АБ
Но это же профанация. Есть механизмы ОС, есть приклада АСУ, СУБД, а вместо этого бумажки и компенсационными меры?
Я не писал, что не надо пользоваться всеми доступными методами защиты винды. Их не надо учитывать в бумаге. А на практике вполне :)
Size: a a a
2021 February 27
N
Дана даже возможность сделать оценку соответствия в виде приёмки. Есть даже те, кто это заявляет. Но на ту оценку соответствия без слез не взглянешь - опять же сказали "можно", а о последствиях не подумали, детали не объяснили. Потому что так проще склонить к другим СЗИ?
АБ
Дана даже возможность сделать оценку соответствия в виде приёмки. Есть даже те, кто это заявляет. Но на ту оценку соответствия без слез не взглянешь - опять же сказали "можно", а о последствиях не подумали, детали не объяснили. Потому что так проще склонить к другим СЗИ?
Оценка соответствия в форме приёмки или испытания без адекватного пми на 300+ страниц профанация. Да и Лютиков уже сказал, что испытывать и принимать надо на те же требования, на которые проводится сертификация. С виндой это не прокатит.
N
Андрей Боровский
Модель угроз очень динамична. Это не разовое упражнение. И иностранные методики не помогут. Проще и на мой взгляд правильнее идти от базовых мер защиты и постепенно наращивать.
Андрей, вы пользовались иностранными методиками хоть раз, прям полноценно? Они сложнее методик ФСТЭК, там нормально упороться можно, но и результат качественнее. Я нисколько не настаиваю, чтобы их со всех требовали, я лишь говорю, что кому нужно - тот и сам сделает лучше, а с большинства требуют отжимания, которые и так приводят к одному и тому же результату (базовый набор минус неприменимые). Новая методика, кстати, основана на матрице MITRE, а говорите иностранщина зло.
Да и про динамичность согласен - МУ вообще не должно быть на бумаге (разве что на стадии проекта) - это в системе, или эксельке хотя бы, но интегрирован с процессом управления изменениями, анализа защищенности и тд. Но, опять же, такого монстра потянут единицы и вдобавок нужны приличные аналитики
Да и про динамичность согласен - МУ вообще не должно быть на бумаге (разве что на стадии проекта) - это в системе, или эксельке хотя бы, но интегрирован с процессом управления изменениями, анализа защищенности и тд. Но, опять же, такого монстра потянут единицы и вдобавок нужны приличные аналитики
АБ
Отечественные сертифицированные средства защиты тоже то ещё поделие. А в руках опытного и пытливого пентестера оказываются дырявыми и не обеспечивающими реальную защиту.
N
Андрей Боровский
Оценка соответствия в форме приёмки или испытания без адекватного пми на 300+ страниц профанация. Да и Лютиков уже сказал, что испытывать и принимать надо на те же требования, на которые проводится сертификация. С виндой это не прокатит.
А что, профили защиты на ОС преданы забвению? Ту же Винду раньше даже сертифицировали
АБ
А что, профили защиты на ОС преданы забвению? Ту же Винду раньше даже сертифицировали
Так сейчас нужны исходники..
N
Андрей Боровский
Так сейчас нужны исходники..
По УД да, по требованиям безопасности нет
M
Андрей Боровский
Оценка соответствия в форме приёмки или испытания без адекватного пми на 300+ страниц профанация. Да и Лютиков уже сказал, что испытывать и принимать надо на те же требования, на которые проводится сертификация. С виндой это не прокатит.
Берешь средство которое прекрасно реализует свои функции во всем мире, пишешь ПМИ на 300+ страниц и проверяешь вендоров, которые в разработку и проверку лярды вкладывают.
И никакой профонации. Главное чтобы ПМИ на 300+ страниц ))
И никакой профонации. Главное чтобы ПМИ на 300+ страниц ))
N
Берешь средство которое прекрасно реализует свои функции во всем мире, пишешь ПМИ на 300+ страниц и проверяешь вендоров, которые в разработку и проверку лярды вкладывают.
И никакой профонации. Главное чтобы ПМИ на 300+ страниц ))
И никакой профонации. Главное чтобы ПМИ на 300+ страниц ))
Что забавно, да, даже в таком случае задание, ПМИ, протокол все равно подтвердят, что все ок (ну потому что большинство ОС все-таки реализуют все эти не хитрые требования), но они все равно нужны, да, все 500 листов)) Формализм и бумажки превыше всего. И за них нужно будет ещё интегратору отдать столько, сколько некоторые МЭ стоят.
