Monday, November 20th, 2017

Стандартизация и устройства безопасности

Published on Январь 29, 2009 by   ·   Комментариев нет

Я с радостью посетил RSA Конференцию в феврале этого года в Сан-Франциско. Это собрание —  одно из самых больших собраний производителей устройств компьютерной безопасности под одной крышей на сегодня в мире. Весьма удобное место для покупки, если вы ищете новый брандмауэр, систему обнаружения вторжений или новейшие технологии; систему предотвращения вторжений. Конкуренция между различными производителями в завоевании внимания делегаций была необъяснимо жесткой. Это выглядело, как будто был карнавал с криками, восхваляющими их стенды. Только в этом случае, качество, превозносимое различными производителями, было для некоторых несколько дорогостоящих продуктов.

По несколько странной причине это напомнило мне время, когда я работал в индустрии домашних сигнализаций. Мы продавали охранные и пожарные сигнализации с мониторингом для домовладельцев, организаций и различных представительств. Меня пропитала мысль, что все различные элементы домашней безопасности имели в основе одну вещь. Все аппаратные компоненты соответствовали ULC критериям, изложенным для этого. Наличие этой общей основы выполняло своеобразную роль сертификации, надежно помогая домовладельцам или бизнесменам жить немного проще. Они знали, что, по крайней мере, было соответствие некоторым критериям определенной части оборудования, от которого много чего зависело. Если этого не было, то оно не имело той ULC наклейки, означающей соответствие ее минимальным требованиям. Это большая часть причины, по которой ваша страховая компания по страхованию домовладения будет предлагать вам скидку, если вы имеете домашнюю систему безопасности, имеющую мониторинг.

Вспомнив это, я подумал, что, возможно, наступило время, когда подобный тип сертификации появляется для различных устройств компьютерной сетевой безопасности. Существует головокружительный массив устройств на сегодняшний день, которые затрагивают почти каждую проблему безопасности. Проблема в том, что все производители хвастаются, что они могут достичь совершенства в тестах производительности или в задачах для вас. Здесь существует небольшая доля незаконных фальсификаций, сделанных производителями, но это все-таки прекрасно было бы иметь для них определенную оценку, выполненную независимым источником. С таким органом, вместо выполнения этих тестов производительности, по крайней мере, вам, покупателю, будет безопаснее делать некоторые предположения, так как устройство будет соответствовать некоторым базовым условиям. Такой орган сертификации будет создан для того, чтобы быть объектом “не для извлечения выгоды ”, или иначе его сертификаты могут выдаваться под наблюдением производителей, пристрастных в какой-то области.

Честно говоря, я проверял обзоры оценок продуктов для различных производителей и их продуктов. Это много сказало мне о серьезности производителей и их честности. Это только для хорошего бизнеса делают вид, что хотят независимую верификацию возможностей их продуктов. Владение такими заявленными производителем характеристиками, подтвержденными независимыми лицами, сильно расширяет их доверие в глазах потенциальных покупателей. После всего, владение оценкой продукта не дешевое дело, но оно позволяет многостороннее и комплексное тестирование этого продукта объективной третьей стороной. Это все слишком легко позволяет производителю получить узкий взгляд, когда вопрос заходит об эффективности его продукта. Время от времени за прошедший год я заключал контракты с клиентами на выполнение объективного обзора устройств безопасности, которые они намеревались приобрести. Это дало мне отличное представление того, как мой клиент охотно тратит шестизначные суммы за продукты производителей. Имеет смысл вкладывать деньги в мои услуги для того, чтобы быть уверенными, что оно работает, как обещано.

Давайте возьмем, например, Microsoft, которая, как все мы знаем, является богатой корпорацией. Как мы все знаем, они никогда не заканчивают выставлять на показ недостатки линии своих продуктов. Такие укоренившиеся продукты, как Internet Explorer, продолжают иметь целые клады уязвимостей. Microsoft имеет несколько очень талантливых людей, работающих в ее команде безопасности, но почему она не хочет нанять их по контракту для независимого обзора кода? Отсюда я понимаю, что начнет происходить с ними, получив услуги нескольких высоко профессиональных талантов.

Существует огромное количество кода, который получается при создании устройства безопасности, такого как IDS или IPS. Атаки возможностью переполнения буфера или форматирования строки против таких интерфейсов управления продуктами являются реально очень возможными. Покупка такого продукта является очень большой необходимостью в сегодняшнем сложном и недружелюбном компьютерном окружении. Проблема есть, хотя, как вы знаете, вы не только добавили другое направление атаки в вашу сеть с помощью этого нового IPS хорошего бренда, только что приобретенного вами. Вы очень сильно ошибетесь, если думаете, что это не случалось раньше. Всем вам необходимо знать, что были большие проблемы, связанные с Snort. Эти проблемы были быстро ликвидированы Marty Roesch и компанией, но выявили реальную проблему, которую устройство безопасности могло самостоятельно внести в сеть, которую оно защищало.

До тех пор, пока эти проблемы могли не случиться для обычного человека, обдумывающего такое приобретение, оно было возможно для кого-нибудь, кто ответственен за высококачественные сети. Если ваша компания является акционерной, то ваши акции могут сильно подниматься и падать в зависимости от колебаний сети. Это даже больше касается тех компаний, которые располагаются в областях, в которых приходится афишировать, если они пострадали от потери целостности их компьютерных данных пользователей. Картина компьютерной безопасности становится еще более расплывчатой для ее высокопрофессиональных сотрудников, что делает еще более имеющим смысл использование некоторого устройства безопасности. Наконец, ваш лучший сотрудник сегодня может завтра уйти искать более хорошо оплачиваемую работу. Поскольку они могут уйти, по крайней мере, ваше оборудование все еще будет работать вместо них.

Итог

Думая обо всем этом, мне кажется логичным, что сейчас настало время для начала сертификации и решения некоторых из этих проблем. До тех пор, пока такой орган не сможет реально выполнять глубокую проверку кода этих устройств безопасности, тестирование их может вызывать стресс. Это не будет занимать много времени для группы талантливых лиц прийти с батареей тестов для различных категорий продуктов защиты, выпускаемых сегодня. Аргументом может быть то, что это будет всего лишь другой способ отнимания денег, но я на это отвечу, что это поможет узаконить, если будет, индустрию устройств компьютерной безопасности. По крайней мере, от этого выиграют покупатели таких продуктов, множество из которых не имеют глубоких технических знаний. В итоге, все, что поможет потребителям, в самом деле является хорошей идеей. Наконец, это будет, возможно, также, выигрыш производителя в том, что им не придется платить за дорогой обзор продукта для независимого подтверждения их продукта от человека, подобного мне.


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]