Свежие посты   По годам   По датам
  • 20 Мая 2013 » Текст приказа ФСТЭК №21 от 18.02.2013
    Сегодня на сайте ФСТЭК был размещён текст Приказа ФСТЭК №21 от 18 февраля 2013 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” с пометкой о регистрации в Министерстве юстиции Российской Федерации. Как это часто принято у государственных чиновников, текст приказа разместили в нередактируемом формате. С одной стороны, конечно, сразу видны подписи и отметки о регистрации, но с другой - для детального анализа и изучения pdf жутко не удобен. Автоматические конверторы из pdf в doc жизнь облегчают, но портят табличную структуру, добавляют мусор и не очень корректно распознают аббревиатуры (“3НИ.З” вместо “ЗНИ.3”, например). Поэтому я потратил немного времени и отредактировал распознанный текст, постаравшись исправить все ошибки конвертации. Особенно внимательно проверил таблицу в приложении с составом и содержанием мер по обеспечению безопасности персональных данных. Итоговый файл с приказом ФСТЭК №21 от 18.02.2013 выложен на сервис SlideShare. Там же его можно и скачать в формате docx (требуется регистрация), нажав соответствующую кнопку: [box = “info”]UPD. Ссылка на файл с текстом приказа ФСТЭК на Google Диск (регистрация не  требуется).[/box] В тексте приложения к приказу отсутствует пункт №5, но такова, видимо, задумка авторов из ФСТЭК, истинный смысл которой лично от меня сокрыт… Ниже версия документа для просмотра. Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных from Alexey Komarov

  • 17 Мая 2013 » Список блогов и сообществ по информационной безопасности
    Почти теперь уже два года назад я впервые попытался составить рейтинг блогов коллег, пишущих про информационную безопасность. Единственным опробованным мною тогда методом оценки стало использование рейтинга блогов от Яндекса, полностью, впрочем, себя в конце концов дискредитировавшим. В итоге мой рейтинг превратился просто в список. Спустя два года я вновь внимательно изучил и систематизировал все блоги конкретных людей, компаний и сообществ, так или иначе освещающих вопросы информационной безопасности и делающих это на русском языке. Представляю вашему вниманию актуальный Список блогов и сообществ по информационной безопасности. Блоги я разделил условно на личные и блоги сообществ и компаний, хотя порой отдельные “личные” площадки из-за чрезмерной ангажированности ну очень хотелось отнести к блогам компаний, несмотря на их кажущуюся независимость. Думаю, вы понимаете, о чём я =) Прошлый опыт убедил меня в том, что объективно оценить рейтинг конкретного блогера крайне не просто, поэтому в этот раз я лишь вынес в отдельный список тех авторов, кто за весь 2013 год не написал ничего, а для пусть мало, но пишущих добавил колонку с ссылкой на их RSS-канал. Пользуйтесь (подписывайтесь), как говорится, на здоровье! В итоге у меня получился список из 41 актуального личного блога. Очень буду признателен всем, кто поможет это число увеличить. Пожалуй, не буду призывать всех желающих начинать заводить свои собственные блоги, но вот активно пишущим коллегам предлагаю активно комментировать не только “маститых” авторов, но и только-только пробующих найти свой стиль и манеру письма начинающих блогеров. Ведь, как известно, ничто так не радует писателя, как его читатели. Вот мне, например, совсем не импонирует идея создания ИБ-дайджестов с ссылками на интересные посты за прошлые неделю/месяц, не содержащих никаких мыслей или пометок автора, а вот выражение личного мнения, пусть и косноязычным способом (кто без этого греха - пусть первый кинет в меня камень) всегда, как минимум, вызывает уважение и интерес. [hr]

  • 16 Мая 2013 » McAfee и STONESOFT - сделка года
