На прошлой неделе я присутствовал на
конференции Infosecurity Europe, проходящей в
Лондоне. Так же, как и на конференции RSA,
прошедшей в Феврале, выставочный зал был
забит сетевыми, компьютерными и
занимающимися компьютерной безопасностью
компаниями. Как я часто делаю, я размышлял о
том, что значит для IT-индустрии наличие
тысяч отдельных продуктов, обеспечивающих
безопасность: иногда хороших, больше плохих,
многих вообще неописуемых. Почему IT
продукты и сервисы по своей природе
небезопасны, и что бы значило для индустрии,
если бы они все-таки таковыми являлись?

Я коснулся этой темы в недавнем интервью, и
оно вызвало определенный резонанс. Я думаю,
мне стоит объяснить свою позицию.

Основная причина существования индустрии
компьютерной безопасности состоит в
небезопасности IT-продуктов и сервисов. Если
бы компьютеры были изначально защищены от
вирусов, им бы никогда не понадобились
антивирусы. Если бы сетевой трафик нельзя
было использовать для атаки компьютеров,
никто бы не покупал файрволы. Если бы не
было больше переполнения буфера, никому бы
и в голову не пришло покупать продукты для
защиты от него. Если бы продукты, которые мы покупаем,
были бы защищены изначально, нам бы не
требовалось тратить миллиарды долларов
каждый год на то, чтобы сделать их
безопасными.

Вторичное обеспечение безопасности на
самом деле - очень неэффективный путь
потратить доллары, выделенные по статье "безопасные";
они могут лишь  компенсировать
небезопаность IT-продуктов, но не помогут улучшить
их безопасность. К тому же, до тех пор, пока IT-безопасность будет оставаться отдельной
индустрией, будут компании, получающие
прибыль от небезопасности - компании,
которые потеряют свои деньги, если Интернет
станет более спокойным местом.

Вложите безопасность в основные продукты
и компании, продающие такие продукты, будут
иметь стимул инвестировать в настоящую
безопасность для избежания больших
трат в будущем на устранение возможных
проблем. Их прибыль повыситься вместе с
общим уровнем безопасности в Сети. В такой
ситуации изначально мы бы все еще тратили
ежегодно сопоставимые суммы - на обучение
того, как делать надежные программы, на
встроенные средства безопасности и т.д. - но
некоторое количество из этих денег пошло бы
на улучшение качества продуктов, которые мы
покупаем, что уменьшило бы затраты на
безопасность в следующие годы.

Я знаю, что это утопическая ситуация,
которую я, вероятно, не увижу при жизни, но
рынок ИТ-сервисов подталкивает нас в этом
направлении. По мере того, как ИТ
становится все более утилитарной вещью,
пользователи начинают больше покупать
сервисы, а не продукты. По своей природе
сервисы больше нацелены на результат, чем
технологии. Обслуживаемые клиенты - будь то
домашние пользователи или
многонациональные корпорации - все меньше и
меньше заботятся о специфических
особенностях технологий безопасности и все
больше и больше о том, что их IT будет целиком
безопасной. 

Восемь лет назад я создал Counterpane Internet Security
с прицелом на то, что конечные пользователи
(большие корпорации в данном случае) совсем
не захотят заниматься сетевой
безопасностью. Они хотят управлять
самолетами, производить лекарства или что-либо
другое, связанное непосредственно с их
бизнесом. Но они не хотят нанимать
экспертов для отслеживания сетевой безопасности
и с большей радостью сдадут это в аренду
компании, которая может выполнить это за
них. Мы предоставляем набор сервисов,
которые забирают ежедневную безопасность
из рук наших клиентов: мониторинг
безопасности, управление устройствами,
реагирование на инциденты и т.д.
Безопасность - то, что покупают наши клиенты,
но они покупают результат, а не подробности.

В прошлом году British Telecom купила мою
компанию Counterpane, еще больше внедрив службу
сетевой безопасности в IT-инфраструктуру. У
BT есть клиенты, которые вообще не хотят
заниматься управлением сетью, они просто
хотят, чтобы она работала. Они хотят, чтобы Интернет
был подобен телефону, или электричеству,
или водопроводу: они хотят, чтобы он был
обычной вещью. Для таких клиентов
безопасность не нечто, что они покупают -
это маленькая часть большой сделки по ИТ-обслуживанию. По этой же причине IBM купила ISS
- чтобы иметь комплексное решение, которое
можно продавать потребителям.

Вот, куда движется ИТ индустрия и когда она
окажется в таком состоянии, надобности в пользовательских конференциях наподобие
Infosec или RSA уже не будет. Они не исчезнут -
просто станут индустриальными
конференциями. Если хотите мерило
прогресса - посмотрите на возраст
посетителей. Переход к посетителям -
работающим в инфрастуктуре - является мерой
успеха.

Конечно, продукты безопасности не
исчезнут - по крайней мере, при моей жизни. По-прежнему будут файрволы, антивирусы и все
остальное. По-прежнему будут начинающие
компании, разрабатывающие умные и
инновационные технологии защиты. Но
конечному пользователю не будет дела до них.
Они уже будут внедрены в сервисы,
продаваемые большими ИТ-компаниями типа BT,
EDS и IBM, или провайдерами EarthLink и Comcast. Или же
они будут простым чекбоксом в неком главном
свиче. 

Заниматься компьютерной безопасностью
становится все труднее - во многом виновата
растущая сложность - и потребность во
вторичных продуктах, обеспечивающих
безопасность, вскоре не исчезнет. Но нет
никакого разумного объяснения тому, зачем
пользователю знать, что такое система
обнаружения вторжений или чем она может
помочь в защите от SQL-инъекций. Вся
индустрия компьютерной безопасности есть
несчастный случай - артефакт развития всей
компьютерной индустрии. По мере того, как
информационные технологии отступят на
задний план и станут еще одной утилитарной
службой, пользователи будут просто ожидать
что IT будет работать - а уже подробности
этой работы волновать никого не будут.

Брюс
Шнайер

Оригинал: http://www.wired.com/

Check Also

Шлюз безопасности. Защищаем рабочую почту при помощи кастомных контент-фильтров

Если верить базе данных MITRE, многие APT-группировки начинают свои атаки с фишинговых рас…

Оставить мнение