пятница, 6 мая 2011 г.

APT, APT а нужно от APT защищаться то?

    Читал я блог Ригеля (кстати http://xpomob.blogspot.com, рекомендую, очень даже оригинальные мысли есть, да и многие сложные вещи обьясняются простыми словами) и понравилась мне аллегория "Если путать информационную безопасность организации и защищенность ИС от проникновения, то пентестеры соотносятся с ИБ так же, как спаррингисты с здоровьем".
    И как человек имеющий некоторое отношение к боевым исскуствами и интересующийся APT стал думать как же соотносятся APT в такой трактовке..и вот что получилось:
    Пациент (бизнес\ТОП-менеджмент) напуганный СМИ приходит к молодому доктору (молодому инфобезопаснику) и говорит что боится редкого вируса (APT - advanced persistent threat). Молодой доктор не знает как эффективно противодействовать настолько редкому вирусу поэтому он рекомендует все и сразу и побольше (повышайте осведомленность пользователей, участвуйте в проектировании информационных систем и т.п.).  Проходит год..      Пациент снова приходит, говорит что все сделал и спрашивает достаточно ли этого..молодой доктор отвечает что надо бы провести пентест, дабы проверить насколько пациент защищен. Пентест проводят..находят уязвимости и недостатки в архитектуре, исправляют..чего дальше? Прослышал пациент что есть более опытный доктор и идет к нему. А тот смеется - "Да Вы скорее от старости умрете чем на этот вирус напоретесь! Да и никаких денег не хватит чтобы ко всем вирусам подготовиться.."
    Так может ну ее эту, APT, а? Даже на более вероятные угрозы денег постоянно руководство не выделяет.. а может потому и не выделяет что просим на то без чего можно обойтись.


2 комментария:

  1. Так может ну ее эту, APT, а?
    Тут несколько моментов:
    1. Каждому свое. Возможно, для кого-то APT является действительно вероятной угрозой (само их существование доказывает, что есть их потенциальные "клиенты"), тогда, понятное дело, надо от этого защищаться.
    2. Уровень "зрелости" у каждого свой. Допустим, что от более вероятных угроз я уже защитился и защита моя эффективно работает, контролируема, - в общем все очень хорошо. Тогда я буду бороться с APT.

    Ну в целом, если "Даже на более вероятные угрозы денег постоянно руководство не выделяет", то да, бороться с APT - ни к чему.

    ОтветитьУдалить
  2. Честно говоря не понимаю как можно защититься от чего-нибудь навсегда..это все надо поддерживать и проверять, а уж о растущем давлении регуляторов я умолчу.

    Впрочем, если решение защищаться от APT рассматривается, то желательно понимание что мало пытаться защищаться от APT, нужно понимать от чего именно защищаться - иметь актуальную информацию последних угрозах мира, т.е. подписываться на сервисы threat intelligence и получать отчеты (например вот такие - http://www.verisign.com/static/042139.pdf или такие - http://labs.idefense.com/files/webcasts/docs/PPT_VeriSign_Webcast_Brazil_20081008.pdf ). И стоит это удовольствие эдак тысяч 250 долларов в год.

    ОтветитьУдалить