Контакты
Подписка
МЕНЮ
Контакты
Подписка

Оценка защищенности (эффективности мероприятий) - Форум по вопросам информационной безопасности

Оценка защищенности (эффективности мероприятий) - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4

Автор: malotavr | 67110 21.11.2016 12:53
> Понятие 0day вы в каком то документе будете светить применительно к какой либо вашей системе?

Коллега в данном случае совершенно прав, модель угроз делается по некоторому срезу времени эксплуатации, только не конкретной информационной системы, а всех информационных систем, использующих аналогичные технологии.

Грубо говоря, для модели угроз мне не нужно знать, что в CMS, которую вы используете на своем корпоративном портале есть пока еще никому неизвестная уязвимость "Local File Inclusion". Достаточно знать, что такая уязвимость типична для приложений, для доступа к которым используется протокол HTTP. Поэтому уже на этапе проектирования специалист точно знает, к каким последствиям может привести появление такой уязвимости, как ею может воспользоваться нарушитель, как ее обнаружить, как ее устранить и как обнаружить ее использование, пока ее не устранили. Это позволяет заложить в проект системы меры защиты против угроз, связанных с использованием уязвимостей такого типа.

Автор: Dfg | 67117 21.11.2016 16:55
Как писал пару листов назад в 67088, речь немного не про это. А про неидеальность самих СЗИ. Речь про зеродеи не в ИС, а в защите. Особенно в свете последних сливок shadowbrokers когда межсетевые экраны, пробиваются приват сплоитами и сами становятся опорной площадкой для нападения.
Аналогично ставим например WAF, при этом в реальности сам WAF можно атаковать и выполнить на нем код, либо хитрым запросом обойти WAF, и атаковать саму ИС.
По чистой математике модели угроз WAF идеален, идеально защищает и решает задачу. В реальности это не так. И об этом хотябы вскользь, да надо упоминать, чтобы не было иллюзий абсолютной безопасности. Особенно если документы делаются не для себя и не для галочки, а для руководства.

Автор: malotavr | 67118 21.11.2016 17:20
> По чистой математике модели угроз WAF идеален, идеально защищает и решает задачу.

Это то, за что я критиковал Щеглова :)

IDS вообще и WAF в частности неидеальны. И действительно, в чистой теории гораздо правильнее сделать систему защиты, которая в принципе исключает возможность использования уязвимостей, и в такой системе IDS/WAF не нужны.

В реальности это невозможно, и в любой системе защиты рано или поздно находятся уязвимости, которые позволяют обойти применяемые меры защиты. IDS и WAF а) дают вам некоторый шанс заметить такую атаку по косвенным признакам и б) отсекают те 90% нарушителей, которые пока не доросли до применения таких передовых атак.

То есть по замыслу в методике оценки актуальности угроз все правильно: вы выбираете комплекс мер защиты, который настолько затрудняет действия нарушителя, что делают атаку маловероятной, и тогда угроза перестает быть актуальной. Но в реальности в разработке нормальной системы защиты не заинтересованы ни проектировщики (долго, сложно, трудозатратно, низкая доходность работы), ни заказчики (дорого). Поэтому идут по простому пути: есть угроза атаки с использованием эксплойта или вируса -> вот вам копипаст разделов СОВ, АВЗ и АНЗ, отвалите.

Автор: oko | 67121 21.11.2016 20:38
to Dfg
Вы принципиально посты не вам адресованные не читаете? :)
"...На следующей модификации обнаружили новый канал атак, связанный с внедрением нашей защиты? Да. Значит, и первичная угроза, от которой закрывали, все еще актуальна, но перешла в новую плоскость. Скорректировали настройку? Да. Проверили и убедились в эффективности? Да. Спим спокойно до следующей модификации..." Вот вам и ответ про 0-day. Рассматривать его возможность первично - при внедрении защитных механизмов - можно, но крайне усложняет модель. А она должна быть простой и наглядной, четко выстроенной. Чтобы ею можно было в дальнейшем оперировать, а не просто в стол сложить...