    Вот вспомните, сколько сделок на рынке информационной безопасности по покупке европейской/американской компанией другой американской/европейской компании (по желанию расширьте географию на Азию, Африку или Океанию) за последние лет десять было? Вроде бы, много. А какие конкретно сделки состоялись? Хм…  Ну, допустим, я парочку припомню - тех вендоров, с которыми реально имел дело. Зато остальные - потерялись и забылись. Совсем другое дело - сделка между STONESOFT и McAfee. Очень нехарактерное для российского рынка количество обсуждений и комментариев, даже несмотря на майские праздники, в блогах, соцсетях и кулуарах, мягко говоря, впечатляет. При этом, что характерно, сама сделка по покупке ведь пока даже и не состоялась! Говорить о каком-то свершившемся факте ещё очень и очень рано. Но, обо всём по порядку. Для начала - а что же так всех на нашем российском рынке взбудоражило? Да всё очень просто: STONESOFT - это первая зарубежная компания, сумевшая получить сертификат ФСБ на свои продукты. И, пожалуйста, не верьте говорящим о своём псевдопервенстве. Вот же он, “Перечень средств защиты информации, сертифицированных ФСБ России”. Среди Базальтов ВР, Коверов-Н и прочих Узоров гордо значится «Система обеспечения безопасных соединений «StoneGate SSL VPN» версия 1.5» (исполнения 1, 2, 4, 6, 7, 8, 10, 11) с сертификатом СФ/124-1803 от 27 марта 2012 года. Если обнаружите иной не российский продукт - дайте знать. К слову, даже у STONESOFT сертификаты на продукты в соответствии с нашим законодательством выданы российской компании - их технологическому партнёру “Новые технологии безопасности” (http://newinfosec.ru/). В том же “Перечне…” в ближайшее время должен появится и сертификат на StoneGate Firewall/VPN, для которого уже получено положительное заключение о его соответствии требованиям, предъявляемым ФСБ России к шифровальным средствам, по классам КС1/КС2. Кроме сертификатов ФСБ все решения STONESOFT сертифицированы и во ФСТЭК, про это я уже писал в своём обзоре сертифицированных межсетевых экранов. Сочетание сертификатов и качества самих продуктов позволяют компании демонстрировать на нашем рынке отличную динамику роста продаж и по оценкам (стр.13) в своих сегментах занимать 2-4 места по объёмам продаж. STONESOFT - очень сильный игрок на нашем рынке, да и к тому же стремительно наращивающий свою долю, отсюда и такой неподдельный интерес к сделке. Но STONESOFT очень хорошо известна далеко за пределами родной Финляндии и покорившейся сертификатами России. Поэтому, если считающий себя специалистом в информационной безопасности человек спрашивает: “STONESOFT - что это?”, то иначе как умышленным врунишкой или просто некомпетентным считать его, увы, не могу. STONESOFT пару лет назад очень громко заявила о себе, фактически, открыв новый вид атак - динамические техники обхода (Advanced Evasion Techniques - AET) и не слышать о них - значит быть вне современных трендов в области систем предотвращения вторжений. Вот небольшая подборка новостей компании только за последний год: Компания Stonesoft — единственный в Европе поставщик решений по кибер-безопасности, получивший статус «Рекомендовано NSS Labs» в категориях FW, NGFW и IPS Stonesoft попала в сектор «Провидцев» магического квадранта Gartner для корпоративных межсетевых экранов Stonesoft попала в сектор “провидцев” для систем предотвращения вторжений магического квадранта Gartner Система обнаружения и предотвращения вторжений Stonesoft IPS обеспечивает эффективную защиту и низкую стоимость владения (ТСО) в тестах NSS Labs Согласитесь, ну никак нельзя их “обзывать” нишевым игроком, не светящимся в сравнениях, отчетах, квадратах и т.п., если только, конечно, тебе за это специально не платят =) Но, вернёмся к сделке. В продолжение первого пресс-релиза в начале мая уже (пока на английском языке) доступны и уточнения. Если коротко и упрощённо, то McAfee сделала предложение всем владельцам акций STONESOFT и по условиям соглашения для признания факта покупки должна аккумулировать не менее 90% всех акций компании. Другими словами, не только основные держатели акций (если я правильно помню, их трое с суммарным пакетом в 35%), но и большое количество миноритариев должны дать согласие на продажу имеющихся у них акций STONESOFT компании McAfee, у которой по состоянию на 6 мая 2013 года не было ни одной акции. Тяжело, конечно, оценивать, но есть у меня некоторые сомнения, что граждане Финляндии вот так легко продадут свои акции американской компании, решившей купить их