Как вы наверное знаете, я последнее время слегка упарываюсь по этой теме (больше в инфраструктурном аспекте, но и про безопасную разработку тоже интересуюсь
( Read more... )
Вот движение к скорее вижу, но на полке пока пустовато.
В основном универсальные решения не очень умеют в веб-уязвимости, например. и анализ рисков говно, вообще говно, требует изначального уровня зрелости организации и не дает возможности быстрого бутстрапа проекта. По итогу это немассовые продукты, это продукты для все тех же богатых буратин.
А там достаточно кучки тупеньких эвристик, чтобы покрыть 80% потребностей. И я знаю, как их нарисовать.
Вопрос, стоит ли морочиться или дырка зарастет сама собой.
Ну так это продается по подписке continuously improving continuous vulnerability management. Правила написаны чем то на подобие XML языка, понятно. У многих есть и OEM-вариант. Пихаешь уже сегодня какой-нибудь COTS на 100 Гбит/сек и как всегда после 3-4 iterations of VP-level escalation и on-site развеселой кампании пускачей- интеграторов интернационального состава: индус, китаец и какой нибудь восточноевропеец нечто минимально удобоваримое на столе.
Потому что если это qualys, tenable или rapid7, то они пока ниасилили.
Ну то есть с интеграторами и еблей да, но я повторюсь, это не для людей, это для top 5% компаний, на которые весь инфобез и работает, остальным жмых и шняга.
И они все тоже не очень умеют в веб-уязвимости, потому что в них умеет другой набор вендоров с более узкой специализацией. Когда они это прочухают, просто купят себе кого-нибудь из них.
Ну то есть они сделали серьезные шаги в сторону удешевления, но вот в сторону быстрого запуска в компании с невысоким уровнем зрелости инфобеза -- нет.
Imho первая проблема -- понимание такого текста далеко не массовое. Второе, уже озвученное -- массовое непонимание менеджментом того, что такое информация, и как следствие, отсутствие "покупателей" внутри. Понимание, обычно, живёт ниже формализации. И только потом уже технологические инструменты обработки информации, потоков. А по конкретной ситуации, наличие инструментов -- это нужно и хорошо. Но это уже должен быть хотя бы нишевый продукт или понятный агрегат, или пока будут банальные опасения, потому что эксплуатировать некому.
предположим, я хочу сделать презентацию для ширнармасс
Вроде, уже всем объяснили, что "ежеквартальное сканирование на уязвимости" это не то чтобы ересь, но это немношк неинформативно.
Вроде, все уже интуитивно понимают, что им нужны actionable items расставленные согласно их приоритетам, а не отчет на 500 страниц, из которых первые сто посвящены "критическим уязвимостям".
Вроде, уже всем объяснили… Вроде, все уже интуитивно понимают
Вот это, на мой взгляд, слишком оптимистическая оценка.
1. Народ желает простоты, кликнул мышкой раз, кликнул другой - и благорастворение инфобеза. И к этому автоматический нефритовый безметр.
2. «За покупку IBM ещё никого не увольняли», это к вопросу миграции с pf на cisco (ниже). И тут не всё так однозначно, потому что a) помимо понимания рисков есть вполне резонный вопрос - «а мои ли это риски?», b) понимание рисков и другие интуитивные понимания - они будет скорее у того хакера.
3. Отчёты хоть на 500, хоть на 50 страниц - это не так плохо, смысл в том, что в 9 случаев из 10 по ним ничего не делается.
нужны actionable items расставленные согласно их приоритетам
4. Совершенно справедливо и тоже очень оптимистично. Потому что приоритеты - это результат мыслительной деятельности. И строятся они глобально, основные - просто транслируются.
Что делать - вопрос интересный. Наверное, то, что и хотелось, с учётом того, что надо будет делать не только технологическое
По таким отчетам ничего не делается потому что по ним невозможно ничего сделать. Это поток плохо структурированной информации, которая приоритизирована с точки зрения сферических коней в вакууме. Ковыряться в нем руками гиблое дело. А я эту проблему как раз умею решать. Потому что 80% этой "мыслительной деятельности" сводятся к простой формуле с четырьмя параметрами, и из них всего один требует условно регулярной актуализации человеком.
Я работал в компании, где как раз стоял openbsd pf + кучка всякой юзерлэнд шняги. Много лет стоял.
Но в некоторый момент выяснилось, что при попытке его отскейлить на возросшие потребности в нем начинается подземный стук из самых разных мест. А хардкорного кернел хакера, которому было бы не лень этот стук диагностировать и прижимать к ногтю уже не было. Ну то есть такие люди были, но они все были настолько заняты, что проще было все это аккуратно смигрировать, частями на цыцку, частично на линупс. Конечно, было жалко и некошерно, но. В общем, еще годик с ним помучились и таки приморили.
