Есть одна вещь в которой сходятся
разработчики защитных комплексов и их
пользователи - не существует "серебрянной
пули" которой можно было было убить
хакеров-оборотней, нет единого рецепта
который бы 100% защитил сеть и гарантировала
безопасность.
Однако у производителей и потребителей
продуктов ИТ- безопасности совершенно
разные мнения почему невозможно создать
"коробочный" продукт, обеспечивающий
бы полную безопасность. Первые говорят, что
виноваты вторые, вторые что первые и истину
найти довольно тяжело. Выслушав обе стороны
мы составили своеобразный Топ-10 причин
почему не работают продукты обеспечения
безопасности.
1. Слишком много ложных срабатываний.
Очевидно, что вал ложных срабатываний
способен похоронить любую защиту. С другой
стороны и недостаток информации о случаях
взлома в еще большей степени может привести
к всеобщему поражению сети. Это обычная
ситуация в случае множества программ - либо
они генерируют слишком много информации,
либо ее недостаточно. Следовательно
требуется очень тщательная отладка
продуктов перед появлением ситуации
полного доверия.
2. В самих продуктах слишком много
уязвимостей.
История с уязвимостями в продуктах,
обеспечивающих безопасность длится уже не
один десяток лет. Большие компании - большие
цели, чем более распространены их системы
тем больше хакеров пытается их взломать.
Охотники за хакерами сами становятся
жертвами. Хорошая новость лишь в том, что
программы защиты приносят все-таки больше
пользы, чем вреда. "Возможно в вашем
антивирусе найдут пару уязвимостей в год, но за
то же время он обезвредит 10.000 вирусов в
вашей сети". - говорят специалисты.
3. Продукты не защищают от 0-day
уязвимостей.
Очевидно, что ни одна из защитных программ
не может надежно защитить от еще
неизвестных уязвимостей, а лишь способны
остановить новые эксплоиты к уже
обнаруженным уязвимостям. Разные
инструменты могут так или иначе
прогнозировать развитие нападение, однако
точного прогноза они дать не в состоянии.
4. Разные программы не всегда удачно
работают вместе.
История с борьбой двух антивирусов уже
вошла во все учебники. Точно так же не все
программы мирно уживаются друг с другом. IDS
может неадекватно реагировать на сканеры
безопасности, антивирусы на системы
подбора паролей и т.п. Только недавно начата
разработка единой системы ведения и
обработки логов. Все это приводит к тому,
что разные продукты плохо работают вместе и
требуют отдельной настройки и понимания.
5. Секурные продукты слишком сложны.
"Все прекрасно выглядит в демо-версии,
однако в работе программа может оказаться
настоящим кошмаром. Она конечно не будет
неработоспособной, однако сил на ее
поддержание уйдет столько, что проще будет
ее убить", - говорят специалисты. Вместо
того, что бы охранять безопасность сети
многие продукты требуют массы времени сил
именно на свое содержание, часто они не
сообщают полную информацию о своих
проблемах и администраторам приходится
гадать что за ошибка появилась и из-за чего
она возникла.
6. Пользователи не всегда понимают все
возможности программ.
В данном случае программные продукты не
всегда оправдывают мечты о той самой
серебряной пуле. Пользователи
переоценивают их возможности и полностью
полагаются в защите на тот или иной продукт,
в то время как необходимо использовать
целый комплекс мер. С другой стороны сами
пользователи зачастую ищут решение лишь
одной определенной проблемы и не могу
расширить свой кругозор до поиска систем
более широкими возможностями или просто-напросто
не видят таких возможностей в уже
приобретенных системах.
7. Пользователи не могут правильно
установить и настроить системы.
Самая распространенная ошибка из всех это
установка продуктов в дефолтовой
конфигурации, без добавления новых политик
учитывающих реальную сеть и ее проблемы. А
неправильно установленная и настроенная
система слабо защищает. Хороший пример -
червь Blaster. Хорошая практика - закрывать
неиспользуемые порты, однако
распространение этого червя показало, что
мало кто делает это. Уменьшить ущерб от
этого червя можно было простым и правильным
конфигурированием.
8. Пользователи вносят слишком много "тюнинга"
или излишних настроек.
Множество политик и людей, отвечающих за
безопасность, так же опасно как отсутствие
правильной настройки. Один администратор
написав "deny all" вверху политики может
свести на нет работу всех остальных
работников. Новые работники не могут понять
что написали старые и добавляют новые
правила, снежный ком растет и в результате
ситуация выходит из под контроля. Некоторые
отключают часть функционала так как не
могут им эффективно управлять или понимать
результаты. Все это приводит к одному -
неправильной работе и, как следствие, общей
уязвимости системы. Надо всегда понимать
все свои шаги и используемые продукты.
9. Пользователи не могут правильно
обновлять программы по мере развития.
Речь идет даже не о обновлении баз, что
само собой разумеется, а о приобретении и
разворачивании новых версий продуктов.
Сетевые угрозы все время развиваются,
появляются новые технологии и надо быть
всегда в курсе изменений. Новая
функциональность не прихоть производителя,
а насущная необходимость для всех
пользователей.
10. Неправильная постановка задачи.
В безопасности надо быть точным в
постановке задач. Не надо внедрять IDS если
все что вам надо - антивирус для почтового
сервера. Затраты на его развертывание и
поддержание будут неоправданны с точки
зрения задачи.