отечественного производителя, хотя цена, в общем-то, предложена не плохая. Что ещё интересного в этом пресс-релизе: McAfee в случае успеха планирует активно развивать имеющиеся у STONESOFT продукты и услуги, так что действующие заказчики компании STONESOFT как в России так и во всём мире могут быть совершенно спокойны - для них любой исход будет на пользу. Ведь если сделка состоится, то инвестиции Intel (по большому счёту это ведь она покупает STONESOFT руками McAfee) будут направлены на дальнейшее активное развитие именно продуктов StoneGate: межсетевые экраны ( а равно VPN и SSL VPN) в портфеле McAfee отсутствуют, об этом достаточно ясно изложено ещё в самом первом тексте. С IPS ситуация ещё лучше: имеющиеся у McAfee хорошие решения в области IPS отлично будут сочетаться с таковыми у STONESOFT, включая все такие прелести, как, например, интеграция с Risk Adviser, позволяющим не просто выявить проблемы в сети, но и принять адекватные меры к их устранению. Ещё раз возвращаясь к AET, хочу отметить, что STONESOFT - один из всего двух известных мне вендоров, позволяющий эффективно бороться с этими динамическими техниками обхода. Вот, например, интересное описание тестирования популярных IPS, по итогам которого подтвердилось, что TippingPoint, Check Point, Palo Alto, Cisco ASA, FortiGate и Snort уязвимы к динамическим техникам обхода (AET). Что же касается конкретно российской и СНГ специфики, то беспокойство скорее должны испытывать пользователи McAfee =) Все названия продуктов StoneGate чётко прописаны в имеющихся сертификатах и ни один здравомыслящий топ-менеджер не будет отказываться от проделанной многолетней работы в угоду переименования, например, продуктовой линейки под другой бренд. Неужели у кого-то есть сомнения в здравомыслии коллег из Intel, McAfee и STONESOFT? =) Да и сам локальный офис STONESOFT гораздо больше и существенно финансово более успешен, чем таковой у McAfee, хотя, конечно, и их заслуги, особенно, например, в Казахстане тоже заслуживают похвал. Ну, а если по каким-либо причинам сделка не состоится (точно узнаем мы это скорее всего ближе к середине лета), то поднятая PR-волна компании STONESOFT пойдёт только на пользу. Подытоживая, хочу сказать, что ни малейших признаков наличия рисков для клиентов STONESOFT нет и в помине, ну а частное мнение отдельных людей - оно на то и частное мнение. Ангажированными могут быть не только СМИ, но и отдельные блогеры, и это надо хорошо помнить, знакомясь в сети с чьим-либо мнением. В том числе - и с моим =) [hr]

  • 16 Апреля 2013 » 13 экспертов Царёва
    Исследование рынка информационной безопасности России (и Украины), подготовленное тринадцатью независимыми авторами, один из которых (Евгений Царёв) играл так же роль модератора, широко обсуждалось на прошлой неделе. Да и на этой в Facebook, Twitter и LinkedIn нет-нет, да и появится очередной комментарий. Характерно, что у стороннего наблюдателя может сложиться впечатление, что негативные отзывы преобладают, но это вовсе не так. Если же вы именно такой наблюдатель - поздравляю, вы попали в поле искажения реальности, с целью избавления от которого в том числе и проводилось само исследование. Прекрасно понимаю Алексея Волкова, для которого представленная информация действительно может не иметь ценности, но, например, мне с остальными разделами, подготовленными коллегами, было познакомиться очень интересно и без сомнения - полезно. К слову, мы действительно никак не коррелировали свои части и писали их независимо друг от друга. Общее понимание рынка, пусть и через призму мнения конкретных экспертов, - это, на мой взгляд, как раз то, чего так не хватало российскому рынку информационной безопасности. Вернее, скажем аккуратнее - той его части, которой такая информация действительно требуется. Собственно, что у нас было до этого исследования? Официальные пресс-релизы, расширенные версии интервью первых лиц, рейтинги, да некоторые платные отчёты (пишу “некоторые”, но лично мне известен только один). Пресс-релиз (даже с цифрами) - лишь инструмент маркетинга и, по большому счёту, является одной из форм рекламы. То