to malotavr
"Мы снова говорим на разных языках" (с)
Если администратор ленив или криворук - тут моя позиция однозначна - ИС не будет защищена никакими методами и никакое выявление/устранение уязвимостей и/или дефектов ей уже не поможет. Возможно, в этом одна из проблем несовпадения наших точек зрения?
Или, возможно, проблема в том, что мы все равно с вами сейчас говорим о сферическом коне. Нет конкретики, даже с вашими примерами. Нет ИС, нет структуры. А в такой ситуации что ваш, что мой подходы - не более чем пшик. Одно важно - вам используемый подход позволяет "нечто" наглядно выявить и продемонстрировать, мне - описать и систематизировать. Иными словами - места приложения силы и спектр решаемых задач разный. Все равно что сравнивать WD-40 с изолентой. Оба инструмента по-своему эффективны и используются зачастую в одной и той же области (сарказм, ага). Но на этом их сходства заканчиваются.

*в сторону* вновь повторюсь. Не предлагаю переиначить порочный круг "опишем за раз все угрозы и все меры защиты для них". Лишь предлагаю иерархическую схему, простую по своей сути, для более детального описания ситуации. И ключевое звено в ней - не называть "дефекты настройки защитных механизмов" "уязвимостями", а различать их на базовом уровне восприятия проблемы защищенности любой ИС, только и всего...

Автор: malotavr | 67122 21.11.2016 22:15
> Если администратор ленив или криворук - тут моя позиция однозначна - ИС не будет защищена никакими методами и никакое выявление/устранение уязвимостей и/или дефектов ей уже не поможет.

Имеете полное право на такое мнение, но я с ним не согласен :) Последние несколько лет работаем над системой защиты для систем, в которых принципиально невозможно ставить средства защиты - микропроцессорные системы, АСУ ТП на уровне контроллеров и исполнительных устройств и т.п. Предотвращать атаки и злоупотребления - не получится, обнаруживать многие из них - да. Лучше, чем считать администратора доверенным лицом и не делать ничего :)

> Не предлагаю переиначить порочный круг "опишем за раз все угрозы и все меры защиты для них".

Ни в коем случае :) Просто у меня сейчас направление работы такое - расписывать, как именно обнаруживать конкретные атаки и что делать, когда с этой конкретной атакой сталкиваетесь. Отсюда и подход.

Автор: oko | 67123 21.11.2016 22:42
to malotavr
Рад, что консенсус достигнут.
В части администратора, обнаружения и доверенных лиц. Это как анекдотичная рекурсия с автоматчиками, следящими за другими автоматчиками, следящими за ... следящими за исполнителем. Впрочем, в такой шутке есть доля смысла - ситуация, когда все следят за всеми, если не очень стабильна, то весьма безопасна (доказано на примере нашей страны, ага). С поправкой на "тех, кому безопасна", разумеется...
Т.е. если нет возможности перекрыть действия инсайдера-админа, то стоит использовать извращенную ролевую модель с повышенным содержанием орг-воспитательных мер. Дабы никто не расслаблялся. Впрочем, защита от внутреннего нарушителя (чувствую, что повторяюсь) - самый технологически и организационно сложный процесс, однозначно...

Автор: :-) | 67180 27.11.2016 19:30
Зачем надо было тратить время на обсуждение правильности терминологии, если изначально исходишь из позиции "мне трижды наплевать, какими именно определениями он пользуется"? Видимо не так уж наплевать.

Автор: malotavr | 67190 28.11.2016 19:09
Вы сейчас местоимением "он" кого обозначили? Участника дискуссии или абстрактного "безопасника на объекте"? :)

Чем именно руководствуется проверяемый, допуская ошибки, проверяющего не сильно беспокоит :) А с участником дискуссии почему бы за определения и не подискутировать :)

Страницы: < 1 2 3 4

Просмотров темы: 8908

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*