Стандартизация и устройство безопасности

Опубликовано: 12 Апреля, 2023

Мне посчастливилось посетить конференцию RSA в феврале прошлого года в Сан-Франциско. Это собрание может похвастаться одной из самых больших коллекций поставщиков компьютерной безопасности под одной крышей в мире на сегодняшний день. Довольно удобное универсальное место для покупки, если вы ищете новый брандмауэр, систему обнаружения вторжений или новейшие технологии; система предотвращения вторжений. Конкуренция со стороны различных поставщиков за то, чтобы привлечь внимание делегатов, по понятным причинам была довольно жесткой. Это было почти похоже на карнавал, где карнавалы кричали о достоинствах своего прилавка. Только в данном случае достоинства, превозносимые различными продавцами, относились к некоторым довольно дорогим продуктам.


По какой-то странной причине это вызвало воспоминания о том времени, когда я работал в индустрии домашней сигнализации. Мы продали системы охранной и пожарной сигнализации с мониторингом домовладельцам, предприятиям и различным посольствам. Что меня поразило, так это то, что все различные элементы бизнеса по обеспечению безопасности дома имели одну общую черту. Все аппаратные компоненты соответствовали установленным для него критериям ULC. Наличие этого общего органа, проводящего определенную степень сертификации, несомненно, помогло домовладельцу или бизнесу чувствовать себя немного спокойнее. Они знали, что, по крайней мере, существуют определенные критерии для этого конкретного предмета снаряжения, от которого многое зависит. Если бы это было не так, то на нем не было бы этикетки ULC, подтверждающей, что он соответствует минимальным спецификациям. Это большая часть причины, по которой ваша страховая компания предложит вам скидку, если у вас есть домашняя система безопасности, которая контролируется.


Вспоминая об этом, я подумал, что, вероятно, пришло время, чтобы подобный орган по сертификации появился для различных устройств безопасности компьютерных сетей. Сегодня существует ошеломляющее множество устройств, которые решают почти все проблемы безопасности. Проблема в том, что все поставщики рекламируют, что они могут выполнить этот тест производительности или задачу для вас. Было бы мало смысла в том, чтобы продавец откровенно фальсифицировал свои товары, но, безусловно, было бы неплохо, чтобы они были в определенной степени подтверждены независимым источником. Имея такой орган для проведения этих эталонных тестов, по крайней мере, вы, покупатель, будете в безопасности, делая определенные предположения, поскольку устройство соответствует определенным базовым критериям. Такой орган по сертификации по своему замыслу должен быть «некоммерческим» органом, иначе его сертификация может подвергнуться тщательной проверке из-за того, что он каким-то образом предвзят к поставщику.


Лично я проводил оценочные обзоры продуктов различных поставщиков и их продуктов. Для меня это красноречиво говорило о серьезности этого поставщика и, в некоторой степени, об их честности. Для бизнеса имеет смысл только то, что поставщик хочет иметь независимую проверку своих заявлений о продукте. Подтверждение таких заявлений о производительности поставщика независимым органом значительно повысит доверие к нему в глазах потенциальных покупателей. В конце концов, проведение оценки продукта недешево, но оно позволит провести всестороннее и комплексное тестирование этого продукта объективной третьей стороной. Продавцу слишком легко заблудиться, когда дело доходит до эффективности его продуктов. Несколько раз в прошлом году клиент заключал со мной контракт на проведение беспристрастной проверки устройств безопасности, которые они собирались приобрести. Для меня это имело смысл, так как мой клиент был готов потратить шестизначную сумму на продукцию поставщика. Только тогда имело смысл инвестировать в мои услуги, чтобы убедиться, что они работают так, как рекламируется.


Возьмем, к примеру, Microsoft, которую мы все знаем как очень богатую корпорацию. Тем не менее, как мы все знаем, существует нескончаемый парад недостатков, приписываемых их продуктовой линейке. Такие зарекомендовавшие себя продукты, как Internet Explorer, по-прежнему содержат множество уязвимостей. В Microsoft есть очень талантливые люди, работающие в их команде безопасности, но не имеет ли смысл нанять их для независимой проверки кода? Насколько я понимаю, это началось с того, что они получили услуги какого-то высококлассного таланта.


Существует огромное количество кода, необходимого для создания устройства безопасности, такого как IDS или IPS. Возможность переполнения буфера или атак на строку формата против такого интерфейса управления продуктом вполне реальна. Покупка такого продукта очень необходима в сегодняшней сложной и враждебной компьютерной среде. Однако проблема заключается в том, как узнать, что вы только что не добавили еще один вектор атаки в свою сеть с помощью этой новой IPS-системы, которую вы только что купили. Было бы очень ошибкой думать, что этого не было раньше. Все, что вам нужно знать, это то, что со Snort связаны проблемы, которые можно использовать. Эти уязвимые проблемы были быстро исправлены Марти Решем и компанией, но они служат для того, чтобы подчеркнуть реальную проблему, которую само устройство безопасности может создать в сети, которую оно призвано защищать.


Хотя эти проблемы могут не возникнуть у обычного человека, рассматривающего такую покупку, они, вероятно, возникнут у того, кто отвечает за сеть с высоким уровнем надежности. Если ваша компания публично торгуется, ваши акции могут очень сильно расти и падать из-за взлома сети. Это даже больше беспокоит те компании, которые находятся в штатах, которые требуют раскрытия информации, если они должны пострадать от потери целостности своих компьютерных данных о клиентах. С учетом того, что ландшафт компьютерной безопасности становится все более мигрирующим для его высококвалифицированных работников, имеет еще больше смысла иметь какое-либо устройство безопасности на месте. В конце концов, ваш сегодняшний сотрудник вполне может завтра уйти из-за более высокооплачиваемого предложения. Хотя они могут исчезнуть, по крайней мере, ваше оборудование все еще будет работать.


Резюме


Принимая все это во внимание, мне кажется логичным, что настало время для органа по сертификации выступить и заняться некоторыми из этих проблем. Хотя такой орган не может реально проводить углубленный аудит кода этих устройств безопасности, он, безусловно, может проводить их стресс-тестирование. Группе талантливых людей не потребовалось бы много времени, чтобы разработать серию тестов для различных категорий продуктов безопасности, существующих сегодня. Можно было бы возразить, что это будет просто очередная махинация, но я, например, утверждаю, что это помогло бы узаконить, если хотите, индустрию устройств компьютерной безопасности. По крайней мере, это принесет пользу покупателям таких продуктов, многие из которых не имеют высокотехнического образования. Суть в том, что все, что помогает потребителю, действительно является хорошей идеей. Наконец, это, вероятно, также принесет пользу поставщику, поскольку ему не придется платить за дорогостоящий обзор продукта, чтобы независимо подтвердить свой продукт от такого человека, как я.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023