же самое можно сказать и про интервью, особенно про публикуемые за деньги. К всевозможным рейтингам всегда относился скептически. Наверное, какое-то положение дел они отражают, но их результаты скорее являются проекцией воль руководителей служб маркетинга и владельцев/акционеров компаний на попытки исследователей оценить что-либо объективно. Ну, а про платный отчёт я уже год назад писал. Да, ещё было кулуарное общение, инсайдерская информация и собственные аналитические выкладки, к которым, как ни крути, а доверия всё же больше. Но всё это было возможно только для тех сегментов рынка, что находятся в зоне приоритетов конкретной компании (или специалиста). Теперь же мы получили порцию аналитической информации, собранной из принципиально иных источников. Конечно, есть вопросы к отдельным частям итогового документа, и приведённые в нём цифры более чем просто обсуждаемы, но, рассматривая проделанную работу в целом, нужно признать, что все мы тринадцатеро большие молодцы ;-) Возвращаясь же к тому, с чего начал, хочу отметить, что положительных отзывов получено гораздо больше, чем даже просто нейтральных. Это ведь критическое замечание твитнуть просто, а хорошие слова - их ещё и подобрать надо. Собственно, обоснованные замечания (а их не так много) будут учтены, а ошибки исправлены. Говорить о планах на будущее пока, наверное, рано, но лично я аналогичное исследование через год с большим удовольствием прочёл бы. [box]Автор иллюстрации к посту - Евгений Родыгин.[/box]

  • 01 Апреля 2013 » Российские межсетевые экраны в магическом квадранте Gartner
    Сразу четыре отечественных производителя корпоративных межсетевых экранов попали в свежий отчёт компании Gartner: Magic Quadrant for Enterprise Network Firewalls. В квадрант для нишевых игроков исследователи включили продукты Континент, С-Терра и ViPNet. Напомню, что к нишевым игрокам (Niche Players) Gartner относит жизнеспособные решения, отвечающие основным требованиям покупателей: Маловероятно, что они окажутся в конечном списке закупки, но им стоит дать шанс. Чаще всего эти вендоры упускают возможности оказать влияние на рынок, но это не означает, что они покорно следуют за лидерами отрасли. Нишевые игроки могут быть ориентированы на небольшие сегменты рынка и часто демонстрируют на них более высокую эффективность, чем лидеры. Покупатели отдают предпочтение вендорам этого типа, когда стабильность и фокусировка на нескольких важных функциях и особенностях программного продукта важнее, чем долгосрочные и грандиозные планы развития производителя. [Источник: tadviser.ru] К сильным сторонам отечественных разработок были отнесены: поддержка российских алгоритмов шифрования; наличие сертификатов ФСТЭК и ФСБ - т.н. compliance paper security; отличная способность работать в корпоративных сетях, не мешая остальному сетевому оборудованию (для ViPNet это преимущество не было указано); высокая откатоёмкость и выдающиеся откатогенерирующие возможности. Для АПКШ Континент отдельной похвалы удостоился приятный зелёный цвет: Как известно, зелёный цвет (цвет травы, растений) успокаивает нервную систему, наши глаза отдыхают при восприятии оттенков зелёного цвета, - отмечено в исследовании. В то же время были указаны и основные недостатки продуктов российских производителей: морально устаревшие интерфейсы централизованного управления; отсутствие поддержки стандартных протоколов и использование проприетарных алгоритмов (кроме С-Терра); низкие реальные защитные способности; плохая кросс-совместимость; сложности с отказоустойчивостью и масштабируемостью. Неожиданно высокие оценки получил межсетевой экран ALTELL. Как признались сами аналитики, только практически в самом конце исследования выяснилось, что данный продукт является полным клоном свободно распространяемой сетевой операционной системы Vyatta,  основанной на Debian GNU/Linux. Тем не менее, в отчёт ALTELL всё же включили, указав, впрочем отдельно на факт заимствования. Наверное, стоит поздравить коллег с этим событием, а также с 1 апреля. Успехов =) </div>

  • 26 Марта 2013 » Плагиат в отечественных продуктах ИБ - где грань?
