем, кто все-таки решился на использование open source вместо коммерческих решений.



9 коммент.:

Unknown комментирует...

Провокационный вопрос задаете, Алексей. Разжигание розни! ;)
Конечно имеет смысл! OpenSourceRocks! $) Также как и проприетарные средства имеют смысл.
Редко вы сможете заменить при моделировании сетей бесплатный (с открытым кодом) GNS3 или при тестировании на проникновение и расследовании инцидентов спец. дистрибутивы Linux Kali, Blackarch, Helix и так далее.
Но и продукты, например, от Positive Technologies, Fireeye или Guidance Software в конкретных случаях незаменимы.

Пугаться нечего. Риски обоюдные для обоих вариантов.
Для принятия решения при проектировании я рассчитываю совокупную стоимость владения и отношение стоимости к ценности (функции) по каждому варианту.

Unknown комментирует...

ох уж мне эти формулировки.... Вопрос из области "ИБ на базе компьютеров: имеет ли смысл". Бумага то надежнее.
Вроде как описываются риски от использования open source - но как-то забыто про те-же риски в пропиетарном ПО.
Возьмем к примеру нежно мною любимый Эшелон с его Камрадом.
"Первый Российский SIEM", числится в реестре отечественного ПО, сертификам МинОбороны по НДВ и т.д. и т.п. И? (Справедливости ради) неплохо переведенный на великий и могучий OSSIM не первой молодости. Парни даже правила поленились поправить - везде AlienVault и ossim. За что тут платить? Кто-то будет ЭТО дорабатывать? Они пишут свои правила, хотя-бы по FinCERT-овским alert-ам? Щаззз.
другой пример. приобрели мы как-то програмку для генерации отчетов . Все шло неплохо... пока компания не загнулась. ПО есть, поддержки нет.
Так что все далеко не однозначно, и уж тем более не стоит объединять все open source ПО в одну кучу. Да, стоит оценить риски, ТСО - но сделать это надо для обоих вариантов.

Алексей Лукацкий комментирует...

Ну так про это и написано

Unknown комментирует...

Контекст презентации передан однозначно по-моему: "опасайтесь opensource". Потому что на itsf были только те, кто обладает правами и те, кто покупает неисключительное право... lobbying? Политика партии!😯

Алексей Лукацкий комментирует...

Ничего подобного. Контекст презентации гласит: "Open Source - это не так безопасно, как часто считается. Прежде чем внедрять, оцените риски, которые связаны с open source". Вот и весь контекст. Но то, что с open source в корпоративной среде немало проблем - это известный факт. Но есть и примеры успешного решения этих проблем.

Tomas комментирует...

"ПО на базе OpenSource практически не иметь шансов быть сертифицированным" странный лозунг. Особенно глядя на отечественные FW/IDS. Конечно, кто-то должен заявиться на сертификацию и понести все издержки.
А что, c проприетарными продуктами как-то по другому?
"А у вас есть опыт?" - подается заявка во ФСТЭК, получается решение, там есть исп.лаб. и орг.серт. У них есть опыт.
А что, c проприетарными продуктами как-то по другому?

Алексей Лукацкий комментирует...

Тут есть игра слов и некоторая подмена, согласен. Имеется ввиду то, что обычно скачивается из Интернет. Например, Snort или OSSIM или OpenVAS или еще что. Если его кто-то берет, навешивает свой лейбл и продает за деньги, то разницы с проприетарным софтом уже никакой

Unknown комментирует...

"Контекст презентации гласит: "Open Source - это не так безопасно, как часто считается"
крайне лукаво и огульно. Я бы сказал, что Open Source "в среднем по больнице" не более, но и не менее безопасен, чем пропиетарное ПО. Только наличие исходных кодов в свободном доступе не гарантирует качество разработки - ровно как и отсутствие свободного доступа к коду его не гарантирует.
Вы же врядли посоветуете заменить насквозь свободный Nginx на очень правильный IIS? Или тот-же вылизанный/выстраданный Cisco и комьюнити Snort на какую-нибудь отечественную поделку с сертификатом НДВ?

TEgerX1 комментирует...

Выбор государством приоритом ПО на базе Open Source не всегда оправдан (в том числе с точки зрения безопасности и совокупной стоимости владения). Уровень сопровождения, функционал OpenSource зачастую несопоставимы с проприетарным ПО. Требуемые время, нервы, смена архитектуры и квалификации группы поддержки неоправдано высоки. Аналогов мало, цена риска по замене ПО не учитывается. Все боятся политических рисков - зависеть от поставок "врага", несмотря на проверки ФСЭК НДВ, НСД и применяемые орг.меры. Но OpenSource сегодня есть, а завтра его нет (он стал платным/поменял лицензию), либо он больше не сопровождаеся.. А денег на support у нас выделять не принято - продукт ведь бесплатный.. Дыры есть везде в ПО, но за деньги их находят быстрее.