АБ
Андрей, вы пользовались иностранными методиками хоть раз, прям полноценно? Они сложнее методик ФСТЭК, там нормально упороться можно, но и результат качественнее. Я нисколько не настаиваю, чтобы их со всех требовали, я лишь говорю, что кому нужно - тот и сам сделает лучше, а с большинства требуют отжимания, которые и так приводят к одному и тому же результату (базовый набор минус неприменимые). Новая методика, кстати, основана на матрице MITRE, а говорите иностранщина зло.
Да и про динамичность согласен - МУ вообще не должно быть на бумаге (разве что на стадии проекта) - это в системе, или эксельке хотя бы, но интегрирован с процессом управления изменениями, анализа защищенности и тд. Но, опять же, такого монстра потянут единицы и вдобавок нужны приличные аналитики
Да и про динамичность согласен - МУ вообще не должно быть на бумаге (разве что на стадии проекта) - это в системе, или эксельке хотя бы, но интегрирован с процессом управления изменениями, анализа защищенности и тд. Но, опять же, такого монстра потянут единицы и вдобавок нужны приличные аналитики
Мы с Вами говорим об одном и том же. Методики все хороши по своему. Но в условиях ограниченных ресурсов лучше сначала обеспечить базовую защиту. Обновления, пароли, антивирус, разграничение прав доступа, знание своей сети. Это уже будет прорывом для подавляющего числа новоиспеченных СКИИ. А вот написание кирпича с моделью угроз и последующая трата ресурсов на его обновление не принесёт пользы.
Динамичная МУ нужна тем, у кого уже выстроены процессы и они могут реагировать на новые угрозы в горизонте дни, недели и месяцы. Но это только крупные организации :)
Динамичная МУ нужна тем, у кого уже выстроены процессы и они могут реагировать на новые угрозы в горизонте дни, недели и месяцы. Но это только крупные организации :)
АБ
Берешь средство которое прекрасно реализует свои функции во всем мире, пишешь ПМИ на 300+ страниц и проверяешь вендоров, которые в разработку и проверку лярды вкладывают.
И никакой профонации. Главное чтобы ПМИ на 300+ страниц ))
И никакой профонации. Главное чтобы ПМИ на 300+ страниц ))
Зачем? Берёшь иностранное оборудование, платишь интегратору, лаборатории и государству(пошлины) и у тебя сертифицированная иностранная железка. Стоимость будет сопоставимой :)
N
Андрей Боровский
Мы с Вами говорим об одном и том же. Методики все хороши по своему. Но в условиях ограниченных ресурсов лучше сначала обеспечить базовую защиту. Обновления, пароли, антивирус, разграничение прав доступа, знание своей сети. Это уже будет прорывом для подавляющего числа новоиспеченных СКИИ. А вот написание кирпича с моделью угроз и последующая трата ресурсов на его обновление не принесёт пользы.
Динамичная МУ нужна тем, у кого уже выстроены процессы и они могут реагировать на новые угрозы в горизонте дни, недели и месяцы. Но это только крупные организации :)
Динамичная МУ нужна тем, у кого уже выстроены процессы и они могут реагировать на новые угрозы в горизонте дни, недели и месяцы. Но это только крупные организации :)
Я только подчёркиваю, что деньги на IDS или что-то ещё, говорят потратить на кирпичи МУ (потому что они сначала пишутся) и на замену МЭ на раччововерный (потому что оценку соответствия на имеющийся или не сделать или дороже встанет)
То есть как раз силы на реализацию реального джентельменского набора рассеиваются на иные декорации
То есть как раз силы на реализацию реального джентельменского набора рассеиваются на иные декорации
АБ
Я только подчёркиваю, что деньги на IDS или что-то ещё, говорят потратить на кирпичи МУ (потому что они сначала пишутся) и на замену МЭ на раччововерный (потому что оценку соответствия на имеющийся или не сделать или дороже встанет)
То есть как раз силы на реализацию реального джентельменского набора рассеиваются на иные декорации
То есть как раз силы на реализацию реального джентельменского набора рассеиваются на иные декорации
Согласен. Написание МУ пора выкидывать из нормативки или упрощать.
V
Пока не определите объекты защиты, все остальное обсуждать преждевременно.
АБ
Пока не определите объекты защиты, все остальное обсуждать преждевременно.
Убил!
АС
Пока не определите объекты защиты, все остальное обсуждать преждевременно.