    Пока вход в Интернет по паспорту не стал реальностью и есть ещё возможности для анонимного комментирования, читатели блога продолжают раскрывать неизвестные подробности о рассматриваемых мной продуктах. Так, например, некто Фыва сообщает, что: "Altell neo - это модифицированная vyatta" и уточняет: "Естественно, они злостно нарушают лицензию". Комментарий приведён к моему посту Who is Mr. ALTELL?, посвящённому продукту одноимённой компании. Оставим за рамками отношения между работодателем и сотрудниками, но сам сценарий использования стороннего готового продукта (исходный код которого доступен для свободного скачивания) с последующей сертификация во ФСТЭК представляется вполне реалистичным. В конце концов, для одного из своих проектов Микротест сертифицировал именно Vyatta. Присвоение чужих наработок также могло бы объяснить и удивившую меня скорость появления новых продуктов. С другой стороны, сам ALTELL NEO вживую мне не встречался и оценить его схожесть с Vyatta не берусь. Опять-таки, локализация, техподдержка, наконец, сертификация - это то, что стоит денег и в продаже open-source по такой схеме нет ничего злостного. Нарушение GPL (если таковое, конечно, здесь имеется) в российских юридических реалиях - тоже вопрос всё ещё дискуссионный, хоть и с давней историей. В конце концов, горячо любимая мною компания НПО Эшелон два года спустя после начала обсуждения на Хабре их поделия Сканер ВС более-менее обосновала легальность данного продукта у себя в блоге, со свойственной им, правда, аргументацией ad hominem. Создание собственных ИБ-продуктов на базе open-source в России распространено ничуть не меньше, чем в мире. Например, АПКШ Континент базируется на FreeBSD и вендор особо этого не скрывает. Вот только не совсем понятно, выполняется ли на практике требование лицензии The FreeBSD Project: Copyright 1992-2013 The FreeBSD Project. All rights reserved. […] должно оставаться указанное выше уведомление об авторском праве, этот список условий и последующий отказ от гарантий. Можно также вспомнить канувший в лету другой продукт (купленный в своё время Информзащитой) - Linux XP (трансформировашийся, как я понимаю, теперь в семейство решений от Компании РОСА), который до конца так и не оправился от ранее объявленного бойкота со стороны linux-сообщества за нарушение GPL (хотя позднее вменяемые в вину создателям недостатки и были устранены). Стоит признать, тем не менее, что умышленное или по недосмотру нарушение GPL и/или BSD лицензий всё равно у нас в стране вряд ли может привести к серьёзным сложностям со сбытом, особенно если рассматривать сертифицированные продукты. А вот использование этих формальных нарушений в качестве инструмента конкурентной борьбы при столкновении конфликтующих лоббистских интересов, на мой взгляд, вполне даже реалистично. Нужно, правда, согласиться, что процесс доказательства плагиата и незаконного использования чужого исходного кода не так прост, тогда как клонирование аппаратных решений - вещь более наглядная и очевидная. Переходя от программных заимствований к аппаратным, можно вспомнить "ДжаКарту" (JaCarta),  которая по слухам является клоном IDProtect Key LASER компании Athena и совершенно шедевральный, по моему скромному мнению, сертифицированный как межсетевой экран коммутатор RSOS6850: В целом же, жаль, конечно, что искажённая в кривом зеркале сертификации российская ИБ-действительность, накладывает свои отпечатки в восприятии реальности и от отечественных поставщиков решений по безопасности никто даже и не ждёт кристальной честности. Так мы скоро, глядишь, и до своих СПАРТАН 300 и INTEGRAL докатимся. UPD. 26.03.2013 Простое сопоставление скриншотов из документации Altell (в ней Vyatta не упоминается) и описания Vyatta на Википедии: Изображение http://sobaka.com.ua/c/olds/sobaka/1218103376_20080807011555297_12.jpg </div>

  • 22 Марта 2013 » 5 причин перейти на Feedly для пользователей Google Reader
