Сапожник без... перчаток
Среди ИТ-новостей всегда ярко выделяется, особо обсуждается и быстро подхватывается сообщение о взломе и/или дефейсе веб-сайта компании, которая занимается информационной безопасностью. Почему-то подразумевается, что не стоит доверять защите от такого производителя, который не смог защитить собственный сайт. Звучит убедительно, но логикой не подтверждается.
Предположим, компания делает антивирус. Себя защищает своим продуктом. Следовательно защита от вирусов будет у неё на том же уровне, как у любого её клиента, не выше. А защита от дефейса, SQL-инъекции, утечки БД - как у всех.
Предположим, фирма выпускает межсетевые экраны. От атак на 3-4 уровне защищается собственным изделием. А на других уровнях - всё как у соседей. В том числе, в плане надёжности персонала.
Копии некоторых дефейсов сайтов фирм, связанных с ИБ:
[1] [2] [3] [4] [5] [6] Предположим, лавка занимается построением комплексной защиты своих клиентов. Офисная сеть обвешана МЭ, IDS, DLP и прочим барахлом; политика ИБ застёгнута на все пуговицы, причём сертифицированные. А публичный веб-сайт разместили у обычного хостера между хомяком Васи Пупкина и веб-визиткой изготовителя насосов. Защищённость - соответствующая.
Нет никаких рациональных причин особо защищать публичные сайты security-компаний.
Если разобраться, то в более частых взломах таких сайтов виноваты вы, уважаемые читатели. Проявляя внимание и поднимая ажиотаж вокруг подобных инцидентов, вы провоцируете и стимулируете злобных хакеров. А в чём сенсация-то? В том, что ИБ-компании состоят не из суперменов; их работники ездят с вами в одних вагонах, говорят прозой и покупают хостинг там же, где и вы. Но только они лучше других знают, какую информацию действительно необходимо защищать, а какую дешевле восстановить из бэкапа.
Предположим, компания делает антивирус. Себя защищает своим продуктом. Следовательно защита от вирусов будет у неё на том же уровне, как у любого её клиента, не выше. А защита от дефейса, SQL-инъекции, утечки БД - как у всех.
Предположим, фирма выпускает межсетевые экраны. От атак на 3-4 уровне защищается собственным изделием. А на других уровнях - всё как у соседей. В том числе, в плане надёжности персонала.
Копии некоторых дефейсов сайтов фирм, связанных с ИБ:
[1] [2] [3] [4] [5] [6] Предположим, лавка занимается построением комплексной защиты своих клиентов. Офисная сеть обвешана МЭ, IDS, DLP и прочим барахлом; политика ИБ застёгнута на все пуговицы, причём сертифицированные. А публичный веб-сайт разместили у обычного хостера между хомяком Васи Пупкина и веб-визиткой изготовителя насосов. Защищённость - соответствующая.
Нет никаких рациональных причин особо защищать публичные сайты security-компаний.
Если разобраться, то в более частых взломах таких сайтов виноваты вы, уважаемые читатели. Проявляя внимание и поднимая ажиотаж вокруг подобных инцидентов, вы провоцируете и стимулируете злобных хакеров. А в чём сенсация-то? В том, что ИБ-компании состоят не из суперменов; их работники ездят с вами в одних вагонах, говорят прозой и покупают хостинг там же, где и вы. Но только они лучше других знают, какую информацию действительно необходимо защищать, а какую дешевле восстановить из бэкапа.