Все от локальной экспертизы зависит, причем не только от ее наличия, но и от доступности для конкретной задачи.
nu ja tak ponimaju chto radi bezuderzhnogo smotrenija kotikov na youtube vy zamenili garantirovano sekurnyj pf na chto-to neponjatnoje stateless chto propuskajet trafik ne zadumyvajasj.
Comments 122
Reply
В основном универсальные решения не очень умеют в веб-уязвимости, например. и анализ рисков говно, вообще говно, требует изначального уровня зрелости организации и не дает возможности быстрого бутстрапа проекта. По итогу это немассовые продукты, это продукты для все тех же богатых буратин.
А там достаточно кучки тупеньких эвристик, чтобы покрыть 80% потребностей. И я знаю, как их нарисовать.
Вопрос, стоит ли морочиться или дырка зарастет сама собой.
Reply
Reply
Потому что если это qualys, tenable или rapid7, то они пока ниасилили.
Ну то есть с интеграторами и еблей да, но я повторюсь, это не для людей, это для top 5% компаний, на которые весь инфобез и работает, остальным жмых и шняга.
И они все тоже не очень умеют в веб-уязвимости, потому что в них умеет другой набор вендоров с более узкой специализацией. Когда они это прочухают, просто купят себе кого-нибудь из них.
Ну то есть они сделали серьезные шаги в сторону удешевления, но вот в сторону быстрого запуска в компании с невысоким уровнем зрелости инфобеза -- нет.
Reply
Reply
Что особенно доставило лулзов -- поймал их за руку чекпоинт, который раньше обосрался ровно таким же способом.
Reply
нет. еще один такой уродец нинужен
Reply
Reply
Reply
Reply
Reply
предположим, я хочу сделать презентацию для ширнармасс
Вроде, уже всем объяснили, что "ежеквартальное сканирование на уязвимости" это не то чтобы ересь, но это немношк неинформативно.
Вроде, все уже интуитивно понимают, что им нужны actionable items расставленные согласно их приоритетам, а не отчет на 500 страниц, из которых первые сто посвящены "критическим уязвимостям".
А дальше? Ммм?
Reply
Вот это, на мой взгляд, слишком оптимистическая оценка.
1. Народ желает простоты, кликнул мышкой раз, кликнул другой - и благорастворение инфобеза. И к этому автоматический нефритовый безметр.
2. «За покупку IBM ещё никого не увольняли», это к вопросу миграции с pf на cisco (ниже). И тут не всё так однозначно, потому что a) помимо понимания рисков есть вполне резонный вопрос - «а мои ли это риски?», b) понимание рисков и другие интуитивные понимания - они будет скорее у того хакера.
3. Отчёты хоть на 500, хоть на 50 страниц - это не так плохо, смысл в том, что в 9 случаев из 10 по ним ничего не делается.
нужны actionable items расставленные согласно их приоритетам
4. Совершенно справедливо и тоже очень оптимистично. Потому что приоритеты - это результат мыслительной деятельности. И строятся они глобально, основные - просто транслируются.
Что делать - вопрос интересный. Наверное, то, что и хотелось, с учётом того, что надо будет делать не только технологическое
Reply
По таким отчетам ничего не делается потому что по ним невозможно ничего сделать. Это поток плохо структурированной информации, которая приоритизирована с точки зрения сферических коней в вакууме. Ковыряться в нем руками гиблое дело. А я эту проблему как раз умею решать. Потому что 80% этой "мыслительной деятельности" сводятся к простой формуле с четырьмя параметрами, и из них всего один требует условно регулярной актуализации человеком.
Reply
jestj OpenBSD's pf.
a aljeternativy gde?
Reply
Но в некоторый момент выяснилось, что при попытке его отскейлить на возросшие потребности в нем начинается подземный стук из самых разных мест. А хардкорного кернел хакера, которому было бы не лень этот стук диагностировать и прижимать к ногтю уже не было. Ну то есть такие люди были, но они все были настолько заняты, что проще было все это аккуратно смигрировать, частями на цыцку, частично на линупс. Конечно, было жалко и некошерно, но. В общем, еще годик с ним помучились и таки приморили.
Все от локальной экспертизы зависит, причем не только от ее наличия, но и от доступности для конкретной задачи.
Reply
Reply
ну не совсем stateless, но с некоторым tradeoff.
ну и не только котиков, но и всякого voip.
Reply
Leave a comment