    Стоило мне только рассказать о преимуществах использования Google Reader для мониторинга событий на рынке информационной безопасности, как на прошлой неделе компания Google объявляет о предстоящем закрытии с 01 июля данного сервиса. В поисках нового пристанища для своих (более сотни) RSS-подписок, открыл для себя интересный сервис Feedly. Собственно, своими впечатлениями о нём и хочу поделиться. Почему именно Feedly? Да всё просто. Вот они: пять причин перехода с Google Reader на Feedly. Причина 1. Преемственность. Feedly обещает прозрачную миграцию действующих пользователей Google Reader на свой собственный сервис. Не надо ничего экспортировать и импортировать с риском потери "отмеченных" записей и собственных тегов. Просто начните пользоваться Feedly сейчас и не заметите исчезновение Google Reader первого июля. Причина 2. Кросс-платформенность. Каждый выбирает (в худшем случае - вынужден использовать) собственные платформы и браузеры. Web-ориентированный Google Reader был доступен практически везде (в том числе благодаря сторонним разработчикам). Feedly не отстаёт и заявляет совместимость с: iOS Android Chrome Firefox Safari А разве нужно ли что-то ещё? Причина 3. "Рекомендации лучших собаководов". Feedly уверенно лидирует в списке из более чем 40 альтернатив. Как говорится: "Это "ж-ж-ж-ж" неспроста!" Причина 4. Бесплатность. Использование Feedly в качестве замены Google Reader не стоит ничего (по крайней мере, сейчас). До недавнего времени, например, на iPad я просматривал обновления RSS-каналов с помощью платного Mr. Reader и, буде разработчик(и) чуть более расторопнее, с этим бы решением и остался. Но так сложилось, что хоть до часа икс и осталось более трёх месяцев, никому (как минимум, пока) ничего не платя, любой пользователь Google Reader имеет возможность перейти на новый альтернативный сервис. Причина 5. Привычные RSS-ленты под новым углом. Feedly разительно отличается от того унылого списка заголовков новостей, что предлагал Google Reader. Лично мне больше всего понравилось удобное разделение подписок по категориям. В Google Reader такая возможность тоже была, но желание воспользоваться ей ни разу, честно говоря, не возникало. А тут как-то всё само собой получилось. Да и в целом просмотр новостей превратиться в нечто принципиально иное. Не хочу приводить скриншотов и подробных анализов: просто попробуйте. Гарантий давать не могу, но, скорее всего, - не пожалеете. Изображение http://edition.cnn.com/

  • 13 Марта 2013 » Пожелания от участников вебинаров
    Несмотря на то, что живое человеческое общение порой трудно заменить современными методами коммуникаций, вебинар как способ донесения информации одновременно для большого числа разнесённых в пространстве слушателей успешно используется многими компаниями, в том числе и на нашем рынке информационной безопасности.При этом, конечно, кто-то использует вебинары для продажи своих продуктов/услуг, кто-то для обучения, а кто-то просто проводит их потому, что так заведено и надо от конкурентов не отставать - у каждого свой путь. Интересный обзор вебинаров прошлого года с комментариями от лица посетителя есть у Сергея Борисова.Кроме контента (который слушателям должен быть полезен и интересен) у вебинара есть и технические, если угодно, характеристики: время и дата проведения, длительность и язык. По поводу последнего мой личный опыт (и как организатора и как слушателя) показывает, что вебинары нужно проводить на родном для слушателей языке во избежание недопонимания. Да, не всегда это возможно, особенно для западных решений, но стремится точно надо. А вот с датой и временем проведения, а так же длительностью вебинаров мы в NGS Distribution попросили помочь разобраться наших партнёров. Сегодня хочу поделится результатами проведённого опроса. Мы задали три простых вопроса: Какое время начала вебинара для вас удобнее? Какова оптимальная длительность вебинара? В какой день недели проводить вебинары лучше всего? Собственно, диаграммы говорят сами за себя: Изображение: http://cdn.memegenerator.net/instances/400x/33561665.jpg

  • 28 Февраля 2013 » Мы выбираем, нас выбирают...