Нет такого термина в новой методике
V
Да причём здесь методика? Я говорю об исполнителях. Кто должен будет эту методику применять
DK
Я только подчёркиваю, что деньги на IDS или что-то ещё, говорят потратить на кирпичи МУ (потому что они сначала пишутся) и на замену МЭ на раччововерный (потому что оценку соответствия на имеющийся или не сделать или дороже встанет)
То есть как раз силы на реализацию реального джентельменского набора рассеиваются на иные декорации
То есть как раз силы на реализацию реального джентельменского набора рассеиваются на иные декорации
Вы обсуждаете две бессмысленные крайности. Модель угроз "шоб було", это никому не нужный кирпич. Но и IDS "шоб було" - такой же никому не нужный кирпич. Чтобы грамотно применять IDS, нужно понимать, от чего именно вы собираетесь с её помощью защищаться.
Один заказчик как-то решил провести эксперимент: мы проводим пентест, они пытаются обнаружить действия. Пентест закончен, действия пентестеров не обнаружили. Стали разбираться - оказалось, в частности, что на IDS не были включены сигнатуры на техники перехвата трафика.
Заказчик: ОК, а давайте мы IDS донастроим и вы еще раз трафик перехватить попробовали. Попробовали еще раз: IDS на ARP Spoofing cреагировала, на STP Spoofing - нет, а Rogue DHCP они в принципе обнаруживать не умели.
Так что деньги, потраченные на IDS без понимания деталей того, как атакуют - это деньги, тупо потраченные на IDS. Никто не предлагает вам писать кирпич модели угроз "шоб ФСТЭКу понравилось" - но стоит хотя бы самим для себя определить, от чего вы защититься можете, а от чего 0 нет.
Один заказчик как-то решил провести эксперимент: мы проводим пентест, они пытаются обнаружить действия. Пентест закончен, действия пентестеров не обнаружили. Стали разбираться - оказалось, в частности, что на IDS не были включены сигнатуры на техники перехвата трафика.
Заказчик: ОК, а давайте мы IDS донастроим и вы еще раз трафик перехватить попробовали. Попробовали еще раз: IDS на ARP Spoofing cреагировала, на STP Spoofing - нет, а Rogue DHCP они в принципе обнаруживать не умели.
Так что деньги, потраченные на IDS без понимания деталей того, как атакуют - это деньги, тупо потраченные на IDS. Никто не предлагает вам писать кирпич модели угроз "шоб ФСТЭКу понравилось" - но стоит хотя бы самим для себя определить, от чего вы защититься можете, а от чего 0 нет.
N
Вы обсуждаете две бессмысленные крайности. Модель угроз "шоб було", это никому не нужный кирпич. Но и IDS "шоб було" - такой же никому не нужный кирпич. Чтобы грамотно применять IDS, нужно понимать, от чего именно вы собираетесь с её помощью защищаться.
Один заказчик как-то решил провести эксперимент: мы проводим пентест, они пытаются обнаружить действия. Пентест закончен, действия пентестеров не обнаружили. Стали разбираться - оказалось, в частности, что на IDS не были включены сигнатуры на техники перехвата трафика.
Заказчик: ОК, а давайте мы IDS донастроим и вы еще раз трафик перехватить попробовали. Попробовали еще раз: IDS на ARP Spoofing cреагировала, на STP Spoofing - нет, а Rogue DHCP они в принципе обнаруживать не умели.
Так что деньги, потраченные на IDS без понимания деталей того, как атакуют - это деньги, тупо потраченные на IDS. Никто не предлагает вам писать кирпич модели угроз "шоб ФСТЭКу понравилось" - но стоит хотя бы самим для себя определить, от чего вы защититься можете, а от чего 0 нет.
Один заказчик как-то решил провести эксперимент: мы проводим пентест, они пытаются обнаружить действия. Пентест закончен, действия пентестеров не обнаружили. Стали разбираться - оказалось, в частности, что на IDS не были включены сигнатуры на техники перехвата трафика.
Заказчик: ОК, а давайте мы IDS донастроим и вы еще раз трафик перехватить попробовали. Попробовали еще раз: IDS на ARP Spoofing cреагировала, на STP Spoofing - нет, а Rogue DHCP они в принципе обнаруживать не умели.
Так что деньги, потраченные на IDS без понимания деталей того, как атакуют - это деньги, тупо потраченные на IDS. Никто не предлагает вам писать кирпич модели угроз "шоб ФСТЭКу понравилось" - но стоит хотя бы самим для себя определить, от чего вы защититься можете, а от чего 0 нет.
Я говорю про реальность, что обычно это просто кирпич. Про железки, которые стоят ради мигания лампочек тоже могу рассказать)