четверг, 23 июня 2011 г.

Кто взломает того и тапки..на год

    Читая заметку "Нужен ли Вам пентест после внедрения" заметил мысль - оценивать эффективность услуг аутсорсинга безопасности через пентест.
    Однако...на рынке есть компании которые предлагают и то и другое! Так почему не устроить им своеобразное соревнование? Т.е. сначала проводится тендер, первый участник получает право предоставлять услуги на общих основаниях. Через год второй участник проводит пентест и если он успешен, то получает заказ. Возможны вариации - проводить тендер на пентест по результатам которого отдавать заказ..впрочем, если кто относится к пентестам как Шнаер (т.н. пентест по Шнайеру, т.е. пентест практически бесполезен), то принципиальной разницы между пентестом и аудитом по этой схеме нет (аудит правда оценивать сложнее..хотя вопрос оценки и дискуссионен).
    Однако, при такой идиллической картине (еще бы, аутсорсинг делает скорее всего наиболее трудоемкие вещи - мониторинг логов и т.п.) выпускается из виду банальное правило единой точки отказа..а именно - кто будет заниматься ИБ если вдруг аутсорс по тем или иным причинам будет какое-то время невозможен? Ведь вряд ли финансовый директор даст держать в штате "дармоедов" (т.е. недогруженных работников "про запас")...
    Таким образом схема может быть следующей:
  • оценка критичности процессов ИБ для поддержания необходимого для бизнес-целей компании уровня ИБ и ассортимента услуг ИБ
  • проведение тендера на не критичные услуги
  • проведение тендера на оценку
  • передача контракта оценщику если он показал "класс"

    Новая оценка критичности - по кругу..Хорошего дня:)

2 комментария:

  1. А нет ли тут конфликта интересов? Поясню мысль:
    Я как пентестер буду заинтересован:
    1. Потратить на пентест больше ресурсов, чем было согласовано (они отобьются во время последующего контракта).
    2. Найдя какую-нибудь "тонкую" уязвимость, педалировать ее критичность и сгущать краски. Т.е. при объективной оценке уязвимость может оказаться труднообнаруживаемой, а я скажу: "Нуууу, извините. С такими проблемами жить нельзя!!!!"

    Правдоподобная картина? :)

    ОтветитьУдалить
  2. Ну так пусть и тратят!:) Они же оба будут тратить (в т.ч. и на защиту, зная что соперник не поскупится на пентест, т.е. будет соревнование - в чем и идея:) Конечно, можно подумать, что качественно защищать будут только перед и во время пентеста..но очень вещей просто нельзя делать не в процессе - например мониторинг логов за три дня организовать "проблематично"

    ОтветитьУдалить