    При выборе решения в области информационной безопасности (не только, конечно, но в ИБ - особенно) редкий клиент захочет быть первым “подопытным кроликом”, на котором это самое решение будет опробовано. Даже если маркетинговые материалы завораживают, презентации кажутся более чем убедительными, а сам продукт на витрине “сверкает-серебрится”, то клиент всё равно задаст свои извечные вопросы: Какой есть опыт внедрения? Как у вас с отказоустойчивостью не на бумаге, а в жизни? Гарантия, поддержка - всё на уровне? Примеры довольных клиентов имеются? Вот и появляются публикациии историй успеха (success stories), отзывов (references) и пр., общий смысл которых прост: – Нас уже используют во всём мире, так и ты, давай, не отставай от прогресса! Перенимай передовой опыт, клиент! Будь в тренде своих соседей по рынку! Вперёд, к инновациям! Что притих-то? – Продолжай, я заинтригован. Общая структура пресс-релизов по мотивам внедрения, в целом, стандартна: заказчик XXX выбрал решение вендора YYY при помощи партнёра ZZZ. Приводятся основные проблемы, которые были “ДО” и та благодать, что наступила “ПОСЛЕ”, а так же пара цитат представителей сторон, взаимовосхваляющих друг друга. Множество нажатий клавиш, мегабайты пересланных данных, но ради чего всё это?Как думаете, самим клиентам нужны эти пресс-релизы? Хорошие отношения с партнёром (вендором или ими обоими), дополнительная скидка или какие-то иные причины могут побудить клиента дать согласие на пресс-релиз, но выигрывает ли он что-то реальное от этого? Упрочится ли его репутация от факта публичности применяемых средств защиты? Вырастет ли оборот или увеличится ли доходность? На мой взгляд, вряд ли. Что ж, заинтересованными сторонами, очевидно, в таком случае остаются вендор и партнёр. При этом логично вендоров делить на “состоявшихся” и “начинающих” со всеми, впрочем, промежуточными стадиями. Будет ли “состоявшийся” вендор (с десятками крупных заказов еженедельно) рассказывать о, например, очередных несчастных 7 компьютерах? Наверное, о сделке на несколько сотен тысяч пользователей стоит упомянуть, но про рядовые поставки как-то… нелепо. Тут, понятно, роль основных заинтересантов играют партнёры, которым нужно и вендору показать свою активность и в сознании клиентов связать себя с именем маститого разработчика. Ведь не умеющие строить канал вендоры, например, очень часто устраивают среди своих партнёров драки и бои без правил, заставляя их жестоко конкурировать между собой, а не с теми поставщиками альтернативных решений, что было бы логичнее. Мне такой подход представляется не слишком правильным, но раз на рынке это есть, значит кто-то для себя это как-то мотивированно объясняет. С другой стороны, для новых вендоров, только выходящих на рынок, конечно, любой инфоповод - это ценность. Каждое даже малозначительное событие хочется использовать для очередного упоминания своего бренда на новостных сайтах. Да вот только наличие пяти пресс-релизов об успешном внедрении нового для рынка продукта как-то невольно навевает мысль о том, что и проектов-то реально и было всего пять. Мне почему-то кажется, что новым вендорам, ищущим своих потребителей, такие истории практичнее держать в корпоративной презентации и на своём сайте в разделе “Наши клиенты”. Ведь, рассматривая покупку того или иного продукта, заказчик будет изучать сайт самого разработчика, но никак не новостные ленты. Изображение: http://demotivation.me/ujsuqtnkyocwpic.html

  • 19 Февраля 2013 » Параллельные миры АСУ ТП и ИБ
    Тематика защиты АСУ ТП в последнее время стала очень активно обсуждаться. Например, на детально проанализированной мной с точки зрения тем докладов выставке INFOBEZ-EXPO 2012 данный вопрос попал под пристальное внимание широкой ИБ-общественности и выбился в лидеры по частоте упоминаний. Вместе с тем, АСУ ТП и ИБ очень уж напоминают параллельные миры из одноимённого фильма: многое похоже, но кое-что не так. И это “кое-что” принципиально. Пожалуй, одно из основных отличий заключается в принципиально разных объектах защиты. Как правило, прежде всего защищают именно то, что представляет собой наибольшую ценность. Так вот, в классическом понимании информационной безопасности основным объектом защиты является именно что “информация”, в то время как с точки зрения АСУ ТП важнейшую ценность представляет собственно сам (технологический) “процесс”. Да простят меня ценители кристальных формулировок и строгих определений, но именно такое противопоставление мне представляется наиболее наглядным. Пара минут неработоспособности почтового сервера гораздо менее опасны для бизнеса (нарушен процесс), чем доступ посторонних к переписке генерального директора (разглашена информация). А вот показания датчиков основных параметров работы газовой турбины (разглашена информация) особой ценности не представляют, тогда как даже кратковременный сбой в её работе может привести к серьёзным последствиям (нарущен процесс). Данное простое противопоставление даёт общее понимание того, почему обычные широкораспространённые средства обеспечения информационной безопасности в офисных и даже телекоммуникационных сетях, какими бы качественными они ни были, порой просто идеологически оказываются не совместимы с сетями промышленными. Скажем, сканер уязвимостей. Как оно обычно бывает? Задали диапазон IP-адресов, выставили требуемую частоту проверки в расписании и знай себе отчёты пролистываем, да на сигналы тревоги реагируем (утрирую, конечно, но не суть). В промышленных же сетях с круглосуточным режимом работы не бывает обеденных перерывов и тихих спокойных ночей. Плановое обслуживание производится строго по регламенту и интервалы там месяцы, а то и годы. Всё остальное время сеть работает да ещё и с высокой степенью нагрузки, сильно отличающейся от обычно происходящего в тех же офисных сетях. Раз в день (не говорю уже - в час) сканировать такую сеть активным сканером - это подвергать её реальным рискам перегрузки со всеми вытекающими последствиями. Таким образом, задача сканирования сети на наличие уязвимостей, конечно же, похожа, но, как видите, имеет свои ключевые особенности. Для всех этих особенностей, естественно, нужно применять и столь же особенные методы. В данном примере, как вариант, можно рассмотреть использование так назваемых пассивных сканеров уязвимостей. Пассивные сканеры уязвимостей могут работать даже с зеркалированным трафиком, т.е. вообще не оказывать на реальную сеть заметного воздействия. Суть их работы заключается в анализе трафика, создаваемого работающим в сети программным и аппаратным обеспечением и выявлении (с помощью, например, Deep Packet Inspection, DPI - глубокий анализ пакетов) необновлённых версий, непропатченных серверов, уязвимого ПО и пр. В результате такого анализа выдаются рекомендации по активации соответствующих правил на системе предотвращений вторжений (IPS) и обновлении ПО до актуальной версии (что можно сделать при том же плановом обслуживании). К плюсам пассивных сканеров уязвимостей можно также отнести скорость выявления новых уязвимых узлов в сети - таковые отслеживаются системой буквально сразу же после начала работы, а не при очередном запуске сканирования. Ведь, например, ноутбук пришедшего на пару часов администратора вообще может выпасть из поля зрения обычных сканеров. Отличной иллюстрацией той самой параллельности может служить, например, вот этот топик на форуме специалистов АСУ ТП, где обсуждается обзор небезызвестной компании Positive Technologies про “Безопасность промышленных систем в цифрах”. Скажем, привычный всем ИБшникам термин “регулятор” вне “нашей” среды воспринимается ну совсем иначе. Тем не менее, пересечений становится всё больше и та самая пчелиная пыльца, хочется верить, вот-вот перестанет быть тайной… Изображение: http://filmz.ru/photos/116517/big/